Адам Шеперд
Рассказ о том, как 12 хакеров якобы развратили самую могущественную демократию в мире, чтобы поставить Дональда Трампа на первое место
После более чем двух лет обвинений, упреков, опровержений и домыслов расследование специального советника Роберта Мюллера о возможном вмешательстве в президентские выборы в США в 2016 году привело его в Россию. В рамках широкомасштабного расследования влияния российских государственных деятелей на выборы Министерство юстиции официально обвинило 12 сотрудников российской военной разведки в различных хакерских преступлениях.
Президент Владимир Путин отрицал все правонарушения от имени России и ее агентов и был публично поддержан президентом Трампом. Несмотря на осуждение со стороны спикера Палаты представителей США Пола Райана, многочисленных общественных и политических деятелей и даже его собственного директора национальной разведки, Трамп заявил, что не видит никаких причин, по которым Россия попытается повлиять на выборы.
Впоследствии он отказался от этого утверждения, заявив, что он принимает выводы разведывательного сообщества о том, что Россия вмешалась в выборы 2016 года, но также сказал, что это могли быть и другие люди, повторив свои утверждения об отсутствии сговора вообще.
Обвинения выдвигаются на фоне усиливающейся агрессии России на мировой арене; страна по-прежнему контролирует Крым, который она захватила силой в 2014 году, есть утверждения, что она приложила руку к организации победы над голосованием на референдуме по Брекситу, а Великобритания обвинила Россию в отравлении людей на британской земле с помощью смертоносных нервно-паралитических агентов.
См. Связанные Десять основных методов взлома паролей, используемых хакерами
Несмотря на протесты Трампа, сообщества кибербезопасности и разведки почти единодушно согласны с тем, что Россия украла выборы 2016 года, используя кампанию изощренной кибернетической и информационной войны для обеспечения желаемого результата.
Но если да, то как они это сделали?
Благодаря обвинению, предъявленному российским оперативникам, мы теперь имеем довольно хорошее представление о том, как якобы был осуществлен взлом. Документация Мюллера включает в себя такие детали, как даты, методы и векторы атак, что позволяет нам построить подробный график того, как именно 12 российских мужчин могли подорвать самую могущественную в мире демократию. В этой статье исследуется, как это могло произойти, на основе обвинений, изложенных в обвинительном заключении Мюллера.
ЧИТАЙТЕ СЛЕДУЮЩИЙ: российские аккаунты потратили 76 тысяч фунтов стерлингов на предвыборную рекламу 2016 года
Цели
Цель российского правительства на выборах 2016 года кажется ясной: способствовать продвижению Дональда Дж. Трампа на пост президента США любыми необходимыми средствами.
Для этого русским нужно было найти способ избавиться от своего соперника-кандидата, что привело к тому, что они нацелились на четыре основные стороны с помощью сложной и долгосрочной хакерской кампании.
DCCC
Комитет Демократической кампании Конгресса (или, как его называют в просторечии, «Д-трип») отвечает за избрание как можно большего числа демократов в Палату представителей США, обеспечивая поддержку, руководство и финансирование потенциальным кандидатам в гонках в Конгресс.
DNC
Руководящий орган Демократической партии Соединенных Штатов, Национальный комитет Демократической партии, отвечает за организацию общей стратегии демократов, а также за организацию выдвижения и утверждения кандидата в президенты от партии на каждых выборах.
Хиллари Клинтон
Бывший госсекретарь при Обаме Хиллари Клинтон победила Берни Сандерса и стала кандидатом в президенты от демократов на выборах 2016 года, поставив ее под прицел Дональда Трампа и правительства России.
Джон Подеста
Давний ветеран политики округа Колумбия, Джон Подеста служил при двух предыдущих президентах-демократах, прежде чем возглавить президентскую кампанию Хиллари Клинтон в 2016 году.
ГРУ Двенадцать
Все двенадцать подозреваемых в хакерстве работают на ГРУ - элитную организацию внешней разведки правительства России. Все они являются офицерами различных рангов, и все они входили в состав подразделений, которым было поручено искоренить ход выборов.
Согласно обвинительному заключению Мюллера, подразделение 26165 отвечало за взлом DNC, DCCC и лиц, связанных с кампанией Клинтона. Подразделению 74455, по-видимому, было поручено действовать в качестве тайных пропагандистов, сливать украденные документы и публиковать антиклинтонский и антидемократический контент через различные онлайн-каналы.
Специалисты по безопасности могут быть более знакомы с кодовыми названиями, данными этим двум устройствам, когда они были впервые обнаружены в 2016 году: Cozy Bear и Fancy Bear.
Утверждается, что замешаны 12 хакеров:
Имя | Роль | Классифицировать |
Viktor Borisovich Netyksho | Командир подразделения 26165, ответственный за взлом DNC и других целей. | Неизвестный |
Boris Alekseyevich Antonov | Руководил кампаниями по целевому фишингу для подразделения 26165. | Главный |
Dmitry Sergeyevich Badin | Заместитель начальника отдела Антонова | Неизвестный |
Ivan Sergeyevich Yermakov | Проведены хакерские операции для Юнита 26165. | Неизвестный |
Aleksey Viktorovich Lukashev | Проведены целевые фишинговые атаки для Отряда 26165. | 2-й лейтенант |
Sergey Aleksandrovich Morgachev | Курировал разработку и управление вредоносным ПО для подразделения 26165. | лейтенант полковник |
Nikolay Yuryevich Kozachek | Разработано вредоносное ПО для Unit 26165. | Капитан-лейтенант |
Pavel Vyacheslavovich Yershov | Протестировано вредоносное ПО для Unit 26165 | Неизвестный |
Artem Andreyevich Malyshev | Отслеживаемое вредоносное ПО для модуля 26165 | 2-й лейтенант |
Aleksandr Vladimirovich Osadchuk | Командир подразделения 74455, ответственный за утечку украденных документов. | Полковник |
Aleksey Aleksandrovich Potemkin | Контролируемое администрирование ИТ-инфраструктуры | Неизвестный |
Anatoliy Sergeyevich Kovalev | Проведены хакерские операции для Юнита 74455. | Неизвестный |
ЧИТАЙТЕ СЛЕДУЮЩИЙ: технологические компании передают ваши данные правительству
Как планировался взлом
Ключом к любой успешной кибератаке является планирование и разведка, поэтому первой задачей оперативников подразделения 26165 было выявление слабых мест в инфраструктуре кампании Клинтона - слабых мест, которые затем можно было бы использовать.
15 марта:
Иван Ермаков начинает сканирование инфраструктуры DNC с целью выявления подключенных устройств. Он также начинает проводить исследования сети DNC, а также исследования Клинтона и демократов в целом.
19 марта:
Джон Подеста попался на фишинговое электронное письмо, якобы созданное Алексеем Лукашевым и замаскированное под оповещение системы безопасности Google, дающее россиянам доступ к его личной учетной записи электронной почты. В тот же день Лукашев использует целевые фишинговые атаки для нападения на других высокопоставленных должностных лиц кампании, включая руководителя кампании Робби Мука.
21 марта:
Личный электронный ящик Подесты очищают Лукашев и Ермаков; в общей сложности они отправляют более 50 000 сообщений.
28 марта:
Успешная кампания Лукашева по целевому фишингу приводит к краже учетных данных электронной почты и тысяч сообщений от различных людей, связанных с кампанией Клинтона.
6 апреля:
Русские создают поддельный адрес электронной почты для известного деятеля в лагере Клинтона, отличающийся от имени всего на одну букву. Затем этот адрес электронной почты используется Лукашевым для рассылки фишинга по крайней мере 30 различным сотрудникам кампании, а сотрудника DCCC обманом заставляют передать свои учетные данные.
ЧИТАЙТЕ СЛЕДУЮЩИЙ: Как Google обнаружил доказательства вмешательства России в выборы в США
Как был нарушен DNC
Начальная подготовительная работа теперь завершена, русские прочно закрепились в сети демократов благодаря высокоэффективной кампании целевого фишинга. Следующим шагом было усиление этой точки опоры для получения дальнейшего доступа.
7 апреля:
Как и во время первоначальной разведки в марте, Ермаков исследует подключенные устройства в сети DCCC.
12 апреля:
Используя учетные данные, украденные у ничего не подозревающего сотрудника DCCC, русские получают доступ к внутренним сетям DCCC. В период с апреля по июнь они устанавливают различные версии вредоносного ПО под названием «X-Agent», которое позволяет удаленно вести кейлоггинг и делать снимки экрана зараженных устройств, по крайней мере, на десяти компьютерах DCCC.
Эта вредоносная программа передает данные с пораженных компьютеров на арендованный россиянами сервер в Аризоне, который они называют панелью AMS. С этой панели они могут удаленно контролировать свои вредоносные программы и управлять ими.
14 апреля:
В течение восьмичасового периода россияне используют X-Agent для кражи паролей для DCCC по сбору средств и программ по работе с избирателями, как утверждается в обвинительном заключении Мюллера, а также для отслеживания сообщений между сотрудниками DCCC, которые включают личную информацию и банковские реквизиты. Беседы также включают информацию о финансах DCCC.
15 апреля:
Русские ищут на одном из взломанных компьютеров DCCC различные ключевые слова, в том числе «Хиллари», «Круз» и «Трамп». Они также копируют ключевые папки, например папку с надписью «Benghazi Investigations».
18 апреля:
как получить субтитры в плексе
Сеть DNC взломана русскими, которые получают доступ, используя учетные данные сотрудника DCCC с разрешением на доступ к системам DNC.
19 апреля:
Ершов и Николай Козачек, по-видимому, установили третий компьютер за пределами США, чтобы действовать как посредник между панелью AMS из Аризоны и вредоносной программой X-Agent, чтобы скрыть связь между ними.
22 апреля:
Несколько гигабайт данных, похищенных с компьютеров DNC, сжимаются в архив. Эти данные включают исследования оппозиции и планы полевых операций. В течение следующей недели русские используют еще одну специальную вредоносную программу - «X-Tunnel» - для передачи этих данных из сети DNC на другую арендованную машину в Иллинойсе через зашифрованные соединения.
13 мая:
В какой-то момент в мае и DNC, и DCCC узнают, что они были скомпрометированы. Организации нанимают фирму по кибербезопасности CrowdStrike, чтобы искоренить хакеров из своих систем, в то время как русские начинают принимать меры для сокрытия своей деятельности, такие как очистка журналов событий с определенных машин DNC.
25 мая:
В течение недели русские якобы крадут тысячи электронных писем с рабочих учетных записей сотрудников DNC после взлома сервера Microsoft Exchange Server DNC, в то время как Ермаков исследует команды PowerShell для доступа и запуска Exchange Server.
31 мая:
Ермаков начинает исследование CrowdStrike и его расследование в отношении X-Agent и X-Tunnel, предположительно, чтобы узнать, насколько хорошо знает компания.
1 июня:
На следующий день русские пытаются использовать CCleaner - бесплатный инструмент, предназначенный для освобождения места на жестком диске, - чтобы уничтожить доказательства своей активности в сети DCCC.
ЧИТАЙТЕ СЛЕДУЮЩИЙ: Россия стоит за глобальной хакерской кампанией в попытке украсть официальные секреты?
Рождение Guccifer 2.0
Русские теперь извлекли из DNC значительный объем данных. Эта информация в сочетании с сокровищницей личных электронных писем Подесты дает им все необходимое для атаки на кампанию Клинтона.
8 июня:
DCLeaks.com запускается якобы русскими вместе с соответствующими страницами в Facebook и аккаунтами в Twitter как способ распространения материалов, украденных у Подесты и DNC. Сайт утверждает, что им управляют американские хактивисты, но в обвинительном заключении Мюллера утверждается, что это ложь.
14 июня:
CrowdStrike и DNC сообщают, что организация была взломана, и публично обвиняют российское правительство. Россия отрицает свою причастность к нападению. В течение июня CrowdStrike начинает принимать меры по снижению риска взлома.
15 июня:
В ответ на обвинение CrowdStrike русские создают образ Guccifer 2.0 как дымовую завесу, утверждает Мюллер, с целью посеять сомнения в причастности России к взломам. Команда россиян, выдавая себя за единственного румынского хакера, берет на себя ответственность за атаку.
Кто такой Guccifer?
Хотя Guccifer 2.0 - это вымышленный персонаж, созданный российскими оперативниками, на самом деле он основан на реальном человеке. Первоначально Guccifer был настоящим румынским хакером, получившим известность в 2013 году после публикации фотографий Джорджа Буша, которые были взломаны с учетной записи AOL его сестры. Название, по его словам, представляет собой сумку от «Гуччи» и «Люцифер».
В конце концов он был арестован по подозрению в взломе ряда румынских официальных лиц и экстрадирован в США. Русские предположительно надеялись, что официальные лица решат, что он также стоит за действиями Guccifer 2.0, несмотря на то, что он уже признал себя виновным по федеральным обвинениям в мае.
20 июня:
К этому моменту россияне получили доступ к 33 конечным точкам DNC. Тем временем CrowdStrike удалил все экземпляры X-Agent из сети DCCC, хотя по крайней мере одна версия X-Agent останется активной в системах DNC до октября.
Русские тратят более семи часов, безуспешно пытаясь подключиться к своим экземплярам X-Agent в сети DCCC, а также пытаясь использовать ранее украденные учетные данные для доступа к ней. Они также очищают журналы активности панели AMS, включая всю историю входов в систему и данные об использовании.
22 июня:
WikiLeaks якобы отправляет личное сообщение Guccifer 2.0 с просьбой присылать любые новые материалы, касающиеся Клинтона и демократов, заявляя, что они окажут гораздо большее влияние, чем то, что вы делаете.
18 июля:
WikiLeaks подтверждает получение 1 ГБ архива украденных данных DNC и заявляет, что он будет выпущен в течение недели.
22 июля:
Верный своему слову, WikiLeaks публикует более 20 000 электронных писем и документов, украденных у DNC, всего за два дня до Национального съезда Демократической партии. Последнее электронное письмо, опубликованное WikiLeaks, датировано 25 мая - примерно в тот же день, когда был взломан сервер Exchange DNC.
ЧИТАЙТЕ СЛЕДУЮЩИЙ: WikiLeaks утверждает, что ЦРУ может шпионить за владельцами смарт-телевизоров
27 июля:
Во время пресс-конференции кандидат в президенты Дональд Трамп прямо и конкретно просит российское правительство найти транш личных писем Клинтон.
В тот же день русские нацелены на учетные записи электронной почты, используемые личным кабинетом Клинтона и принадлежащие стороннему провайдеру.
15 августа:
Помимо WikiLeaks, Guccifer 2.0 также предоставляет украденную информацию ряду других бенефициаров. Очевидно, в их число входит кандидат в Конгресс США, который запрашивает информацию, касающуюся своего оппонента. В этот период русские также используют Guccifer 2.0 для общения с человеком, который регулярно контактирует с главными участниками кампании Трампа.
22 августа:
Guccifer 2.0 отправляет 2,5 ГБ украденных данных (включая записи доноров и личную информацию о более чем 2000 доноров-демократов) зарегистрированному в то время государственному лоббисту и онлайн-источнику политических новостей.
Семь:
В какой-то момент в сентябре россияне получают доступ к облачному сервису, который содержит тестовые приложения для анализа данных DNC. Используя собственные встроенные инструменты облачной службы, они создают моментальные снимки систем, а затем переносят их в учетные записи, которые они контролируют.
7 октября:
WikiLeaks публикует первую партию электронных писем Подесты, вызывая споры и шум в СМИ. В течение следующего месяца организация опубликует все 50 000 писем, якобы украденных с его аккаунта Лукашевым.
28 октября:
В обвинительном заключении Мюллера говорится, что Ковалев и его товарищи нацелены на офисы штата и округа, ответственные за проведение выборов в ключевых колеблющихся штатах, включая Флориду, Джорджию и Айову.
Ноя:
В первую неделю ноября, незадолго до выборов, Ковалев использует поддельную учетную запись электронной почты, чтобы атаковать фишингом более 100 целей которые участвуют в управлении и наблюдении за выборами во Флориде, где Трамп выиграл с 1,2%. Электронные письма выглядят так, как будто они были отправлены поставщиком программного обеспечения, который предоставляет системы проверки избирателей, компании, которую Ковалев взломал еще в августе, утверждает Мюллер.
8 ноя:
Вопреки предсказаниям экспертов и социологов, звезда реалити-шоу Дональд Трамп побеждает на выборах и становится президентом Соединенных Штатов.
ЧИТАЙТЕ СЛЕДУЮЩИЙ: 16 раз, когда гражданин Трамп сжигал президента Трампа
Что происходит?
Хотя это, несомненно, знаковый момент как для глобальной геополитики, так и для кибербезопасности, многие эксперты отмечают, что обвинение 12 агентов ГРУ является почти полностью символическим жестом и вряд ли приведет к арестам.
У России нет договора об экстрадиции с США, поэтому она не обязана передавать обвиняемых Мюллеру. Это, кстати, та же самая причина, по которой осведомитель АНБ Эдвард Сноуден был ограничен Россией в течение последних нескольких лет.
Некоторые источники предположили, что эти обвинения призваны служить предупреждением, позволяющим России (и миру) узнать, что США продвигают свое расследование.
По словам адвоката Жан-Жака Кабу, адвокат по уголовным делам Жан-Жак Кабу, указав, что обвинение может обнародовать факты и / или утверждения, установленные большим жюри. Ars Technica . Здесь одной целевой аудиторией может быть широкая публика. Но прокуратура также вскрывает обвинительные заключения, чтобы послать сигнал другим целям.
Ожидается, что расследование Мюллера будет продолжено.
Эта статья изначально была опубликована на дочернем сайте Alphr IT Pro.