Af Adam Shepherd
Fortællingen om, hvordan 12 hackere angiveligt korrumperede verdens mest magtfulde demokrati for at sætte Donald Trump på toppen
Efter mere end to år med anklager, beskyldninger, benægtelser og spekulationer, specialadvokat Robert Muellers undersøgelse af potentiel indblanding i det amerikanske præsidentvalg i 2016 har ført ham til Rusland. Som en del af en omfattende undersøgelse af russiske statsaktørers indflydelse på valget Justitsministeriet har formelt sigtet 12 medlemmer af russisk militær efterretningstjeneste for forskellige hacking lovovertrædelser.
Præsident Vladimir Putin har nægtet enhver fejl på vegne af Rusland og dets agenter og er blevet offentligt bakket op af præsident Trump. Trods fordømmelse fra formanden for det amerikanske Repræsentanternes Hus Paul Ryan, talrige offentlige og politiske personer og endda sin egen direktør for den nationale efterretningstjeneste, sagde Trump, at han ikke "ser nogen grund" til, at Rusland ville forsøge at påvirke valg.
Han trak efterfølgende tilbage på den påstand og erklærede, at han accepterer efterretningssamfundets konklusioner om, at Rusland blandede sig ved valget i 2016, men sagde også, at "det kunne også være andre mennesker", og gentog sine påstande om, at "der ikke var nogen samordning kl. alle".
Beskyldningerne kommer på baggrund af stigende russisk aggression på den globale scene; landet kontrollerer stadig Krim-halvøen, som det erobrede med magt i 2014, er der påstande om, at det har været med til at orkestrere Stem Leaves sejr i Brexit-afstemningen, og Storbritannien har anklaget Rusland for at forgifte mennesker på britisk jord ved hjælp af dødelig nerve agenter.
Se relateret
På trods af Trumps protester er cybersikkerheds- og efterretningssamfundene næsten enstemmigt enige om, at Rusland stjal valget i 2016 ved at bruge en kampagne med sofistikeret cyber- og informationskrigsførelse for at sikre det resultat, de ønskede.
Men hvis ja, hvordan gjorde de det?
Takket være anklageskriftet mod de russiske operatører har vi nu en ret god idé om, hvordan hacket angiveligt blev udført. Muellers arkivering inkluderer detaljer såsom datoer, metoder og angrebsvektorer, hvilket giver os mulighed for at bygge en detaljeret tidslinje for, hvordan præcis 12 russiske mænd kan have afsporet verdens mest magtfulde demokrati. Denne artikel undersøger, hvordan det kunne være sket, baseret på beskyldningerne skitseret i Muellers anklageskrift.
LÆS NÆSTE: Russiske konti brugte £76k på valgannoncer i 2016
Målene
Målet for den russiske regering under valget i 2016 synes klart: at lette ophøjelsen af Donald J Trump til kontoret som præsident i USA, med enhver nødvendig måde.
For at gøre det var russerne nødt til at finde en måde at få hans rivalkandidat ud af bestyrelsen, hvilket fik dem til at målrette fire hovedpartier med en sofistikeret og langsigtet hacking-kampagne.
DCCC
Den demokratiske kongreskampagnekomité (eller 'D-trip', som det kaldes i daglig tale) er ansvarlig for at få så mange demokrater valgt til det amerikanske Repræsentanternes Hus som muligt og yde støtte, vejledning og finansiering til potentielle kandidater i kongressen løb.
DNC
Det styrende organ for United States Democratic Party, Den Demokratiske Nationale Komité, er ansvarlig for at organisere Demokraternes overordnede strategi, samt organisering af nomineringen og bekræftelsen af partiets præsidentkandidat ved hver valg.
Hillary Clinton
Den tidligere udenrigsminister under Obama, Hillary Clinton besejrede Bernie Sanders for at blive demokraternes præsidentkandidat ved valget i 2016, hvilket bragte hende i trådkorset for Donald Trump og russeren regering.
John Podesta
John Podesta er mangeårig veteran fra DC-politik og har tjent under de to foregående demokraters præsidenter, før han fungerede som formand for Hillary Clintons præsidentkampagne i 2016.
GRU Tolv
Alle tolv formodede hackere arbejder for GRU - den russiske regerings elite udenlandske efterretningsorganisation. Alle er militærofficerer af forskellig rang, og alle var en del af enheder, der specifikt havde til opgave at pervertere valgets gang.
Ifølge Muellers anklageskrift var enhed 26165 ansvarlig for at hacke DNC, DCCC og personer tilknyttet Clintons kampagne. Enhed 74455 havde tilsyneladende til opgave at fungere som hemmelige propagandister, lække stjålne dokumenter og udgive anti-Clinton og anti-demokratisk indhold gennem forskellige online-kanaler.
Sikkerhedsprofessionelle er måske mere fortrolige med kodenavnene, der blev givet til disse to enheder, da de først blev opdaget i 2016: Cozy Bear og Fancy Bear.
De 12 involverede hackere hævdes at være:
| Navn | Rolle | Rang |
| Viktor Borisovich Netyksho | Kommandør for enhed 26165, ansvarlig for hacking af DNC og andre mål | Ukendt |
| Boris Alekseyevich Antonov | Overvågede spearphishing-kampagner for enhed 26165 | Major |
| Dmitry Sergeyevich Badin | Assisterende afdelingsleder for Antonov | Ukendt |
| Ivan Sergeyevich Yermakov | Udførte hacking-operationer for Unit 26165 | Ukendt |
| Aleksey Viktorovich Lukashev | Udførte spearphishing-angreb for enhed 26165 | 2. løjtnant |
| Sergey Aleksandrovich Morgachev | Overvågede udvikling og administration af malware for Unit 26165 | oberstløjtnant |
| Nikolay Yuryevich Kozachek | Udviklet malware til Unit 26165 | Kaptajnløjtnant |
| Pavel Vyacheslavovich Yershov | Testet malware til Unit 26165 | Ukendt |
| Artem Andreyevich Malyshev | Overvåget malware til enhed 26165 | 2. løjtnant |
| Aleksandr Vladimirovich Osadchuk | Kommandør for enhed 74455, ansvarlig for at lække stjålne dokumenter | Oberst |
| Aleksey Aleksandrovich Potemkin | Superviseret administration af IT-infrastruktur | Ukendt |
| Anatoliy Sergeyevich Kovalev | Udførte hacking-operationer for enhed 74455 | Ukendt |
LÆS NÆSTE: Teknologivirksomhederne videregiver dine data til regeringen
Hvordan hacket var planlagt
Nøglen til ethvert vellykket cyberangreb er planlægning og rekognoscering, så den første opgave for enhedens operatører 26165 skulle identificere svaghedspunkterne i Clinton-kampagnens infrastruktur - svagheder, der så kan være udnyttet.
15 marts:
Ivan Yermakov begynder at scanne DNC's infrastruktur for at identificere tilsluttede enheder. Han begynder også at forske i DNC's netværk samt forskning i Clinton og demokraterne generelt.
19 marts:
John Podesta falder for en spearphishing-e-mail, der angiveligt er oprettet af Aleksey Lukashev og forklædt som en Google-sikkerhedsalarm, der giver russerne adgang til hans personlige e-mail-konto. Samme dag bruger Lukashev spearphishing-angreb til at målrette mod andre højtstående kampagneembedsmænd, inklusive kampagneleder Robby Mook.
21 marts:
Podestas personlige e-mail-konto bliver renset ud af Lukashev og Yermakov; de kommer afsted med mere end 50.000 beskeder i alt.
28 marts:
Lukashevs vellykkede spearphishing-kampagne fører til tyveri af e-mail-loginoplysninger og "tusindvis" af beskeder fra forskellige personer forbundet med Clintons kampagne.
6 april:
Russerne opretter en falsk e-mailadresse til en velkendt skikkelse i Clinton-lejren med kun ét bogstavs forskel fra personens navn. Denne e-mailadresse bruges derefter af Lukashev til at phishe mindst 30 forskellige kampagnemedarbejdere, og en DCCC-medarbejder bliver narret til at udlevere sine loginoplysninger.
LÆS NÆSTE: Hvordan Google afslørede beviser for russisk amerikansk valgindblanding
Hvordan DNC blev brudt
Det indledende forberedelsesarbejde er nu afsluttet, og russerne havde et stærkt fodfæste i demokraternes netværk takket være en yderst effektiv spearphishing-kampagne. Det næste skridt var at udnytte det fodfæste for at få yderligere adgang.
7 april:
Som ved den indledende rekognoscering i marts forsker Yermakov i tilsluttede enheder på DCCC's netværk.
12 april:
Ved at bruge legitimationsoplysninger stjålet fra en uvidende DCCC-medarbejder får russerne adgang til DCCC's interne netværk. Mellem april og juni installerer de forskellige versioner af et stykke malware ved navn 'X-Agent' - som tillader fjerntastning og skærmfangst af inficerede enheder - på mindst ti DCCC-computere.
Denne malware transmitterer data fra berørte computere til en Arizona-server lejet af russerne, som de omtaler som et "AMS"-panel. Fra dette panel kan de fjernovervåge og administrere deres malware.
14 april:
Over en otte timers periode bruger russerne X-Agent til at stjæle adgangskoder til DCCC fundraising og vælgeropsøgende programmer, Mueller's tiltalepåstande, samt overvågning af kommunikation mellem DCCC-medarbejdere, som omfattede personlige oplysninger og bankvirksomhed detaljer. Samtalerne indeholder også oplysninger om DCCC’s økonomi.
15 april:
Russerne søger på en af de hackede DCCC-pc'er efter forskellige nøgleord, herunder 'Hillary', 'Cruz' og 'Trump'. De kopierer også nøglemapper, såsom en mærket 'Benghazi Investigations'.
18 april:
DNC's netværk bliver brudt af russerne, som får adgang ved at bruge legitimationsoplysningerne fra en DCCC-medarbejder med tilladelse til at få adgang til DNC's systemer.
19 april:
Yershov og Nikolay Kozachek satte tilsyneladende en tredje computer op uden for USA for at fungere som relæ mellem det Arizona-baserede AMS-panel og X-Agent malware for at sløre forbindelsen mellem de to.
22 april:
Flere gigabyte data stjålet fra DNC-pc'er komprimeres til et arkiv. Disse data inkluderer oppositionsforskning og planer for feltoperationer. I løbet af den næste uge bruger russerne et andet brugerdefineret stykke malware - 'X-Tunnel' - til at eksfiltrere disse data fra DNC's netværk til en anden lejet maskine i Illinois via krypterede forbindelser.
13 maj:
På et tidspunkt i løbet af maj bliver både DNC og DCCC opmærksomme på, at de er blevet kompromitteret. Organisationerne hyrer cybersikkerhedsfirmaet CrowdStrike til at udrydde hackerne fra deres systemer, mens Russere begynder at tage skridt til at skjule deres aktiviteter, såsom at rydde hændelsesloggene fra visse DNC maskiner.
25 maj:
I løbet af en uge stjal russerne angiveligt tusindvis af e-mails fra DNC’s ansattes arbejdskonti efter hacker ind i DNC's Microsoft Exchange Server, mens Yermakov undersøger PowerShell-kommandoer til at få adgang til og køre Exchange Server.
31 maj:
Yermakov begynder at forske i CrowdStrike og dets undersøgelse af X-Agent og X-Tunnel, formentlig i et forsøg på at se, hvor meget virksomheden ved.
1 juni:
Den næste dag forsøger russerne at bruge CCleaner – et freewareværktøj designet til at frigøre harddiskplads – til at ødelægge beviser for deres aktivitet på DCCCs netværk.
LÆS NÆSTE: Står Rusland bag en global hacking-kampagne i et forsøg på at stjæle officielle hemmeligheder?
Fødslen af Guccifer 2.0
Russerne har nu eksfiltreret en betydelig mængde data fra DNC. Disse oplysninger, kombineret med skatkammeret af Podestas personlige e-mails, giver dem al den ammunition, de behøver for at angribe Clintons kampagne
8 juni:
DCLeaks.com lanceres, angiveligt af russerne, sammen med matchende Facebook-sider og Twitter-konti, som en måde at formidle det materiale, de har stjålet fra Podesta og DNC. Siden hævder, at den drives af amerikanske hacktivister, men Muellers anklage hævder, at dette er løgn.
14 juni:
CrowdStrike og DNC afslører, at organisationen er blevet hacket, og anklager offentligt den russiske regering. Rusland afviser al involvering i angrebet. I løbet af juni begynder CrowdStrike at tage skridt til at afbøde hacket.
15 juni:
Som svar på CrowdStrikes anklage skaber russerne karakteren af Guccifer 2.0 som et røgslør, hævder Mueller, der har til formål at så tvivl om russisk involvering i hackene. Holdet af russere, der poserer som en enkelt rumænsk hacker, tager æren for angrebet.
Hvem er bare Guccifer?
Mens Guccifer 2.0 er en fiktiv persona skabt af russiske agenter, er den faktisk baseret på en rigtig person. Den originale Guccifer var en ægte rumænsk hacker, der blev kendt i 2013 efter at have frigivet billeder af George W. Bush, som var blevet hacket fra sin søsters AOL-konto. Navnet, siger han, er en sammensætning af 'Gucci' og 'Lucifer'.
Han blev til sidst anholdt på mistanke om hacking af en række rumænske embedsmænd og udleveret til USA. Russerne håbede formentlig, at embedsmænd ville antage, at han også stod bag handlingerne i Guccifer 2.0, på trods af at han allerede havde erkendt sig skyldig i føderale anklager i maj.
20 juni:
På dette tidspunkt har russerne fået adgang til 33 DNC-endepunkter. CrowdStrike har i mellemtiden elimineret alle forekomster af X-Agent fra DCCC's netværk - selvom mindst én version af X-Agent vil forblive aktiv i DNC's systemer indtil oktober.
Russerne bruger mere end syv timer uden held på at forsøge at få forbindelse til deres X-Agent-instanser med DCCC-netværket, samt forsøger at bruge tidligere stjålne legitimationsoplysninger til at få adgang til det. De renser også AMS-panelets aktivitetslogfiler, inklusive al loginhistorik og brugsdata.
22 juni:
WikiLeaks sender angiveligt en privat besked til Guccifer 2.0 og anmoder om, at de sender nyt materiale. relateret til Clinton og demokraterne, og udtalte, at "det vil have en meget større effekt, end hvad du er gør”.
18 juli:
WikiLeaks bekræfter modtagelsen af et 1GB arkiv med stjålne DNC-data og oplyser, at det vil blive frigivet inden for en uge.
22 juli:
Tro mod sit ord frigiver WikiLeaks over 20.000 e-mails og dokumenter stjålet fra DNC, kun to dage før det demokratiske nationale konvent. Den seneste e-mail udgivet af WikiLeaks er dateret den 25. maj - omtrent samme dag som DNC's Exchange Server blev hacket.
LÆS NÆSTE: WikiLeaks siger, at CIA kan bruge smart-tv'er til at spionere på ejere
27 juli:
Under en pressekonference anmoder præsidentkandidat Donald Trump direkte og specifikt om, at den russiske regering finder en tranche af Clintons personlige e-mails.
Samme dag målretter russerne sig mod e-mail-konti, der bruges af Clintons personlige kontor og hostes af en tredjepartsudbyder.
15 aug:
Udover WikiLeaks forsyner Guccifer 2.0 også en række andre begunstigede med stjålne oplysninger. Dette inkluderer tilsyneladende en amerikansk kongreskandidat, som beder om oplysninger om deres modstander. I denne periode bruger russerne også Guccifer 2.0 til at kommunikere med en person, der er "i regelmæssig kontakt" med topmedlemmer af Trump-kampagnen.
22 aug:
Guccifer 2.0 sender 2,5 GB stjålne data (inklusive donorposter og personligt identificerbare oplysninger på mere end 2.000 demokratiske donorer) til "en dengang registreret statslobbyist og online kilde til politisk nyheder".
september:
På et tidspunkt i september får russerne adgang til en cloud-tjeneste, som indeholder test-apps til DNC-dataanalyse. Ved hjælp af cloud-tjenestens egne indbyggede værktøjer opretter de snapshots af systemerne og overfører dem derefter til konti, som de kontrollerer.
7. oktober:
WikiLeaks frigiver det første parti af Podestas e-mails, hvilket udløste kontrovers og postyr i medierne. I løbet af den næste måned vil organisationen frigive alle 50.000 e-mails, der angiveligt er stjålet fra hans konto af Lukashev.
28 oktober:
Kovalev og hans kammerater målretter mod stats- og amtskontorer, der er ansvarlige for at administrere valg i vigtige svingstater, herunder Florida, Georgia og Iowa, hedder det i Muellers anklageskrift.
november:
I den første uge af november, lige før valget, bruger Kovalev en forfalsket e-mail-konto til spear phish over 100 mål som er involveret i at administrere og føre tilsyn med valg i Florida - hvor Trump vandt med 1,2%. E-mails er designet til at se ud, som om de kom fra en softwareleverandør, der leverer vælgerbekræftelsessystemer, et firma som Kovalev hackede tilbage i august, hævder Mueller.
8 nov:
I modsætning til forudsigelserne fra eksperter og meningsmålere vinder reality-tv-stjernen Donald Trump valget og bliver præsident for USA.
LÆS NÆSTE: 16 gange, hvor borger Trump brændte præsident Trump
Hvad sker der nu?
Selvom dette utvivlsomt er et skelsættende øjeblik i både global geopolitik og cybersikkerhed, har mange eksperter bemærkede, at anklagen mod de 12 GRU-agenter er en næsten udelukkende symbolsk gestus og sandsynligvis ikke vil føre til arrestationer.
Rusland har ingen udleveringsaftale med USA, så er ikke forpligtet til at overgive de anklagede mænd til Mueller. Dette er i øvrigt den samme grund til, at NSA-whistlebloweren Edward Snowden har været begrænset til Rusland i de sidste mange år.
Hensigten, har nogle kilder antydet, er, at disse anklager skal fungere som en advarsel, der fortæller Rusland (og verden), at USA skrider frem med sin efterforskning.
"Ved at inditere kan anklagemyndigheden gøre de kendsgerninger og/eller påstande, der er fundet af den store jury, offentligt tilgængelige," sagde kriminalforsvarsadvokat Jean-Jacques Cabou. Ars Technica. "Her kan offentligheden som helhed være en bestemt målgruppe. Men anklagerne lukker også anklager for at sende en besked til andre mål”.
Muellers efterforskning forventes at fortsætte.
Denne artikel dukkede oprindeligt op på Alphrs søsterside IT Pro.
