Av Adam Shepherd
Historien om hvordan 12 hackere angivelig ødelagde verdens mektigste demokrati for å sette Donald Trump på topp
Etter mer enn to år med beskyldninger, anklager, nektelser og spekulasjoner, har spesialråd Robert Muellers etterforskning av potensiell innblanding i det amerikanske presidentvalget 2016 ført ham til Russland. Som en del av en omfattende undersøkelse av russiske statsaktørers innflytelse på valget, har Justisdepartementet formelt anklaget 12 medlemmer av russisk militær etterretning for forskjellige hackingsforbrytelser.
President Vladimir Putin har nektet for all forseelse på vegne av Russland og dets agenter, og har blitt støttet offentlig av president Trump. Til tross for fordømmelse fra høyttaler for det amerikanske representanthuset Paul Ryan, mange offentlige og politiske personer og til og med sin egen direktør for nasjonal etterretning, sa Trump at han ikke ser noen grunn til at Russland ville forsøke å føre valget.
Han gikk deretter tilbake på påstanden og sa at han godtar etterretningssamfunnets konklusjoner om at Russland blandet seg inn i valget i 2016, men sa også at det også kan være andre mennesker, og gjentar påstandene hans om at det ikke var noe samarbeid i det hele tatt.
Påstandene kommer mot en bakgrunn av økende russisk aggresjon på den globale scenen; landet kontrollerer fremdeles Krimhalvøya det grep med makt i 2014, det er påstander om at det hadde en hånd i å organisere Vote Leaves seier i Brexit-folkeavstemningen, og Storbritannia har beskyldt Russland for å forgiftet folk på britisk jord ved å bruke dødelige nervemidler.
Se relatert De ti viktigste teknikkene for å knekke passord som brukes av hackere
Til tross for Trumps protester er cybersikkerhets- og etterretningssamfunnene nesten enstemmig enige om at Russland stjal valget i 2016 ved å bruke en kampanje med sofistikert cyber- og informasjonskrigføring for å sikre resultatet de ønsket.
Men i så fall, hvordan gjorde de det?
Takket være tiltalen mot russiske operatører, har vi nå en ganske god ide om hvordan hackingen angivelig ble utført. Muellers arkivering inkluderer detaljer som datoer, metoder og angrepsvektorer, slik at vi kan bygge en detaljert tidslinje for hvordan nøyaktig 12 russiske menn kan ha sporet verdens mektigste demokrati. Denne artikkelen undersøker hvordan det kunne ha skjedd, basert på beskyldningene som er beskrevet i Muellers tiltale.
LES NESTE: Russiske kontoer brukte £ 76k på valgannonser i 2016
Målene
Målet med den russiske regjeringen under valget i 2016 virker klart: å legge til rette for forhøyelsen av Donald J Trump til kontoret som president i USA, på alle nødvendige måter.
For å gjøre det, trengte russerne å finne en måte å få sin rivaliserende kandidat av styret, noe som førte dem til å målrette mot fire hovedpartier med en sofistikert og langsiktig hackingkampanje.
DCCC
Den demokratiske kongresskampanjekomiteen (eller 'D-trip', som den er kjent i folkemunne) er ansvarlig for å få så mange demokrater valgt til det amerikanske representanthuset som mulig, og gi støtte, veiledning og finansiering til potensielle kandidater i kongressløp.
DNC
Styrende organ for USAs demokratiske parti, Den demokratiske nasjonale komiteen har ansvaret for å organisere demokratenes overordnede strategi, samt organisere nominasjonen og bekreftelsen av partiets presidentkandidat ved hvert valg.
Hillary Clinton
Den tidligere utenriksministeren under Obama, Hillary Clinton, beseiret Bernie Sanders for å bli demokratenes presidentkandidat ved valget i 2016, og førte henne inn i kryssordet til Donald Trump og den russiske regjeringen.
John Podesta
En langvarig veteran fra DC-politikk, John Podesta, har tjent under de to foregående demokratiske presidentene, før han fungerte som formann for Hillary Clintons presidentkampanje i 2016.
GRU Tolv
Alle tolv mistenkte hackere jobber for GRU - den russiske regjeringens elite utenlandske etterretningsorganisasjon. Alle er militære offiserer i forskjellige rekker, og alle var en del av enheter som spesielt hadde til oppgave å pervertere løpet av valget.
I følge Muellers tiltale var Unit 26165 ansvarlig for hacking av DNC, DCCC og enkeltpersoner tilknyttet Clintons kampanje. Enhet 74455 hadde tilsynelatende i oppgave å fungere som skjulte propagandister, lekke stjålne dokumenter og publisere anti-Clinton og antidemokratisk innhold gjennom forskjellige online-kanaler.
Sikkerhetsfagfolk kan være mer kjent med kodenavnene som ble gitt til disse to enhetene da de først ble oppdaget i 2016: Cozy Bear og Fancy Bear.
De 12 involverte hackerne hevdes å være:
Navn | Roll | Rang |
Viktor Borisovich Netyksho | Sjef for enhet 26165, ansvarlig for hacking av DNC og andre mål | Ukjent |
Boris Alekseyevich Antonov | Overvåket spearphishing-kampanjer for enhet 26165 | Major |
Dmitry Sergeyevich Badin | Assisterende avdelingsleder til Antonov | Ukjent |
Ivan Sergeyevich Jermakov | Gjennomførte hackingoperasjoner for enhet 26165 | Ukjent |
Aleksey Viktorovich Lukashev | Gjennomførte spearphishing-angrep for enhet 26165 | 2. løytnant |
Sergey Aleksandrovich Morgachev | Overvåket utvikling og administrasjon av skadelig programvare for enhet 26165 | oberstløytnant |
Nikolay Yuryevich Kozachek | Utviklet skadelig programvare for enhet 26165 | Løytnant kaptein |
Pavel Vyacheslavovich Yershov | Testet skadelig programvare for enhet 26165 | Ukjent |
Artem Andreyevich Malyshev | Overvåket skadelig programvare for enhet 26165 | 2. løytnant |
Aleksandr Vladimirovich Osadchuk | Sjef for enhet 74455, ansvarlig for å lekke stjålne dokumenter | Oberst |
Aleksey Aleksandrovich Potemkin | Overvåket administrasjon av IT-infrastruktur | Ukjent |
Anatoliy Sergeyevich Kovalev | Gjennomførte hackingoperasjoner for enhet 74455 | Ukjent |
LES NESTE: Teknologibedriftene som røper dataene dine til myndighetene
Hvordan hackingen var planlagt
Nøkkelen til ethvert vellykket cyberangrep er planlegging og rekognosering, så den første oppgaven for operatørene til Unit 26165 var å identifisere svakhetene i Clinton-kampanjens infrastruktur - svakheter som deretter kan utnyttes.
15. mars:
Ivan Yermakov begynner å skanne DNCs infrastruktur for å identifisere tilkoblede enheter. Han begynner også å forske på DNCs nettverk, samt forskning på Clinton og demokratene generelt.
19. mars:
John Podesta faller for en e-post som angivelig ble opprettet av Aleksey Lukashev og forkledd som et sikkerhetsvarsel fra Google, noe som gir russerne tilgang til hans personlige e-postkonto. Samme dag bruker Lukashev spearfishing-angrep for å målrette andre høytstående kampanjetjenestemenn, inkludert kampanjeleder Robby Mook.
21. mars:
Podestas personlige e-postkonto blir renset av Lukashev og Yermakov; de slipper til med mer enn 50000 meldinger totalt.
28. mars:
Lukashevs vellykkede spearphishing-kampanje fører til tyveri av påloggingsinformasjon for e-post og tusenvis av meldinger fra forskjellige mennesker knyttet til Clintons kampanje.
6. april:
Russerne oppretter en falsk e-postadresse for en kjent figur i Clinton-leiren, med bare en bokstavforskjell fra personens navn. Denne e-postadressen blir deretter brukt av Lukashev til å spire phish minst 30 forskjellige kampanjemedarbeidere, og en DCCC-ansatt blir lurt til å overlevere påloggingsinformasjonen sin.
LES NESTE: Hvordan Google avdekket bevis på russisk amerikansk valginnblanding
Hvordan DNC ble brutt
Det første forberedelsesarbeidet som nå var fullført, hadde russerne et sterkt fotfeste i Demokratenes nettverk takket være en svært effektiv spearphishing-kampanje. Det neste trinnet var å utnytte fotfeste for å få ytterligere tilgang.
7. april:
Som med den første rekognoseringen i mars, forsker Yermakov på tilkoblede enheter på DCCCs nettverk.
12. april:
Ved hjelp av legitimasjon stjålet fra en uvitende DCCC-ansatt, får russerne tilgang til DCCCs interne nettverk. Mellom april og juni installerer de ulike versjoner av et stykke malware med navnet ‘X-Agent’ - som tillater ekstern nøkkelogging og skjermopptak av infiserte enheter - på minst ti DCCC-datamaskiner.
Denne skadelige programvaren overfører data fra berørte datamaskiner til en Arizona-server leid av russerne, som de omtaler som et AMS-panel. Fra dette panelet kan de overvåke og administrere skadelig programvare eksternt.
14. april:
I løpet av en åtte timers periode bruker russerne X-Agent for å stjele passord for DCCC-innsamlings- og velgeroppsøkende programmer, Muellers tiltale påstander, samt overvåke kommunikasjon mellom DCCC-ansatte som inkluderte personlig informasjon og bankopplysninger. Samtalene inkluderer også informasjon om DCCCs økonomi.
15. april:
Russerne søker på en av hackede DCCC-PC-er etter forskjellige nøkkelord, inkludert 'Hillary', 'Cruz' og 'Trump'. De kopierer også nøkkelmapper, for eksempel en merket ‘Benghazi Investigations’.
18. april:
hvordan få en nattbot på rykning
DNCs nettverk brytes av russerne, som får tilgang ved å bruke legitimasjonen til en DCCC-medarbeider med tillatelse til å få tilgang til DNCs systemer.
19. april:
Yershov og Nikolay Kozachek satte tilsynelatende opp en tredje datamaskin utenfor USA, for å fungere som et stafett mellom det Arizona-baserte AMS-panelet og X-Agent-malware for å forvirre forbindelsen mellom de to.
22. april:
Flere gigabyte med data stjålet fra DNC-PCer komprimeres til et arkiv. Disse dataene inkluderer opposisjonsforskning og planer for feltoperasjoner. I løpet av den neste uken bruker russerne en annen tilpasset malware - 'X-Tunnel' - for å exfiltrere disse dataene fra DNCs nettverk til en annen leid maskin i Illinois, via krypterte forbindelser.
13. mai:
På et eller annet tidspunkt i løpet av mai blir både DNC og DCCC klar over at de er blitt kompromittert. Organisasjonene ansetter cybersecurity-firmaet CrowdStrike for å utrydde hackerne fra systemene sine, mens russerne begynner å ta skritt for å skjule aktivitetene, for eksempel å rydde hendelsesloggene fra visse DNC-maskiner.
25. mai:
I løpet av en uke skal russerne ha stjålet tusenvis av e-poster fra arbeidskontoene til DNCs ansatte etter å ha hacket seg inn på DNCs Microsoft Exchange Server, mens Yermakov undersøker PowerShell-kommandoer for tilgang til og kjøring av Exchange Server.
31. mai:
Yermakov begynner å forske på CrowdStrike og etterforskningen av X-Agent og X-Tunnel, antagelig i et forsøk på å se hvor mye selskapet vet.
1. juni:
Dagen etter prøver russerne å bruke CCleaner - et freeware-verktøy designet for å frigjøre harddiskplass - for å ødelegge bevis for deres aktivitet på DCCCs nettverk.
LES NESTE: Står Russland bak en global hackingkampanje i et forsøk på å stjele offisielle hemmeligheter?
Fødselen til Guccifer 2.0
Russerne har nå exfiltrert en betydelig mengde data fra DNC. Denne informasjonen, kombinert med skatten til Podestas personlige e-post, gir dem all ammunisjonen de trenger for å angripe Clintons kampanje.
8. juni:
DCLeaks.com lanseres, angivelig av russerne, sammen med matchende Facebook-sider og Twitter-kontoer, som en måte å spre materialet de har stjålet fra Podesta og DNC. Nettstedet hevder at det drives av amerikanske hacktivister, men Muellers tiltale hevder at dette er en løgn.
14. juni:
CrowdStrike og DNC avslører at organisasjonen er blitt hacket, og anklager den russiske regjeringen offentlig. Russland nekter for all involvering i angrepet. I løpet av juni begynner CrowdStrike å iverksette tiltak for å redusere hackingen.
15. juni:
Som svar på CrowdStrikes beskyldning skaper russerne karakteren til Guccifer 2.0 som en røykskjerm, hevder Mueller, ment å så tvil om russisk involvering i hackene. Teamet av russere stiller seg som en eneste rumensk hacker, og tar æren for angrepet.
Hvem er Guccifer?
Mens Guccifer 2.0 er en fiktiv persona opprettet av russiske agenter, er den faktisk basert på en ekte person. Den opprinnelige Guccifer var en ekte rumensk hacker som ble kjent i 2013 etter å ha gitt ut bilder av George W. Bush som hadde blitt hacket fra søsterens AOL-konto. Navnet, sier han, er et portmanteau av ‘Gucci’ og ‘Lucifer’.
Han ble til slutt arrestert mistenkt for å ha hacket en rekke rumenske tjenestemenn og utlevert til USA. Russerne håpet antagelig at tjenestemenn ville anta at han også sto bak handlingene til Guccifer 2.0, til tross for at han allerede hadde erkjent straffskyld for føderale anklager i mai.
20. juni:
På dette tidspunktet har russerne fått tilgang til 33 DNC-endepunkter. CrowdStrike har i mellomtiden eliminert alle forekomster av X-Agent fra DCCCs nettverk - selv om minst én versjon av X-Agent vil forbli aktiv i DNCs systemer frem til oktober.
Russerne bruker mer enn syv timer uten å prøve å koble til sine X-Agent-forekomster med DCCC-nettverket, i tillegg til å prøve å bruke tidligere stjålet legitimasjon for å få tilgang til det. De renser også AMS-panelets aktivitetslogger, inkludert all påloggingslogg og bruksdata.
22. juni:
WikiLeaks sender angivelig en privat melding til Guccifer 2.0 og ber om at de sender over alt nytt materiale relatert til Clinton og demokratene, og sier at det vil ha mye større innvirkning enn det du gjør.
18. juli:
WikiLeaks bekrefter mottak av et 1 GB arkiv med stjålne DNC-data og oppgir at de vil bli utgitt i løpet av uken.
22. juli:
I samsvar med ordet slipper WikiLeaks over 20 000 e-poster og dokumenter stjålet fra DNC, bare to dager før den demokratiske nasjonale konferansen. Den siste e-posten som ble utgitt av WikiLeaks er datert 25. mai - omtrent samme dag som DNCs Exchange Server ble hacket.
LES NESTE: WikiLeaks sier at CIA kan bruke smarte TV-er til å spionere på eiere
27. juli:
Under en pressekonferanse ber presidentkandidat Donald Trump direkte og spesifikt om at den russiske regjeringen finner en del av Clintons personlige e-post.
Samme dag retter russerne seg mot e-postkontoer som brukes av Clintons personlige kontor og er vert for en tredjepartsleverandør.
15. august:
I tillegg til WikiLeaks forsyner Guccifer 2.0 også stjålne opplysninger til en rekke andre mottakere. Dette inkluderer tilsynelatende en amerikansk kongresskandidat som ber om informasjon om deres motstander. I løpet av denne perioden bruker russerne også Guccifer 2.0 for å kommunisere med en person som er i regelmessig kontakt med toppmedlemmer i Trump-kampanjen.
22. august:
Guccifer 2.0 sender 2,5 GB stjålne data (inkludert giveropptegnelser og personlig identifiserbar informasjon om mer enn 2000 demokratiske givere) til en daværende registrert statslobbyist og online kilde til politiske nyheter.
Syv:
På et tidspunkt i september får russerne tilgang til en skytjeneste som inneholder testapper for DNC-dataanalyse. Ved hjelp av skytjenestens egne innebygde verktøy lager de øyeblikksbilder av systemene, og overfører dem deretter til kontoer de kontrollerer.
7. okt:
WikiLeaks lanserer det første partiet av Podestas e-postmeldinger, noe som utløser kontrovers og opprør i media. I løpet av neste måned vil organisasjonen frigjøre alle 50000 e-postmeldinger som angivelig er stjålet fra hans konto av Lukashev.
28. okt:
Kovalev og hans kamerater retter seg mot stats- og fylkeskontorer som er ansvarlige for å administrere valg i viktige svingstater, inkludert Florida, Georgia og Iowa, sier Muellers tiltale.
Nov:
I den første uken i november, like før valget, bruker Kovalev en falsk e-postkonto til å spyd phish over 100 mål som er involvert i å administrere og føre tilsyn med valg i Florida - der Trump vant med 1,2%. E-postene er designet for å se ut som om de hadde kommet fra en programvareleverandør som leverer velgerverifiseringssystemer, et selskap som Kovalev hacket tilbake i august, hevder Mueller.
8. nov:
I motsetning til spådommer fra eksperter og meningsmålere, vinner reality-TV-stjernen Donald Trump valget og blir USAs president.
LES NESTE: 16 ganger der borger Trump brente president Trump
Hva skjer nå?
Selv om dette utvilsomt er et landemerke i både global geopolitikk og cybersikkerhet, har mange eksperter bemerket at tiltalen til de 12 GRU-agentene er en nesten helt symbolsk gest, og neppe vil føre til arrestasjoner.
Russland har ingen utleveringsavtale med USA, og er derfor ikke forpliktet til å overgi de tiltalte mennene til Mueller. Dette er for øvrig den samme grunnen til at NSA-varsleren Edward Snowden har vært begrenset til Russland de siste årene.
Intensjonen, som noen kilder har antydet, er at disse tiltalen skal fungere som en advarsel, og la Russland (og verden) få vite at USA skyver fremover med sin etterforskning.
Påtalemyndigheten kan offentliggjøre fakta og / eller påstander funnet av storjuryen, fortalte kriminell forsvarsadvokat Jean-Jacques Cabou. Ars Technica . Her kan publikum generelt være et tiltenkt publikum. Men påtalemyndigheter fjerner også tiltale for å sende en melding til andre mål.
Muellers etterforskning forventes å fortsette.
Denne artikkelen dukket opprinnelig opp på Alphr søsterside IT Pro.