Czy można złapać za rękę obcych szpiegów działających online i wskazać ich nazwiska? Najnowszy akt oskarżenia wobec Rosjan manipulujących kampanią wyborczą w USA pokazuje, że to możliwe.
Robert Mueller, specjalny prokurator do nadzorowania federalnego śledztwa w sprawie zarzutów o ingerencję Rosji w wybory prezydenckie w 2016 roku, ujawnił wczorajZaloguj lub Zarejestruj się aby zobaczyć!– Głównego Zarządu Wywiadowczego, czyli rosyjskiego wywiadu wojskowego. Oficerowie ci, wymienieni z imienia i nazwiska, oskarżeni są o prowadzenie kampanii zmierzającej do wywarcia wpływu na przebieg ostatnich wyborów prezydenckich w USA. Akt oskarżenia jest pełen szczegółów pokazujących, że wywiady amerykański i sprzymierzone nad wyraz skutecznie udokumentowały poczynania Rosjan. Spójrzmy zatem, jakie są ich ustalenia.
Na początek wideo
W 2017 miałem okazję przedstawić zebraną wówczas wiedzę na temat tej operacji na konferencji firmy Exatel. Poniżej znajdziecie wideo z tej prezentacji – pokazuję w jej trakcie wiele dokumentów i dowodów opisywanych poniżej w akcie oskarżenia.
Szerokie spektrum działania
Wrogie działania zaczęły się stosunkowo późno, bo w marcu 2016, gdy kampania wyborcza w USA była już w pełnym rozkwicie. Zakres ataków obejmował nie tylko celowane phishingi na skrzynki pocztowe setek osób zaangażowanych w kampanię po stronie Hillary Clinton (zarówno ochotników jak i etatowych pracowników), ale także serwery i sieci komputerowe DCCC (Democratic Congressional Campaign Committee) oraz DNC (Democratic National Committee). Oprócz kradzieży danych na ogromną skalę, atakujący zorganizowali liczne kanały dystrybucji wykradzionych informacji, ukrywające ich prawdziwą tożsamość. Były to zarówno fikcyjne postacie (jak np. Guccifer 2.0), dedykowane serwisy (DCLeaks) czy zewnętrzne podmioty (Wikileaks). W celu lepszego ukrycia swojej tożsamości, napastnicy tworzyli fałszywe tożsamości rzekomych obywateli USA i wynajmowali serwery na terenie USA. Ataki trwały do października 2016.
Ataki na skrzynki pocztowe
W lutym 2016 atakujący zasilają konto bitcoina, które zostanie użyte później do płacenia niektórych usług. 14 marca dokonują pierwszego zakupu – usługi VPN, z której będzie korzystał Guccifer 2.0. 15 marca rozpoczynają pentest od klasycznego rozpoznania – przeglądają adresację IP ofiar i szukają w sieci informacji na temat struktur organizacyjnych. 19 marca ruszają kierowane ataki phishingowe, w tym na szefa kampanii Clinton, Johna Podestę. Jeden z napastników używa konta bit.ly i fałszywego adresu email do wysłania rzekomego komunikatu o problemie z bezpieczeństwem konta ofiary (omawiam to szczegółowo na wideo powyżej). Podesta daje się złapać – 21 marca napastnicy wykradają ok. 50 000 emaili z jego konta. W kolejnych dniach kontynuują kampanie phishingowe wymierzone we współpracowników Hillary Clinton i jej sztab wyborczy ze sporym sukcesem. Wyszukują informacje o swoich ofiarach online a następnie nakłaniają do ujawnienia haseł do skrzynek pocztowych na spreparowanych witrynach udających ich interfejsy poczty elektronicznej. Używają też innej techniki – np. 6 kwietnia tworzą adres poczty łudząco podobny do jednego z pracowników i z tego konta wysyłają wiadomość do kilkudziesięciu innych osób, zawierającą link do rzekomego dokumentu prezentującego dobre wyniki sondaży dla ich kandydatki.
27 lipca, po godzinach pracy, ma miejsce jeszcze jedna kampania phishingowa, tym razem wymierzona po raz pierwszy w konta pocztowe biura Hillary Clinton. To ten sam dzień, gdyZaloguj lub Zarejestruj się aby zobaczyć!do znalezienia „zaginionych emaili” Clinton.
Ataki na infrastrukturę
W kwietniu zaczynają się ataki na serwery organizacji zaangażowanych w kampanię po stronie Demokratów. Rosjanie konfigurują swoje konia trojańskiego o nazwie X-Agent i kontynuują rozpoznanie sieci ofiar na podstawie dostępnych informacji. Akt oskarżenia wspomina nawet konkretne działania takie jak skanowanie sieci czy zapytania do serwerów DNS. Gdy włamują się do sieci DCCC (prawdopodobnie za pomocą wykradzionych wcześniej haseł pracowników) instalują w nich swoje złośliwe oprogramowanie umożliwiające kontrolę tego, co robią na swoich komputerach pracownicy. Naciskane klawisze i zrzuty ekranów ofiar wędrują do wynajętego przez przestępców serwera w Arizonie. Przechwytują zarówno informacje służbowe jak i prywatne. Kontrolę nad siecią ofiary utrzymują od kwietnia do czerwca.
Wykorzystując dostęp do sieci DCCC i komputera pracownika, który miał dostęp do serwerów DNC, 18 kwietnia włamują się także do sieci DNC. Do czerwca 2016 kontrolują już ponad 30 komputerów DNC. Wyszukują konkretne informacje (np. wpisując słowa kluczowe takie jak „hillary”, „cruz” czy „trump”, zbierają dane dotyczące badania słabych stron Republikanów czy popularnych wówczas afer. Zebrane dokumenty pakują, szyfrują i wysyłają na wynajęte serwery w Stanach. Wykradają gigabajty danych. Między 25 maja a 1 czerwca włamują się na serwer MS Exchange i wykradają tysiące emaili pracowników DNC. Akt oskarżenia wspomina, że jeden z oficerów w tym samym czasie szuka poleceń Powershella do zarządzania serwerem Exchange (sic). W trakcie całej operacji okresowo czyszczą logi na zainfekowanych komputerach i w swojej infrastrukturze C&C.
Walka z włamaniem
Ofiary infekcji w końcu dowiadują się, że zostały zhakowane i wynajmują firmę Crowdstrike, która od maja do czerwca czyści sieci ze złośliwego kodu. Jak jednak wspomina akt oskarżenia, nie do końca skutecznie – linuksowa wersja X-Agenta na jednym z serwerów działa do października 2016… 31 maja jeden z atakujących szuka informacji o Crowdstrike i jej badaniach nad narzędziami, z których korzystają napastnicy. 1 czerwca atakujący starają się ukryć ślady swojej działalności w sieciach DNC i DCCC. Gdy 20 czerwca Crowdstrike usuwa większość wrogich implantów, oficerowie GRU przez 7 godzin próbują połączyć się ze swoimi narzędziami oraz odzyskać dostęp za pomocą znanych im haseł pracowników.
Napastnicy łatwo się nie poddają – we wrześniu dostają się do serwerów DNC w chmurze jednego z operatorów i wykradają stamtąd dane dotyczące analiz wyborczych.
Publikacja informacji
Ujawnienie wykradzionych informacji bez wskazania tożsamości napastników jest kluczem do sukcesu operacji. Przygotowania do publikacji zaczęto z miesięcznym wyprzedzeniem. Za bitcoiny zarejestrowano domenę DCLeaks (początkowo chcieli zarejestrować electionleaks.com, ale ktoś ich ubiegł) i zakupiono serwer wirtualny. Adres email użyty do zakupu serwera był tym samym, za pomocą którego założono konto bit.ly, używane we wcześniejszych phishingach. 8 czerwca strona DCLeaks ruszyła, publikując dokumenty wykradzione z DNC i DCCC. Tego samego dnia ruszyły także powiązane z DCLeaks konta w serwisach społecznościowych, promujące wycieki. Wszystkie zakładane były w oparciu o fałszywe tożsamości.
14 czerwca DNC ogłosił, że padł ofiarą włamania. Dzień później pojawiła się strona Guccifera 2.0, który twierdził, że jest samotnym rumuńskim hakerem stojącym za wyciekami. Na serwerze należącym do GRU ktoś tego dnia szukał takich zwrotów jak:
Identyczne zwroty pojawiły się w pierwszym wpisie Guccifera 2.0.
- some hundret sheets
- some hundret of sheets
- illuminati
- think twice about
- company’s competence
- worldwide known
Zaloguj lub Zarejestruj się aby zobaczyć!
Tożsamość Guccifera była używana do dystrybucji dokumentów wykradzionych z DNC i DCCC do października 2016. Guccifer wysyłał ciekawe dokumenty zarówno dziennikarzom, jak i republikańskim politykom, którzy o nie prosili. Czasem nawet sam proponował pomoc pracownikom kampanii republikańskiej, a ci z niej korzystali. Co ciekawe, infrastruktura hakerów, Guccifera i DCLeaks była opłacana z tej samej puli bitcoinów.
Aby zwiększyć zasięg kampanii włamywacze przekazywali także dokumenty Wikileaks. Przedstawiciele Wikileaks kontaktowali się bezpośrednio z Gucciferem, prosząc o dokumenty związane np. z Hillary Clinton, a Guccifer chętnie realizował zamówienia.
Finansowanie operacji
Atakujący chętnie używali bitcoinów. Co ciekawe, część bitcoinów użytych w operacji wykopali sami – co dobrze świadczy o OPSEC, jednak część kupili. Używali w tym celu zarówno giełd BTC jak i kart przedpłaconych. Część kryptowalut przewalutowywali wiele razy by ukryć pochodzenie środków, korzystali także z pomocy stron trzecich, które miały lepiej zatrzeć ślady przepływów. Wszystkich transakcji dokonywali z użyciem fałszywych tożsamości, lecz to najwyraźniej nie pomogło, a użycie kryptowalut pochodzących z tego samego źródła pomogło śledczym powiązać niektóre wątki.
Dwie jednostki, nie jedna
Akt oskarżenia wskazuje dwie jednostki GRU, nr 26165 i nr 74455. Jedna z nich do tej pory identyfikowana była jako APT28, drugiej z kolei przypisywane są bardziej agresywne operacje, takie jak np. NotPetya. W akcie oskarżenia znajdziecie nie tylko imiona i nazwiska sprawców, ale także stopnie wojskowe, adresy, pod którymi znajdują się jednostki, w których służą oraz dokładne zakresy odpowiedzialności w tej operacji. Są tam informacje kto wysyłał phishing, kto kupował serwery, kto tworzył fałszywe tożsamości, kto zarządzał malware – wiedza, jaką dysponują Amerykanie, jest w tym zakresie imponująca. Po raz pierwszy w historii ujawniono tak wiele tak precyzyjnych szczegółów na temat wrogiej operacji. To wyraźny sygnał dla przeciwka – wiemy o Was dużo, a być może jeszcze więcej.
Podsumowanie
Ostatnim wydarzeniem (z chronologicznego punktu widzenia) ujętym w akcie skarżenia jest zamieszczenie przez Guccifera w styczniu 2017 informacji, że wycieki danych Demokratów „nie mają w ogóle nic wspólnego z rosyjskim rządem”. Akt oskarżenia pokazuje, jak prawdziwe jest odwrotne twierdzenie.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!