Írta: Adam Shepherd
A mese arról, hogy 12 hacker állítólag megrontotta a világ legerősebb demokráciáját, hogy Donald Trumpot tegye a csúcsra
Több mint két év vádak, vádak, elutasítások és spekulációk után Robert Mueller különtanácsos vizsgálata Oroszországba vezette őt a 2016-os amerikai elnökválasztásba való esetleges beavatkozás miatt. Az orosz állami szereplők választásokra gyakorolt hatásának széles körű vizsgálata részeként az Igazságügyi Minisztérium hivatalosan különféle hackeléssel vádolta meg az orosz katonai hírszerzés 12 tagját.
Vlagyimir Putyin elnök tagadta minden jogsértést Oroszország és ügynökei nevében, és Trump elnök nyilvánosan támogatta. Annak ellenére, hogy elítélte Paul Ryan, az Egyesült Államok képviselőházának elnöke, számos közéleti és politikai szereplő, sőt saját nemzeti hírszerzési igazgatója is, Trump kijelentette, hogy nem lát okot arra, hogy Oroszország megpróbálja megingatni a választásokat.
Ezt követően visszautasította ezt az állítást, kijelentve, hogy elfogadja a hírszerző közösség következtetéseit, amelyeket Oroszország beavatott a 2016-os választásokba, de azt is elmondta, hogy más emberek is lehetnek, megismételve állításait, miszerint egyáltalán nincsenek összejátszások.
A vádak a globális színtéren növekvő orosz agresszió hátterében állnak; az ország még mindig ellenőrzi a Krím-félszigetet, amelyet erőszakkal lefoglalt 2014-ben, állítások szerint keze volt a Vote Leave Brexit-népszavazáson aratott győzelmének szervezésében, és az Egyesült Királyság azzal vádolta Oroszországot, hogy halálos idegmérgezőkkel mérgezte meg az embereket brit földön.
Lásd kapcsolódó A hackerek által használt tíz legfontosabb jelszó-feltörési technika
Trump tiltakozása ellenére a kiberbiztonsági és hírszerző közösségek szinte egyöntetűen egyetértenek abban, hogy Oroszország ellopta a 2016-os választásokat, kifinomult kibernetikai és információs hadviselés kampányával biztosítva a kívánt eredményt.
De ha igen, hogyan csinálták?
Az orosz operatív személyek ellen kiadott vádnak köszönhetően most már elég jó elképzelésünk van arról, hogy állítólag hogyan hajtották végre a feltörést. Mueller beadványa olyan részleteket tartalmaz, mint a dátumok, a módszerek és a támadási vektorok, lehetővé téve számunkra, hogy részletes ütemtervet építsünk fel arról, hogy 12 orosz férfi pontosan miként sodorhatta le a világ legerősebb demokráciáját. Ez a cikk azt vizsgálja, hogyan történhetett ez, a Mueller vádiratában felvázolt vádak alapján.
OLVASSA TOVÁBB: Az orosz számlák 76 ezer fontot költöttek a 2016. évi választási hirdetésekre
A célok
Az orosz kormány célja a 2016-os választások során egyértelműnek tűnik: minden szükséges eszközzel elősegíteni Donald J Trump felemelését az Egyesült Államok elnökének hivatalába.
Ennek érdekében az oroszoknak meg kellett találniuk a módját, amellyel riválisjelöltjét levehetik a testületről, ami arra késztette őket, hogy egy kifinomult és hosszú távú hackelési kampánnyal négy fő pártot célozzanak meg.
DCCC
A Demokratikus Kongresszus Kampánybizottsága (vagy köznyelven ismert „D-trip”) felelős azért, hogy minél több demokratát megválasszanak az amerikai képviselőházba, támogatást, útmutatást és finanszírozást nyújtva a potenciális jelölteknek a kongresszusi versenyeken.
DNC
Az Egyesült Államok Demokrata Pártjának vezető testülete, a Demokratikus Nemzeti Bizottság felel a demokraták átfogó stratégiájának megszervezéséért, valamint az egyes választásokon a párt elnökjelöltjének jelölésének és megerősítésének megszervezéséért.
Hillary clinton
Hillary Clinton, Obama kormányának korábbi külügyminisztere, legyőzte Bernie Sanders-t, hogy a demokraták elnökjelöltje legyen a 2016-os választásokon, és Donald Trump és az orosz kormány célkeresztjébe került.
John Podesta
A DC politika hosszú ideje dolgozó veteránja, John Podesta az előző két demokrata elnök alatt szolgált, mielőtt Hillary Clinton 2016-os elnöki kampányának elnökeként lépett fel.
A GRU tizenkettő
Mind a tizenkét feltételezett hacker a GRU - az orosz kormány elit külföldi hírszerző szervezete - munkatársa. Mindannyian változó rangú katonatisztek, és mindannyian olyan egységek részei voltak, amelyek kifejezetten a választás elferdítésével voltak megbízva.
Mueller vádirata szerint a 26165-ös egység volt felelős a DNC, a DCCC és a Clinton kampányához kapcsolódó egyének feltöréséért. A 74455-ös egység nyilvánvalóan rejtett propagandistákként tevékenykedett, lopott dokumentumok kiszivárogtatásával, valamint Clinton- és demokráciaellenes tartalmak közzétételével különböző online csatornákon keresztül.
A biztonsági szakemberek jobban ismerhetik a két egység kódneveit, amikor 2016-ban először felfedezték őket: a Cozy Bear és a Fancy Bear.
A 12 érintett hacker állítólag:
Név | Szerep | Rang |
Viktor Boriszovics Nyetyksho | A 26165 egység parancsnoka, felelős a DNC és más célpontok feltöréséért | Ismeretlen |
Borisz Alekszejevics Antonov | Felügyelte a 26165-ös egység lándzsázási kampányait | Jelentősebb |
Dmitrij Szergejevics Badin | Antonov főosztályvezető-helyettes | Ismeretlen |
Ivan Szergejevics Jermakov | Hackeléseket hajtott végre a 26165 egységnél | Ismeretlen |
Alekszej Viktorovics Lukasev | Lándzsás támadásokat hajtott végre a 26165 egységnél | 2. hadnagy |
Szergej Alekszandrovics Morgacsov | Felügyelte a 26165 egység rosszindulatú programok fejlesztését és kezelését | alezredes |
Nyikolaj Jurjevics Kozacsek | Kártevő programot fejlesztett a 26165 egységhez | Százados hadnagy |
Pavel Vjacseszlavovics Jerov | Tesztelt kártevő szoftver a 26165 egységhez | Ismeretlen |
Artem Andrejevics Malisev | Figyelte a 26165 egység rosszindulatú programját | 2. hadnagy |
Alekszandr Vlagyimirovics Oszadcsuk | Az 74455 egység parancsnoka, aki az ellopott dokumentumok kiszivárogtatásáért felelős | Ezredes |
Alekszej Alekszandrovics Potjomkin | Az informatikai infrastruktúra felügyelt felügyelete | Ismeretlen |
Anatolij Szergejevics Kovaljov | Hackeléseket hajtott végre a 74455 egységnél | Ismeretlen |
OLVASSA TOVÁBB: A technológiai vállalatok elárulják az adatait a kormánynak
Hogyan tervezték a csapkodást
Minden sikeres kibertámadás kulcsa a tervezés és a felderítés, ezért a 26165-ös egység operatív munkatársai számára az első feladat a Clinton-kampány infrastruktúrájának gyengeségeinek meghatározása volt - ezek aztán kihasználhatók.
Március 15 .:
Ivan Jermakov megkezdi a DNC infrastruktúrájának átvizsgálását a csatlakoztatott eszközök azonosítása érdekében. Megkezdi a DNC hálózatának kutatását, valamint Clinton és általában a demokraták kutatását.
Március 19 .:
John Podesta egy olyan lándzsás e-mailre esik, amelyet állítólag Alekszej Lukasev készített és Google biztonsági riasztásnak álcázott, így az oroszok hozzáférhetnek személyes e-mail fiókjához. Ugyanezen a napon Lukasev lándzsás támadásokkal célozza meg a kampány többi vezető tisztviselőjét, köztük Robby Mook kampánymenedzsert.
Március 21 .:
Podesta személyes e-mail fiókját Lukasev és Jermakov tisztítja meg; összesen több mint 50 000 üzenettel készülnek.
Március 28 .:
Lukasev sikeres lándzsakampánya az e-mail bejelentkezési adatok és a Clinton kampányához kapcsolódó különféle emberek több ezer üzenetének ellopásához vezet.
Április 6 .:
Az oroszok hamis e-mail címet hoznak létre a Clinton tábor egyik ismert alakja számára, csak egy betű különbséggel az illető nevétől. Ezt az e-mail címet aztán Lukasev arra használja, hogy legalább 30 különböző kampányszemélyzetet lándzsázzon el, és a DCCC alkalmazottját átverik a bejelentkezési adatok átadására.
OLVASSA TOVÁBB: Hogyan tárta fel a Google az orosz amerikai választási beavatkozás bizonyítékait
A DNC megsértése
A kezdeti előkészítő munka most befejeződött, az oroszok erősen betaláltak a demokraták hálózatába a rendkívül hatékony lándzsakampánynak köszönhetően. A következő lépés az volt, hogy kihasználják ezt a lábfejet a további hozzáférés megszerzése érdekében.
Április 7 .:
A kezdeti márciusi felderítéshez hasonlóan Jermakov a DCCC hálózatán csatlakoztatott eszközöket kutat.
Április 12.:
Egy akaratlan DCCC alkalmazottól ellopott hitelesítő adatok felhasználásával az oroszok hozzáférést kapnak a DCCC belső hálózataihoz. Április és június között legalább tíz DCCC számítógépre telepítik az „X-Agent” nevű rosszindulatú program különféle verzióit - amely lehetővé teszi a fertőzött eszközök távoli billentyűzárát és képernyő-rögzítését.
Ez a rosszindulatú program az érintett számítógépekről továbbítja az adatokat az oroszok által bérelt arizonai szerverre, amelyet AMS-panelnek neveznek. Erről a panelről távolról figyelhetik és kezelhetik a rosszindulatú programokat.
Április 14 .:
Nyolc órán át az oroszok az X-Agent használatával ellopják a DCCC adománygyűjtő és választói tájékoztató programjainak jelszavait, Mueller vádemelési kérelmeit, valamint figyelemmel kísérik a DCCC alkalmazottai közötti kommunikációt, amely személyes adatokat és banki adatokat tartalmazott. A beszélgetések a DCCC pénzügyeiről is tartalmaznak információkat.
Április 15 .:
Az oroszok az egyik feltört DCCC PC-n keresnek különféle kulcsszavakat, beleértve a „Hillary”, a „Cruz” és a „Trump” kifejezéseket. Másolnak kulcsfontosságú mappákat is, például egy „Benghazi Investigations” feliratot.
Április 18 .:
az alexa auto beállítása
A DNC hálózatát az oroszok megsértik, akik hozzáférést kapnak egy DCCC munkatársának hitelesítő adatainak felhasználásával, hozzáférési engedéllyel a DNC rendszereihez.
Április 19 .:
Jeroszov és Nyikolaj Kozacsek nyilvánvalóan egy harmadik számítógépet állítottak fel az Egyesült Államokon kívül, hogy közvetítőként működjenek az arizonai AMS panel és az X-Agent rosszindulatú programok között annak érdekében, hogy elhomályosítsák a kettő közötti kapcsolatot.
Április 22 .:
A DNC PC-kről ellopott adatok több gigabájtnyi adatát archívumba tömörítik. Ezek az adatok tartalmazzák az ellenzéki kutatásokat és a terepi műveletek terveit. Az elkövetkező héten az oroszok egy másik rosszindulatú programot - az „X-Tunnel” -t - használtak, hogy titkosított kapcsolatokon keresztül kiszűrjék ezeket az adatokat a DNC hálózatából egy másik lízingelt gépbe Illinoisban.
Május 13 .:
Májusban valamikor a DNC és a DCCC is tudomást szerez arról, hogy veszélybe kerültek. A szervezetek a CrowdStrike kiberbiztonsági céget veszik fel a hackerek kiszűrésére a rendszereikből, míg az oroszok lépéseket tesznek tevékenységeik elrejtésére, például kitörlik az eseménynaplókat bizonyos DNC gépekről.
Május 25 .:
Az oroszok egy hét folyamán állítólag több ezer e-mailt lopnak el a DNC alkalmazottainak munkahelyi számláiról, miután feltörték a DNC Microsoft Exchange Server szerverét, míg Yermakov a PowerShell parancsokat kutatja az Exchange Server elérésére és futtatására.
Május 31 .:
Yermakov kutatást kezd a CrowdStrike-ról, valamint az X-Agent és az X-Tunnel vizsgálatáról, feltehetően annak érdekében, hogy lássa, mennyit tud a cég.
Június 1.:
Másnap az oroszok megpróbálják felhasználni a CCleaner-t - a merevlemez-hely felszabadítására tervezett freeware-eszközt -, hogy elpusztítsák a DCCC hálózatán végzett tevékenységük bizonyítékait.
OLVASSA TOVÁBB: Oroszország áll egy globális hacker kampány mögött, amelynek célja a hivatalos titkok ellopása?
A Guccifer 2.0 születése
Az oroszok most jelentős mennyiségű adatot szűrtek le a DNC-től. Ez az információ a Podesta személyes e-mailjeinek tárházával kombinálva megadja nekik az összes muníciót, amelyre Clinton kampányának megtámadásához szükségük van.
Június 8.:
A DCLeaks.com állítólag az oroszok által indított, a megfelelő Facebook-oldalakkal és Twitter-fiókokkal együtt, a Podesta és a DNC által ellopott anyagok terjesztésének módjaként. Az oldal állítása szerint amerikai hacktivisták működtetik, de Mueller vádirata szerint ez hazugság.
Június 14.:
A CrowdStrike és a DNC elárulják, hogy a szervezetet feltörték, és nyilvánosan vádolják az orosz kormányt. Oroszország tagadja a támadásban való részvételét. Június folyamán a CrowdStrike megkezdi az intézkedéseket a feltörés mérséklése érdekében.
Június 15.:
A CrowdStrike vádjára válaszul az oroszok a Guccifer 2.0 karakterét füstvédőként hozzák létre - állítja Mueller, amelynek célja kételyeket vetni az orosz részvételre a hekkekben. Az oroszok csapata egyedüli román hackerként szerepel a támadásért.
Csak ki az a Guccifer?
Míg a Guccifer 2.0 egy fiktív személy, amelyet orosz operatív munkatársak hoztak létre, valójában egy valós személyen alapszik. Az eredeti Guccifer egy igazi román hacker volt, aki 2013-ban ismertségre tett szert, miután kiadta George W. Bush fényképeit, amelyeket nővére AOL-fiókjából feltörtek. A név szerinte a „Gucci” és a „Lucifer” portmanteau.
Végül számos román tisztviselő feltörésének gyanúja miatt letartóztatták és kiadatták az Egyesült Államoknak. Az oroszok feltehetően abban reménykedtek, hogy a tisztviselők feltételezik, hogy ő is áll a Guccifer 2.0 cselekedetei mögött, annak ellenére, hogy májusban már bűnösnek vallotta magát a szövetségi vádakban.
Június 20.:
Ekkorra az oroszok hozzáférést kaptak 33 DNC végponthoz. A CrowdStrike eközben az X-Agent összes példányát kiküszöbölte a DCCC hálózatából - bár az X-Agent legalább egy verziója aktív marad a DNC rendszerein belül októberig.
Az oroszok több mint hét órát töltenek sikertelenül az X-Agent példányaikhoz való csatlakozással a DCCC hálózattal, valamint a korábban ellopott hitelesítő adatok felhasználásával. Kiürítik az AMS panel tevékenységnaplóit is, beleértve az összes bejelentkezési előzményt és használati adatot.
Június 22.:
A WikiLeaks állítólag privát üzenetet küld a Guccifer 2.0-nak, amelyben azt kéri, hogy küldjenek minden új, Clintonnal és a demokratákkal kapcsolatos anyagot, kijelentve, hogy ennek sokkal nagyobb hatása lesz, mint amit te csinálsz.
Július 18 .:
A WikiLeaks megerősíti az ellopott DNC-adatok 1 GB-os archívumának kézhezvételét, és kijelenti, hogy az egy héten belül megjelenik.
Július 22 .:
Szavához híven a WikiLeaks több mint 20 000 e-mailt és dokumentumot bocsát ki, amelyeket elloptak a DNC-től, alig két nappal a Demokratikus Nemzeti Konvent előtt. A WikiLeaks által kiadott legfrissebb e-mail május 25-én kelt - körülbelül ugyanazon a napon, amikor a DNC Exchange Serverjét feltörték.
OLVASSA TOVÁBB: A WikiLeaks szerint a CIA intelligens tévékkel kémkedhet a tulajdonosok ellen
Július 27.:
Sajtótájékoztatón Donald Trump elnökjelölt közvetlenül és kifejezetten kéri, hogy az orosz kormány keresse meg Clinton személyes e-mailjeinek egy részét.
Ugyanezen a napon az oroszok Clinton személyes irodája által használt és egy harmadik fél által üzemeltetett e-mail fiókokat céloznak meg.
Augusztus 15 .:
A WikiLeaks mellett a Guccifer 2.0 számos más kedvezményezettet is ellopott információkkal lát el. Ez nyilvánvalóan egy amerikai kongresszusi jelöltet is magában foglal, aki információkat kér az ellenfelükről. Ebben az időszakban az oroszok a Guccifer 2.0-t is használják, hogy kommunikálhassanak egy olyan személlyel, aki rendszeresen kapcsolatban áll a Trump-kampány legfőbb tagjaival.
Augusztus 22 .:
A Guccifer 2.0 2,5 GB lopott adatot (ideértve az adományozók nyilvántartásait és több mint 2000 demokrata adományozó személyazonosító adatait) elküldi az akkor nyilvántartásba vett állami lobbistának és online politikai hírforrásnak.
Hét:
Szeptemberben valamikor az oroszok hozzáférést kapnak egy felhőszolgáltatáshoz, amely tesztalkalmazásokat tartalmaz a DNC adatelemzéséhez. A felhőszolgáltatás saját beépített eszközei segítségével pillanatképeket készítenek a rendszerekről, majd átviszik őket az általuk ellenőrzött fiókokba.
Október 7 .:
A WikiLeaks kiadja a Podesta e-mailjeinek első tételét, ami vitát és felfordulást vált ki a médiában. A következő hónapban a szervezet kiadja mind az 50 000 e-mailt, amelyet állítólag Lukasev lopott el a számlájáról.
Október 28 .:
Kovalev és bajtársai a választások lebonyolításáért felelős állami és megyei hivatalokat veszik célba olyan kulcsfontosságú swing államokban, mint Florida, Georgia és Iowa - áll Mueller vádiratában.
November:
November első hetében, közvetlenül a választások előtt, Kovalev hamis e-mail fiókot használ lándzsa adathalász 100 cél felett akik részt vesznek a választások lebonyolításában és felügyeletében Floridában - ahol Trump 1,2% -kal nyert. Az e-maileket úgy tervezték, hogy úgy nézzenek ki, mintha egy olyan szoftvergyártótól érkeztek volna, amely a szavazók ellenőrzési rendszereit nyújtja. Ezt a vállalatot Kovalev augusztusban feltörte - állítja Mueller.
November 8 .:
A szakértők és a közvélemény-kutatók jóslataival ellentétben Donald Trump, a reality TV sztárja megnyeri a választásokat és az Egyesült Államok elnöke lesz.
OLVASSA TOVÁBB: 16 alkalommal, amikor Trump állampolgár megégette Trump elnököt
Mi történik most?
Noha ez kétségtelenül mérföldkőnek számít mind a globális geopolitikában, mind a kiberbiztonságban, sok szakértő megjegyezte, hogy a GRU 12 ügynökének vádemelése szinte teljesen szimbolikus gesztus, és nem valószínű, hogy letartóztatásokhoz vezetne.
Oroszországnak nincs kiadatási szerződése az Egyesült Államokkal, ezért nem köteles a vádlottakat Muellerhez fordítani. Ez egyébként ugyanaz az oka, hogy az NSA bejelentője, Edward Snowden az elmúlt években Oroszországra korlátozódott.
Egyes források azt sugallják, hogy ezek a vádak figyelmeztetésként működnek, tudatában adva Oroszországnak (és a világnak), hogy az Egyesült Államok előrelép a nyomozásával.
A vádemeléssel az ügyészség nyilvánosságra hozhatja azokat a tényeket és / vagy állításokat, amelyeket a nagy esküdtszék talált - mondta Jean-Jacques Cabou bűnügyi védőügyvéd. Ars Technica . Itt a nagyközönség lehet az egyik tervezett közönség. De az ügyészek bontják a vádiratokat is, hogy üzenetet küldjenek más célpontoknak.
Mueller vizsgálata várhatóan folytatódik.
Ez a cikk eredetileg az IT Pro Alphr testvéroldalán jelent meg.