Как Россия взломала выборы в США в 2016 году
Адам Шепард
История о том, как 12 хакеров якобы развратили самую могущественную демократию в мире, чтобы поставить на вершину Дональда Трампа
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
После более чем двух лет обвинений, взаимных обвинений, опровержений и спекуляций расследование специального прокурора Роберта Мюллера о возможном вмешательстве в президентские выборы в США в 2016 году привело его в Россию. В рамках широкомасштабного расследования влияния российских государственных деятелей на выборы Министерство юстиции официально предъявило 12 сотрудникам российской военной разведки различные хакерские преступления.
Президент Владимир Путин отрицает все правонарушения со стороны России и ее агентов и публично поддержан президентом Трампом. Несмотря на осуждение со стороны спикера Палаты представителей США Пола Райана, многочисленных общественных и политических деятелей и даже собственного директора национальной разведки, Трамп заявил, что «не видит причин», по которым Россия могла бы попытаться повлиять на результаты выборов.
Впоследствии он отказался от этого утверждения, заявив, что принимает выводы разведывательного сообщества о том, что Россия вмешивалась в выборы 2016 года, но также заявил, что «это могли быть и другие люди», повторив свои утверждения о том, что «никакого сговора не было вообще».
Обвинения прозвучали на фоне растущей российской агрессии на мировой арене; страна по-прежнему контролирует Крымский полуостров, который она силой захватила в 2014 году, есть утверждения, что она приложила руку к организации победы «голосования за выход» на референдуме по Брекситу, а Великобритания обвинила Россию в отравлении людей на британской земле с помощью смертельных нервно-паралитических веществ.
Несмотря на протесты Трампа, сообщества кибербезопасности и разведки почти единогласно согласны с тем, что Россия украла выборы 2016 года, применив кампанию изощренной кибер- и информационной войны, чтобы добиться желаемого результата.
Но если да, то как они это сделали?
Благодаря обвинению, выдвинутому против российских оперативников, мы теперь имеем довольно хорошее представление о том, как предположительно был осуществлен взлом. В материалах Мюллера указаны такие детали, как даты, методы и векторы атак, что позволяет нам построить подробный график того, как именно 12 русских мужчин могли подорвать самую мощную демократию в мире. В этой статье рассматривается, как такое могло произойти, основываясь на обвинениях, изложенных в обвинительном заключении Мюллера.
ЧИТАЙТЕ ДАЛЬШЕ: Российские аккаунты потратили 76 тысяч фунтов стерлингов на предвыборную рекламу 2016 года
Цели
Цель российского правительства во время выборов 2016 года кажется ясной: способствовать возвышению Дональда Трампа на пост президента Соединенных Штатов любыми необходимыми средствами.
Чтобы сделать это, россиянам нужно было найти способ убрать его соперника-кандидата с доски, что привело к тому, что они нацелились на четыре основные партии с помощью сложной и долгосрочной хакерской кампании.
ДККК
Комитет Демократической кампании Конгресса (или «D-trip», как его в просторечии называют) отвечает за избрание как можно большего числа демократов в Палату представителей США, обеспечивая поддержку, руководство и финансирование потенциальным кандидатам в гонках в Конгрессе.
Национальный комитет Демократической партии
Руководящий орган Демократической партии США, Национальный комитет Демократической партии, отвечает за организацию общей стратегии демократов, а также за организацию выдвижения и утверждения кандидата в президенты от партии на каждых выборах.
Хиллари Клинтон
Бывший госсекретарь при Обаме Хиллари Клинтон победила Берни Сандерса и стала кандидатом в президенты от демократов на выборах 2016 года, поставив ее в прицел Дональда Трампа и российского правительства.
Джон Подеста
Джон Подеста, давний ветеран политики округа Колумбия, работал при двух предыдущих президентах-демократах, а затем стал председателем президентской кампании Хиллари Клинтон в 2016 году.
ГРУ Двенадцать
Все двенадцать подозреваемых хакеров работают на ГРУ – элитную организацию внешней разведки российского правительства. Все они являются военными офицерами разных званий, и все они входили в состав подразделений, которым было специально поручено исказить ход выборов.
Согласно обвинительному заключению Мюллера, подразделение 26165 отвечало за взлом DNC, DCCC и лиц, связанных с предвыборным штабом Клинтон. Подразделению 74455, очевидно, было поручено действовать в качестве тайной пропаганды, разглашать украденные документы и публиковать анти-Клинтон и анти-демократический контент через различные онлайн-каналы.
Специалистам по безопасности, возможно, более знакомы кодовые названия, данные этим двум устройствам, когда они были впервые обнаружены в 2016 году: Cozy Bear и Fancy Bear.
Утверждается, что 12 причастных хакеров:
| Имя | Роль | Классифицировать |
| Viktor Borisovich Netyksho | Командир отряда 26165, ответственный за взлом DNC и других целей. | Неизвестный |
| Boris Alekseyevich Antonov | Курировал целевые фишинговые кампании для отряда 26165. | Главный |
| Dmitry Sergeyevich Badin | Помощник начальника управления Антонова | Неизвестный |
| Ivan Sergeyevich Yermakov | Проведены операции по взлому отряда 26165. | Неизвестный |
| Aleksey Viktorovich Lukashev | Проведены целевые фишинговые атаки на отряд 26165. | 2-й лейтенант |
| Sergey Aleksandrovich Morgachev | Курировал разработку и управление вредоносным ПО для подразделения 26165. | Подполковник |
| Nikolay Yuryevich Kozachek | Разработано вредоносное ПО для отряда 26165. | Лейтенант-капитан |
| Pavel Vyacheslavovich Yershov | Протестировано вредоносное ПО для Unit 26165 | Неизвестный |
| Artem Andreyevich Malyshev | Отслеживаемое вредоносное ПО для отряда 26165 | 2-й лейтенант |
| Aleksandr Vladimirovich Osadchuk | Командир отряда 74455, ответственный за утечку украденных документов | Полковник |
| Aleksey Aleksandrovich Potemkin | Курируем администрирование ИТ-инфраструктуры | Неизвестный |
| Anatoliy Sergeyevich Kovalev | Проведены операции по взлому отряда 74455. | Неизвестный |
ЧИТАЙТЕ ДАЛЬШЕ: Технологические компании передают ваши данные правительству
Как планировался взлом
Ключом к любой успешной кибератаке является планирование и разведка, поэтому первой задачей боевиков отряда 26165 было выявить слабые места в инфраструктуре кампании Клинтон – слабые места, которые затем можно было бы использовать.
15 марта:
Иван Ермаков начинает сканирование инфраструктуры Национального комитета Демократической партии на предмет выявления подключенных устройств. Он также начинает проводить исследования сети Национального комитета Демократической партии, а также исследования Клинтон и демократов в целом.
19 марта:
Джон Подеста попался на фишинговое электронное письмо, предположительно созданное Алексеем Лукашевым и замаскированное под предупреждение системы безопасности Google, предоставляющее россиянам доступ к его личной учетной записи электронной почты. В тот же день Лукашев использует целевые фишинговые атаки, чтобы атаковать других высокопоставленных чиновников предвыборного штаба, включая руководителя предвыборного штаба Робби Мука.
21 марта:
Личный адрес электронной почты Подесты очищается Лукашевым и Ермаковым; в общей сложности они уносят более 50 000 сообщений.
28 марта:
Успешная фишинговая кампания Лукашева привела к краже учетных данных электронной почты и «тысяч» сообщений от различных людей, связанных с кампанией Клинтон.
6 апреля:
Россияне создают фальшивый адрес электронной почты для известного деятеля в лагере Клинтон, в котором от имени человека отличается всего одна буква. Затем этот адрес электронной почты Лукашев использует для фишинга как минимум 30 различных сотрудников предвыборной кампании, а сотрудницу DCCC обманом заставляют передать свои учетные данные для входа.
ЧИТАЙТЕ ДАЛЬШЕ: Как Google обнаружил доказательства вмешательства России в выборы в США
Как был взломан Национальный демократический комитет
Первоначальная подготовительная работа уже завершена, и русские получили прочные позиции в сети демократов благодаря высокоэффективной целевой фишинговой кампании. Следующим шагом было использование этой точки опоры для получения дальнейшего доступа.
7 апреля:
Как и во время первой разведки в марте, Ермаков исследует подключенные устройства в сети DCCC.
12 апреля:
Используя учетные данные, украденные у ничего не подозревающего сотрудника DCCC, россияне получают доступ к внутренним сетям DCCC. В период с апреля по июнь они установили различные версии вредоносного ПО под названием «X-Agent», которое позволяет удаленно вести кейлогинг и делать снимки экрана зараженных устройств, как минимум на десяти компьютерах DCCC.
Это вредоносное ПО передает данные с зараженных компьютеров на арендованный русскими сервер в Аризоне, который они называют панелью «AMS». С этой панели они могут удаленно отслеживать и управлять своим вредоносным ПО.
14 апреля:
В течение восьми часов россияне использовали X-Agent для кражи паролей для программ DCCC по сбору средств и работе с избирателями, как утверждается в обвинительном заключении Мюллера, а также для мониторинга коммуникаций между сотрудниками DCCC, которые включали личную информацию и банковские реквизиты. В разговорах также содержится информация о финансах DCCC.
15 апреля:
Русские ищут на одном из взломанных компьютеров DCCC различные ключевые слова, включая «Хиллари», «Круз» и «Трамп». Они также копируют ключевые папки, например папку с надписью «Расследования в Бенгази».
18 апреля:
Сеть DNC взломана россиянами, которые получают доступ, используя учетные данные сотрудника DCCC, имеющего разрешение на доступ к системам DNC.
19 апреля:
Ершов и Николай Козачек, по всей видимости, установили третий компьютер за пределами США, чтобы он работал в качестве ретранслятора между расположенной в Аризоне панелью AMS и вредоносным ПО X-Agent, чтобы запутать связь между ними.
22 апреля:
Несколько гигабайт данных, украденных с компьютеров DNC, сжимаются в архив. Эти данные включают исследования оппозиции и планы полевых операций. В течение следующей недели русские используют еще одну специальную вредоносную программу — «X-Tunnel» — для передачи этих данных из сети Национального комитета Демократической партии на другую арендованную машину в Иллинойсе через зашифрованные соединения.
13 мая:
В какой-то момент в мае и DNC, и DCCC осознают, что они были скомпрометированы. Организации нанимают фирму по кибербезопасности CrowdStrike, чтобы искоренить хакеров из своих систем, в то время как русские начинают предпринимать шаги по сокрытию своей деятельности, такие как очистка журналов событий с определенных компьютеров DNC.
25 мая:
В течение недели россияне якобы украли тысячи электронных писем с рабочих учетных записей сотрудников Национального комитета Демократической партии после взлома Microsoft Exchange Server Национального комитета Демократической партии, в то время как Ермаков исследует команды PowerShell для доступа и запуска Exchange Server.
31 мая:
Ермаков начинает проводить исследование CrowdStrike и его расследование в отношении X-Agent и X-Tunnel, предположительно, чтобы увидеть, как много знает компания.
1 июня:
На следующий день россияне пытаются использовать CCleaner – бесплатный инструмент, предназначенный для освобождения места на жестком диске – чтобы уничтожить доказательства своей деятельности в сети DCCC.
ЧИТАЙТЕ ДАЛЬШЕ: Россия стоит за глобальной хакерской кампанией с целью украсть официальные секреты?
Рождение Guccifer 2.0
Русские уже украли из Национального комитета Демократической партии значительный объем данных. Эта информация в сочетании с сокровищницей личных электронных писем Подесты дает им все необходимые боеприпасы для атаки на кампанию Клинтон.
8 июня:
DCLeaks.com запущен, предположительно, русскими вместе с соответствующими страницами в Facebook и аккаунтами в Twitter как способ распространения материалов, украденных ими у Подесты и Национального комитета Демократической партии. Сайт утверждает, что им управляют американские хактивисты, однако в обвинительном заключении Мюллера утверждается, что это ложь.
14 июня:
CrowdStrike и DNC сообщают, что организация была взломана, и публично обвиняют российское правительство. Россия отрицает свою причастность к нападению. В течение июня CrowdStrike начнет принимать меры по смягчению последствий взлома.
15 июня:
В ответ на обвинения CrowdStrike русские создают образ Guccifer 2.0 в качестве дымовой завесы, утверждает Мюллер, с целью посеять сомнения в причастности России к взломам. Выдавая себя за одного румынского хакера, ответственность за атаку берет на себя команда россиян.
Кто такой Guccifer?
Хотя Guccifer 2.0 — это вымышленная личность, созданная российскими оперативниками, на самом деле она основана на реальном человеке. Настоящий Guccifer был настоящим румынским хакером, получившим известность в 2013 году после публикации фотографий Джорджа Буша-младшего, взломанных с аккаунта его сестры AOL. По его словам, это имя представляет собой смесь слов «Gucci» и «Lucifer».
В конце концов он был арестован по подозрению во взломе ряда румынских чиновников и экстрадирован в США. Россияне, по-видимому, надеялись, что чиновники решат, что он также стоит за действиями Guccifer 2.0, несмотря на то, что он уже признал себя виновным по федеральным обвинениям в мае.
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
20 июня:
К этому моменту россияне получили доступ к 33 конечным точкам Национального комитета Демократической партии. Тем временем CrowdStrike удалила все экземпляры X-Agent из сети DCCC, хотя по крайней мере одна версия X-Agent останется активной в системах DNC до октября.
Россияне проводят более семи часов безуспешно, пытаясь подключиться к своим экземплярам X-Agent к сети DCCC, а также пытаются использовать ранее украденные учетные данные для доступа к ней. Они также очищают журналы активности панели AMS, включая всю историю входов и данные об использовании.
22 июня:
WikiLeaks якобы отправляет Guccifer 2.0 личное сообщение с просьбой присылать любые новые материалы, касающиеся Клинтон и демократов, заявляя, что «это окажет гораздо большее влияние, чем то, что вы делаете».
18 июля:
WikiLeaks подтверждает получение архива украденных данных Национального комитета Демократической партии объемом 1 ГБ и заявляет, что он будет опубликован в течение недели.
22 июля:
Верный своему слову, WikiLeaks публикует более 20 000 электронных писем и документов, украденных у Национального комитета Демократической партии, всего за два дня до Национального съезда Демократической партии. Последнее электронное письмо, опубликованное WikiLeaks, датировано 25 мая – примерно в тот же день, когда был взломан Exchange-сервер Национального комитета Демократической партии.
ЧИТАЙТЕ ДАЛЬШЕ: WikiLeaks утверждает, что ЦРУ может использовать смарт-телевизоры для слежки за владельцами
27 июля:
Во время пресс-конференции кандидат в президенты Дональд Трамп прямо и конкретно просит российское правительство найти часть личных электронных писем Клинтон.
В тот же день россияне атаковали учетные записи электронной почты, используемые личным офисом Клинтон и размещенные у стороннего провайдера.
15 августа:
Помимо WikiLeaks, Guccifer 2.0 также снабжает украденной информацией ряд других бенефициаров. Сюда, очевидно, входит кандидат в Конгресс США, который запрашивает информацию, касающуюся своего оппонента. В этот период россияне также используют Guccifer 2.0 для общения с человеком, который «находится в регулярном контакте» с ведущими членами предвыборного штаба Трампа.
22 августа:
Guccifer 2.0 отправляет 2,5 ГБ украденных данных (включая записи доноров и личную информацию более чем 2000 доноров-демократов) «зарегистрированному на тот момент государственному лоббисту и онлайн-источнику политических новостей».
Сентябрь:
В какой-то момент в сентябре россияне получат доступ к облачному сервису, содержащему тестовые приложения для анализа данных DNC. Используя собственные встроенные инструменты облачного сервиса, они создают снимки систем, а затем передают их в учетные записи, которые они контролируют.
7 октября:
WikiLeaks публикует первую порцию электронных писем Подесты, что вызвало споры и бурю негодования в средствах массовой информации. В течение следующего месяца организация опубликует все 50 000 электронных писем, предположительно украденных Лукашевым из его аккаунта.
28 октября:
Ковалев и его товарищи нападают на офисы штатов и округов, ответственные за проведение выборов в ключевых колеблющихся штатах, включая Флориду, Джорджию и Айову, говорится в обвинительном заключении Мюллера.
Ноябрь:
В первую неделю ноября, незадолго до выборов, Ковалев использует поддельную учетную запись электронной почты, чтобы целевой фишинг более 100 целей которые участвуют в администрировании и наблюдении за выборами во Флориде, где Трамп победил с перевесом в 1,2%. Электронные письма созданы так, чтобы выглядеть так, будто они пришли от поставщика программного обеспечения, предоставляющего системы проверки избирателей, — компании, которую Ковалев взломал еще в августе, утверждает Мюллер.
8 ноября:
Вопреки прогнозам экспертов и социологов, звезда реалити-шоу Дональд Трамп побеждает на выборах и становится президентом США.
ЧИТАЙТЕ ДАЛЬШЕ: 16 раз, когда гражданин Трамп сжигал президента Трампа
Что происходит сейчас?
Хотя это, несомненно, знаковый момент как в глобальной геополитике, так и в кибербезопасности, многие эксперты отмечают, что обвинение 12 агентам ГРУ является почти полностью символическим жестом и вряд ли приведет к арестам.
У России нет договора об экстрадиции с США, поэтому она не обязана передавать обвиняемых Мюллеру. Это, кстати, та же самая причина, по которой информатор АНБ Эдвард Сноуден был заперт в России в течение последних нескольких лет.
Цель, как предполагают некоторые источники, состоит в том, чтобы эти обвинения послужили предупреждением, позволив России (и миру) узнать, что США продвигаются вперед в своем расследовании.
«Заявив об этом, обвинение может сделать достоянием общественности факты и/или обвинения, выявленные большим жюри», — заявил адвокат по уголовным делам Жан-Жак Кабу. Арс Техника. «Здесь общественность в целом может быть одной из целевых аудиторий. Но прокуроры также раскрывают обвинительные заключения, чтобы послать сигнал другим жертвам».
Ожидается, что расследование Мюллера продолжится.
Эта статья первоначально появилась на дочернем сайте Alphr IT Pro.
