Autors Ādams Gans
Pasaka par to, kā 12 hakeri, iespējams, samaitāja pasaules visvarenāko demokrātiju, izvirzot Donaldu Trampu augšgalā
Pēc vairāk nekā divu gadu apsūdzībām, apsūdzībām, atteikumiem un spekulācijām īpašā padomnieka Roberta Muellera izmeklēšana par iespējamo iejaukšanos 2016. gada ASV prezidenta vēlēšanās ir novedusi viņu uz Krieviju. Kā daļu no plašas pārbaudes par Krievijas valsts dalībnieku ietekmi uz vēlēšanām, Tieslietu departaments oficiāli apsūdzējis 12 Krievijas militārās izlūkošanas pārstāvjus par dažādiem uzlaušanas pārkāpumiem.
Prezidents Vladimirs Putins ir noliedzis jebkādu pārkāpumu izdarīšanu Krievijas un tās aģentu vārdā, un prezidents Tramps viņu ir publiski atbalstījis. Neraugoties uz ASV Pārstāvju palātas spīkera Pola Raiena, daudzu sabiedrisko un politisko personu un pat viņa paša nacionālās izlūkošanas direktora nosodījumu, Tramps sacīja, ka neredz iemeslu, kāpēc Krievija mēģinātu ietekmēt vēlēšanas.
Pēc tam viņš atkāpās no šī apgalvojuma, norādot, ka viņš akceptē izlūkošanas sabiedrības secinājumus, ka Krievija iejaucās 2016. gada vēlēšanās, taču arī teica, ka varētu būt arī citi cilvēki, atkārtojot savus apgalvojumus, ka slepenas vienošanās vispār nav.
Apsūdzības izriet no pieaugošās Krievijas agresijas fona pasaules mērogā; valsts joprojām kontrolē Krimas pussalu, kuru tā ar varu sagrāba 2014. gadā, ir apgalvojumi, ka tai bijusi roka, organizējot Vote Leave uzvaru Brexit referendumā, un Lielbritānija apsūdzējusi Krieviju cilvēku saindēšanā uz Lielbritānijas zemes, izmantojot nāvējošus nervu līdzekļus.
Skatīt saistīto Pirmais paroļu uzlaušanas paņēmiens, ko izmanto hakeri
Neskatoties uz Trampa protestiem, kiberdrošības un izlūkdienestu kopienas gandrīz vienbalsīgi vienojas, ka Krievija nozaga 2016. gada vēlēšanas, izmantojot izsmalcinātas kiber- un informācijas kara kampaņu, lai nodrošinātu vēlamo rezultātu.
Bet ja tā, kā viņi to izdarīja?
Pateicoties apsūdzībai, kas tika pasludināta pret Krievijas operatīvajiem darbiniekiem, mums tagad ir diezgan laba ideja par to, kā it kā tika veikta hakeru darbība. Muellera dokumentācijā ir iekļautas tādas detaļas kā datumi, metodes un uzbrukumu vektori, kas ļauj mums izveidot detalizētu laika grafiku par to, kā tieši 12 krievu vīrieši varēja izsist no sliedēm pasaules spēcīgāko demokrātiju. Šis raksts pēta, kā tas varēja notikt, pamatojoties uz apsūdzībām, kas izklāstītas Muellera apsūdzībā.
LASI TURPMĀK: Krievijas konti iztērēja 76 000 mārciņu 2016. gada vēlēšanu reklāmām
Mērķi
Krievijas valdības mērķis 2016. gada vēlēšanu laikā šķiet skaidrs: ar jebkādiem nepieciešamiem līdzekļiem veicināt Donalda Dž. Trampa pacelšanu ASV prezidenta amatā.
Lai to izdarītu, krieviem bija jāatrod veids, kā atlaist viņa sāncenša kandidātu no valdes, kā rezultātā viņi ar izsmalcinātu un ilgtermiņa uzlaušanas kampaņu mērķēja uz četrām galvenajām partijām.
DCCC
Demokrātiskās kongresa kampaņas komiteja (vai ‘D-trip’, kā tas ir sarunvalodā zināms) ir atbildīga par to, lai pēc iespējas vairāk demokrātu tiktu ievēlēti ASV Pārstāvju palātā, sniedzot atbalstu, norādījumus un finansējumu potenciālajiem kandidātiem kongresu sacīkstēs.
DNC
Amerikas Savienoto Valstu Demokrātiskās partijas pārvaldes institūcija, Demokrātu nacionālā komiteja, ir atbildīga par demokrātu vispārējās stratēģijas organizēšanu, kā arī par partijas prezidenta kandidāta izvirzīšanas un apstiprināšanas organizēšanu katrās vēlēšanās.
Hilarija Klintone
Bijusī valsts sekretāre Obamas vadībā Hilarija Klintone sakāva Berniju Sandersu, lai kļūtu par demokrātu prezidenta kandidātu 2016. gada vēlēšanās, ievedot viņu Donalda Trampa un Krievijas valdības krēslā.
Džons Podesta
Ilggadējs DC politikas veterāns Džons Podesta ir darbojies iepriekšējo divu demokrātu prezidentu laikā, pirms darbojās kā Hilarijas Klintones 2016. gada prezidenta kampaņas priekšsēdētājs.
GRU divpadsmit
Visi divpadsmit aizdomās turētie hakeri strādā GRU - Krievijas valdības elites ārvalstu izlūkošanas organizācijā. Visi ir dažādas pakāpes militārie virsnieki, un visi bija daļa no vienībām, kuru uzdevums bija sagrozīt vēlēšanu gaitu.
Saskaņā ar Muellera apsūdzību vienība 26165 bija atbildīga par DNC, DCCC un ar Klintones kampaņu saistīto personu uzlaušanu. Vienībai 74455 acīmredzot tika uzdots rīkoties kā slēptiem propagandistiem, nopludināt nozagtus dokumentus un publicēt pret Klintoni un antidemokrātiem vērstu saturu, izmantojot dažādus tiešsaistes kanālus.
Drošības profesionāļi, iespējams, ir labāk iepazinušies ar kodu nosaukumiem, kas piešķirti šīm divām vienībām, kad tās pirmo reizi tika atklātas 2016. gadā: Cozy Bear un Fancy Bear.
Tiek apgalvots, ka 12 iesaistītie hakeri ir:
| Nosaukums | Loma | Rangs |
| Viktors Borisovičs Netyksho | 26165. vienības komandieris, kas atbildīgs par DNC un citu mērķu uzlaušanu | Nezināms |
| Boriss Aleksejevičs Antonovs | Pārraudzīja 26165. vienības zemūdens pūtēju kampaņas | Vairākums |
| Dmitrijs Sergejevičs Badins | Antonova nodaļas vadītāja palīgs | Nezināms |
| Ivans Sergejevičs Jermakovs | Veica uzlaušanas darbības vienībai 26165 | Nezināms |
| Aleksejs Viktorovičs Lukaševs | Veikti spearphishing uzbrukumi 26165. vienībai | 2. leitnants |
| Sergejs Aleksandrovičs Morgačovs | Pārraudzīja 26165 vienības ļaunprātīgas programmatūras izstrādi un pārvaldību | Pulkvežleitnants |
| Nikolajs Jurjevičs Kozačeks | Izstrādāta ļaunprātīga programmatūra vienībai 26165 | Kapteiņa leitnants |
| Pāvels Vjačeslavovičs Jeršovs | Pārbaudīta vienības 26165 ļaunprātīga programmatūra | Nezināms |
| Artjoms Andrejevičs Mališevs | Uzraudzīja 26165. bloka ļaunprātīgu programmatūru | 2. leitnants |
| Aleksandrs Vladimirovičs Osadčuks | 74455. vienības komandieris, atbildīgs par nozagtu dokumentu nopludināšanu | Pulkvedis |
| Aleksejs Aleksandrovičs Potjomkins | Uzraudzīta IT infrastruktūras administrēšana | Nezināms |
| Anatolijs Sergejevičs Kovaļovs | Veiktas uzlaušanas darbības vienībai 74455 | Nezināms |
LASI TURPMĀK: Tehnoloģiju uzņēmumi publisko tavus datus valdībai
Kā tika plānots uzlauzt
Jebkura veiksmīga kiberuzbrukuma atslēga ir plānošana un iepazīšanās, tāpēc 26165. vienības operatīvo darbinieku pirmais uzdevums bija noteikt vājības punktus Klintones kampaņas infrastruktūrā - vājās vietas, kuras pēc tam var izmantot.
15. marts:
Ivans Jermakovs sāk skenēt DNC infrastruktūru, lai identificētu pievienotās ierīces. Viņš arī sāk pētīt DNC tīklu, kā arī Klintoni un demokrātus kopumā.
19. marts:
Džons Podesta iekrīt zemūdens e-pasta ziņojumā, kuru, iespējams, izveidojis Aleksejs Lukaševs un pārģērbies par Google drošības trauksmi, ļaujot krieviem piekļūt viņa personīgajam e-pasta kontam. Tajā pašā dienā Lukaševs izmanto zemūdens uzbrukumus, lai mērķētu uz citiem vecākajiem kampaņas ierēdņiem, tostarp kampaņas vadītāju Robiju Maku.
21. marts:
Podesta personīgo e-pasta kontu iztīra Lukaševs un Jermakovs; viņi kopā veido vairāk nekā 50 000 ziņojumu.
28. marts:
Lukaševa veiksmīgā zemūdens kampaņa noved pie e-pasta pieteikšanās akreditācijas datu un tūkstošiem ziņojumu zādzības no dažādiem cilvēkiem, kas saistīti ar Klintones kampaņu.
6. aprīlis:
Krievi izveido viltotu e-pasta adresi labi pazīstamai Klintones nometnes personai, tikai ar vienu burtu atšķirību no personas vārda. Pēc tam šo e-pasta adresi Lukaševs izmanto, lai šķēpātu vismaz 30 dažādus kampaņas darbiniekus, un DCCC darbinieks tiek maldināts nodot viņas pieteikšanās akreditācijas datus.
LASI TURPMĀK: Kā Google atrada pierādījumus par Krievijas ASV vēlēšanu iejaukšanos
Kā tika pārkāpts DNC
Sākotnējais sagatavošanās darbs tagad ir pabeigts, pateicoties ļoti efektīvai zemūdens kampaņai, krieviem bija spēcīga vieta demokrātu tīklā. Nākamais solis bija izmantot šo pamatu, lai iegūtu papildu piekļuvi.
7. aprīlis:
Tāpat kā sākotnējā izlūkošanā martā, Jermakovs pēta pievienotās ierīces DCCC tīklā.
12. aprīlis:
Izmantojot akreditācijas datus, kas nozagti nevēlamam DCCC darbiniekam, krievi iegūst piekļuvi DCCC iekšējiem tīkliem. Laikā no aprīļa līdz jūnijam viņi vismaz desmit DCCC datoros instalē dažādas ļaunprātīgas programmatūras versijas ar nosaukumu “X-Agent” - kas ļauj attāli ievadīt un ievadīt inficētās ierīces.
Šī ļaunprātīgā programmatūra pārraida datus no ietekmētajiem datoriem uz krievu nomātu Arizonas serveri, ko viņi dēvē par AMS paneli. Šajā panelī viņi var attālināti uzraudzīt un pārvaldīt savu ļaunprātīgo programmatūru.
14. aprīlis:
Astoņu stundu laikā krievi izmanto X-Agent, lai nozagtu paroles DCCC līdzekļu vākšanas un vēlētāju informēšanas programmām, Muellera apsūdzības pieteikumiem, kā arī uzraudzītu saziņu starp DCCC darbiniekiem, kas ietvēra personisko informāciju un bankas rekvizītus. Sarunas ietver arī informāciju par DCCC finansēm.
15. aprīlis:
Krievi vienā no uzlauztajiem DCCC datoriem meklē dažādus galvenos terminus, tostarp ‘Hillary’, ‘Cruz’ un ‘Trump’. Viņi arī kopē galvenās mapes, piemēram, vienu ar nosaukumu “Benghazi Investigations”.
18. aprīlis:
kā instalēt 64 bitu Linux
DNC tīklu pārkāpj krievi, kuri piekļūst, izmantojot DCCC darbinieka akreditācijas datus ar atļauju piekļūt DNC sistēmām.
19. aprīlis:
Jeršovs un Nikolajs Kozačeks acīmredzot izveidoja trešo datoru ārpus ASV, lai darbotos kā stafete starp Arizonā bāzēto AMS paneli un X-Agent ļaunprogrammatūru, lai izjauktu abu savienojumu.
22. aprīlis:
Vairāki gigabaiti datu, kas nozagti no DNC datoriem, tiek saspiesti arhīvā. Šie dati ietver opozīcijas izpēti un lauka operāciju plānus. Nākamās nedēļas laikā krievi izmanto vēl vienu pielāgotu ļaunprogrammatūru - ‘X-Tunnel’ -, lai šifrētos savienojumos šos datus no DNC tīkla filtrētu citā nomātā mašīnā Ilinoisā.
13. maijs:
Kādā brīdī maija laikā gan DNC, gan DCCC uzzina, ka tie ir apdraudēti. Organizācijas algo kiberdrošības firmu CrowdStrike, lai izspiestu hakerus no savām sistēmām, savukārt krievi sāk rīkoties, lai slēptu savas darbības, piemēram, notīrot notikumu žurnālus no noteiktām DNC mašīnām.
25. maijs:
Nedēļas laikā krievi, pēc uzlaušanas DNC Microsoft Exchange Server, it kā nozog tūkstošiem e-pastu no DNC darbinieku darba kontiem, savukārt Jermakovs pēta PowerShell komandas, lai piekļūtu Exchange serverim un palaistu to.
31. maijs:
Jermakovs sāk veikt pētījumu par CrowdStrike un tā izmeklēšanu attiecībā uz X-Agent un X-Tunnel, iespējams, cenšoties noskaidrot, cik daudz uzņēmums zina.
1. jūnijs:
Nākamajā dienā krievi mēģina izmantot CCleaner - bezmaksas programmatūras rīku, kas paredzēts, lai atbrīvotu vietu cietajā diskā, lai iznīcinātu pierādījumus par viņu darbību DCCC tīklā.
LASI TURPMĀK: Vai Krievija stāv aiz globālas hakeru kampaņas, cenšoties nozagt valsts noslēpumus?
Guccifer 2.0 dzimšana
Krievi tagad ir exfiltrējuši ievērojamu daudzumu datu no DNC. Šī informācija apvienojumā ar Podesta personīgo e-pastu dārgumu krātuvi dod viņiem visu munīciju, kas nepieciešama, lai uzbruktu Klintones kampaņai
8. jūnijs:
DCLeaks.com tiek palaists, it kā krievi, kā arī atbilstošas Facebook lapas un Twitter kontus, lai izplatītu viņu Podesta un DNC nozagtos materiālus. Vietne apgalvo, ka to vada amerikāņu haktivisti, taču Muellera apsūdzība apgalvo, ka tie ir meli.
14. jūnijs:
CrowdStrike un DNC atklāj, ka organizācija ir uzlauzta, un publiski apsūdz Krievijas valdību. Krievija noliedz jebkādu iesaistīšanos uzbrukumā. Jūnija laikā CrowdStrike sāk rīkoties, lai mazinātu uzlaušanu.
15. jūnijs:
Atbildot uz CrowdStrike apsūdzību, krievi rada Guccifer 2.0 raksturu kā dūmu aizsegu, apgalvo Muellers, kura mērķis ir sēt šaubas par Krievijas līdzdalību hakeros. Uzrādot kā vienu rumāņu hakeri, krievu komanda uzņemas nopelnu uzbrukumā.
Tikai kas ir Gučifers?
Kaut arī Guccifer 2.0 ir fiktīva persona, kuru izveidojuši Krievijas operatīvie darbinieki, tā pamatā ir reāla persona. Sākotnējais Guccifer bija īsts rumāņu hakeris, kurš 2013. gadā ieguva slavu pēc tam, kad publicēja Džordža Buša fotogrāfijas, kas tika uzlauztas no viņa māsas AOL konta. Šis vārds, pēc viņa teiktā, ir ‘Gucci’ un ‘Lucifer’ portmans.
Galu galā viņu arestēja aizdomās par vairāku Rumānijas amatpersonu uzlaušanu un izdeva ASV. Krievi, domājams, cerēja, ka amatpersonas uzskatīs, ka viņš ir arī aiz Guccifer 2.0 darbībām, neskatoties uz to, ka viņš jau maijā bija atzinis savu vainu federālajās apsūdzībās.
20. jūnijs:
Līdz šim brīdim krievi ir ieguvuši piekļuvi 33 DNC galapunktiem. Tikmēr CrowdStrike ir izslēdzis visus X-Agent gadījumus no DCCC tīkla - kaut arī vismaz viena X-Agent versija paliks aktīva DNC sistēmās līdz oktobrim.
Krievi vairāk nekā septiņas stundas neveiksmīgi mēģina izveidot savienojumu ar savām X-Agent instancēm ar DCCC tīklu, kā arī mēģina izmantot iepriekš nozagtus akreditācijas datus, lai tam piekļūtu. Viņi arī attīra AMS paneļa darbību žurnālus, tostarp visu pieteikšanās vēsturi un lietošanas datus.
22. jūnijs:
WikiLeaks, iespējams, nosūta privātu ziņojumu Guccifer 2.0, pieprasot, lai viņi nosūta jebkādu jaunu materiālu, kas attiecas uz Klintoni un demokrātiem, norādot, ka tam būs daudz lielāka ietekme nekā jūsu rīcībā.
18. jūlijs:
WikiLeaks apstiprina nozagto DNC datu arhīva 1 GB saņemšanu un paziņo, ka tas tiks izlaists nedēļas laikā.
22. jūlijs:
Patiesībā vārdam WikiLeaks izlaiž vairāk nekā 20 000 e-pastu un dokumentu, kas nozagti no DNC, tikai divas dienas pirms Nacionālās demokrātu konventa. Jaunākais WikiLeaks izlaistais e-pasts ir datēts ar 25. maiju - aptuveni tajā pašā dienā, kad tika uzlauzts DNC Exchange Server.
LASI TĀLĀK: WikiLeaks saka, ka CIP var izmantot viedos televizorus, lai izspiegotu īpašniekus
27. jūlijs:
Preses konferences laikā prezidenta amata kandidāts Donalds Tramps tieši un īpaši pieprasa, lai Krievijas valdība atrod Klintones personīgo e-pastu daļu.
Tajā pašā dienā krievi mērķē uz e-pasta kontiem, kurus izmanto Klintones personīgais birojs un ko mitina trešās puses pakalpojumu sniedzējs.
15. augusts:
Papildus WikiLeaks vietnei Guccifer 2.0 ar nozagtu informāciju piegādā arī virkni citu saņēmēju. Acīmredzot tajā ietilpst arī ASV kongresa kandidāts, kurš lūdz informāciju par viņu oponentu. Šajā periodā krievi izmanto arī Guccifer 2.0, lai sazinātos ar personu, kas regulāri kontaktējas ar Trampa kampaņas augstākajiem dalībniekiem.
22. augusts:
Guccifer 2.0 2,5 GB nozagto datu (ieskaitot ziedotāju ierakstus un personu identificējošu informāciju par vairāk nekā 2000 ziedotājiem demokrātiem) nosūta toreiz reģistrētam valsts lobistam un tiešsaistes politisko ziņu avotam.
Septiņi:
Kādā brīdī septembrī krievi iegūst piekļuvi mākoņpakalpojumam, kas satur testa lietotnes DNC datu analīzei. Izmantojot mākoņa pakalpojuma iebūvētos rīkus, viņi izveido sistēmu momentuzņēmumus, pēc tam tos pārsūta uz viņu kontrolētajiem kontiem.
7. oktobris:
WikiLeaks izlaiž pirmo Podesta e-pastu sēriju, izraisot diskusijas un satraukumu plašsaziņas līdzekļos. Nākamā mēneša laikā organizācija atbrīvos visus 50 000 e-pastus, kurus, iespējams, Lukaševs nozaga no viņa konta.
28. oktobris:
Kovaļovs un viņa biedri ir vērsti uz štata un apgabala birojiem, kas ir atbildīgi par vēlēšanu administrēšanu galvenajos štata štatos, tostarp Floridā, Džordžijas štatā un Aiovas štatā.
Novembris:
Novembra pirmajā nedēļā, tieši pirms vēlēšanām, Kovaļovs izmanto viltotu e-pasta kontu šķēps phish vairāk nekā 100 mērķiem kuri ir iesaistīti vēlēšanu administrēšanā un pārraudzībā Floridā - kur Tramps uzvarēja par 1,2%. E-pasta ziņojumi ir veidoti tā, it kā tie būtu nākuši no programmatūras pārdevēja, kas nodrošina vēlētāju pārbaudes sistēmas - kompāniju, kuru Kovaļevs uzlauza augustā, apgalvo Muellers.
8. novembris:
Pretēji ekspertu un aptaujas dalībnieku prognozēm TV realitātes zvaigzne Donalds Tramps uzvar vēlēšanās un kļūst par ASV prezidentu.
LASI TĀLĀK: 16 reizes, kad pilsonis Tramps sadedzināja prezidentu Trampu
Kas notiek tagad?
Lai gan tas neapšaubāmi ir nozīmīgs brīdis gan globālajā ģeopolitikā, gan kiberdrošībā, daudzi eksperti ir atzīmējuši, ka apsūdzība 12 GRU aģentiem ir gandrīz pilnībā simbolisks žests un maz ticams, ka tas novedīs pie arestiem.
Krievijai nav izdošanas līguma ar ASV, tāpēc tai nav pienākuma nodot apsūdzētos vīriešus Muelleram. Tas, starp citu, ir tas pats iemesls, kāpēc NSA trauksmes cēlējs Edvards Snoudens pēdējos vairākus gadus aprobežojās ar Krieviju.
Daži avoti ir ieteikuši, ka šie apsūdzības rīkojas kā brīdinājums, ļaujot Krievijai (un pasaulei) zināt, ka ASV turpina izmeklēšanu.
Norādot, prokuratūra var publiskot lielās žūrijas konstatētos faktus un / vai apgalvojumus, sacīja krimināltiesību aizstāvības advokāts Žans Žaks Kabū. Ars Technica . Šeit sabiedrība kopumā var būt viena paredzēta auditorija. Bet prokurori arī atceļ apsūdzības, lai nosūtītu ziņojumu citiem mērķiem.
Paredzams, ka Muellera izmeklēšana turpināsies.
Šis raksts sākotnēji tika parādīts Alphr māsas vietnē IT Pro.
