כיצד פרצה רוסיה את בחירות ארצות הברית ב -2016

מאת אדם שפרד

הסיפור כיצד 12 האקרים השחיתו לכאורה את הדמוקרטיה החזקה ביותר בעולם בכדי לשים את דונלד טראמפ בראש

לאחר יותר משנתיים של האשמות, האשמות, הכחשות וספקולציות, חקירתו של היועץ המיוחד רוברט מולר בנוגע להתערבות פוטנציאלית בבחירות לנשיאות ארצות הברית בשנת 2016 הובילה אותו לרוסיה. כחלק מבדיקה רחבה של השפעת גורמי מדינה רוסים על הבחירות, האשים משרד המשפטים רשמית 12 אנשי מודיעין צבאי רוסי בעבירות פריצה שונות.

הנשיא ולדימיר פוטין הכחיש כל עוולה בשם רוסיה וסוכניה, וזכה לגיבוי ציבורי על ידי הנשיא טראמפ. למרות גינויו של יו'ר בית הנבחרים האמריקני פול ריאן, אישים ציבוריים ופוליטיים רבים ואפילו מנהל המודיעין הלאומי שלו, טראמפ אמר כי אינו רואה שום סיבה שרוסיה תנסה להניע את הבחירות.

לאחר מכן הוא חזר בו מהקביעה הזו, וקבע כי הוא מקבל את מסקנות קהילת המודיעין שרוסיה התערבה בבחירות 2016, אך גם אמר שזה יכול להיות גם אנשים אחרים, וחזר על טענותיו כי אין שום שיתוף פעולה כלל.

הטענות מגיעות על רקע התוקפנות הרוסית הגוברת על הבמה העולמית; המדינה עדיין שולטת בחצי האי קרים שהיא תפסה בכוח בשנת 2014, יש טענות כי הייתה לה יד לתזמר את ניצחונה של 'הצבעה חופשית' במשאל הברקזיט, ובריטניה האשימה את רוסיה בהרעלת אנשים על אדמת בריטניה באמצעות חומרים עצביים קטלניים.

ראה קשורים עשרת הטכניקות הראשונות לפיצוח סיסמאות בהן משתמשים האקרים

למרות מחאותיו של טראמפ, קהילות האבטחה והאינטרנט הסייבר מוסכמות כמעט פה אחד שרוסיה גנבה את בחירות 2016, תוך שימוש בקמפיין של לוחמת סייבר ומידע מתוחכמת כדי להבטיח את התוצאה שרצו.

אך אם כן, כיצד עשו זאת?

הודות לכתב האישום שהוצא נגד הפעילים הרוסים, כעת יש לנו מושג די טוב כיצד בוצע הפריצה לכאורה. הגשתו של מולר כוללת פרטים כגון תאריכים, שיטות וקטורי תקיפה, המאפשרים לנו לבנות ציר זמן מפורט כיצד 12 גברים רוסים עשויים להוריד את הדמוקרטיה החזקה ביותר בעולם. מאמר זה בוחן כיצד זה יכול היה לקרות, בהתבסס על ההאשמות המתוארות בכתב האישום של מולר.

קרא הבא: חשבונות רוסים הוציאו 76,000 ליש'ט על מודעות בחירות ב -2016

היעדים

נראה כי מטרתה של ממשלת רוסיה בבחירות 2016 ברורה: להקל על העלאתו של דונלד ג'יי טראמפ לתפקיד נשיא ארצות הברית, בכל האמצעים הדרושים.

על מנת לעשות זאת, הרוסים היו צריכים למצוא דרך להוריד את המועמד היריב שלו מהדירקטוריון, מה שהוביל אותם לכוון לארבע מפלגות עיקריות במסע פריצה מתוחכם וארוך טווח.

DCCC

ועדת הקמפיין הדמוקרטית של הקונגרס (או 'טיול D', כפי שהוא מכונה בשפה המקומית) אחראית להביא לכמה שיותר דמוקרטים שנבחרו לבית הנבחרים האמריקני, תוך מתן תמיכה, הדרכה ומימון למועמדים פוטנציאליים במירוצי הקונגרס.

DNC

הגוף המנהל של המפלגה הדמוקרטית של ארצות הברית, הוועד הלאומי הדמוקרטי מופקד על ארגון האסטרטגיה הכוללת של הדמוקרטים, וכן על ארגון המינוי והאישור של המועמד לנשיאות המפלגה בכל בחירות.

הילארי קלינטון

מזכירת המדינה לשעבר בפיקודו של אובמה, הילארי קלינטון הביסה את ברני סנדרס והפכה למועמדת הדמוקרטים לנשיאות בבחירות 2016, והביאה אותה לכוונת הכביש של דונלד טראמפ ושל ממשלת רוסיה.

ג'ון פודסטה

ג'ון פודסטה, שהיה ותיק בפוליטיקה של DC, כיהן תחת שני הנשיאים הקודמים של הדמוקרטים, לפני ששימש כיו'ר קמפיין הנשיאות של הילרי קלינטון בשנת 2016.

ה- GRU שנים עשר

כל שנים עשר החשודים בהאקרים עובדים עבור ה- GRU - ארגון הביון הזר המובחר של ממשלת רוסיה. כולם קצינים צבאיים בדרגות שונות, וכולם היו חלק מיחידות שהוטלו עליהם במיוחד לסבול את מהלך הבחירות.

על פי כתב האישום של מולר, יחידה 26165 הייתה אחראית על פריצת ה- DNC, DCCC, וגורמים המזוהים עם הקמפיין של קלינטון. יחידת 74455 הוטלה ככל הנראה לפעול כתעמולה סמויה, לדלוף מסמכים גנובים ולפרסם תכנים אנטי-קלינטון ואנטי-דמוקרטים בערוצים מקוונים שונים.

אנשי מקצוע בתחום האבטחה עשויים להכיר יותר את שמות הקוד שניתנו לשתי היחידות הללו כאשר התגלו לראשונה בשנת 2016: Cozy Bear ו- Bear Bear.

טוענים כי 12 ההאקרים המעורבים הם:

קרא הבא: חברות הטכנולוגיה מגלות את הנתונים שלך לממשלה

כיצד תוכנן הפריצה

המפתח לכל מתקפת סייבר מוצלחת הוא תכנון וסיור, ולכן המשימה הראשונה של פעילי יחידת 26165 הייתה לזהות את נקודות החולשה בתשתית הקמפיין של קלינטון - חולשות שאפשר לנצל אז.

15 במרץ:

איוון ירמקוב מתחיל לסרוק את התשתית של ה- DNC על מנת לזהות מכשירים מחוברים. הוא גם מתחיל לערוך מחקר ברשת ה- DNC, כמו גם מחקר בקלינטון והדמוקרטים בכלל.

19 במרץ:

ג'ון פודסטה נופל על דוא'ל חידוד שנוצר על ידי אלכסיי לוקשב וכביכול כשהוא מוסווה כתרעת אבטחה של גוגל, ומעניק לרוסים גישה לחשבון הדוא'ל האישי שלו. באותו יום, לוקשייב משתמש במתקפות חניתות כדי לכוון לבכירים אחרים בקמפיין, כולל מנהל הקמפיין רובי מוק.

21 במרץ:

חשבון הדוא'ל האישי של פודסטה מנוקה על ידי לוקשב וירמקוב; הם מפצים עם יותר מ- 50,000 הודעות בסך הכל.

28 במרץ:

הקמפיין המוצלח של לוקשייב בזיף מוביל לגניבת אישורי הכניסה לדוא'ל ואלפי הודעות מאנשים שונים הקשורים לקמפיין של קלינטון.

6 באפריל:

הרוסים יוצרים כתובת דוא'ל מזויפת לדמות ידועה במחנה קלינטון, בהפרש של אות אחת בלבד משמו של האדם. כתובת דוא'ל זו משמשת את לוקשב בכדי לחשוף פישי לפחות 30 עובדי קמפיין שונים, ועובדת DCCC שולל למסור את אישורי הכניסה שלה.

קרא הבא: כיצד גוגל חשפה עדויות להתערבות בבחירות ברוסיה בארה'ב

איך הפרצת ה- DNC

עבודת ההכנה הראשונית הושלמה כעת, לרוסים הייתה דריסת רגל חזקה ברשת הדמוקרטים בזכות מסע חיזוק יעיל ביותר. השלב הבא היה למנף את דריסת הרגל כדי להשיג גישה נוספת.

7 באפריל:

כמו בסיור הראשוני במרץ, ירמקוב חוקר מכשירים מחוברים ברשת ה- DCCC.

12 באפריל:

באמצעות אישורים שנגנבו מעובד DCCC לא מודע, הרוסים מקבלים גישה לרשתות הפנימיות של DCCC. בין אפריל ליוני, הם מתקינים גרסאות שונות של פיסת תוכנה זדונית בשם 'X-Agent' - המאפשרת רישום מפתח מרחוק ולכידת מסך של התקנים נגועים - בעשרה מחשבי DCCC לפחות.

תוכנה זדונית זו מעבירה נתונים ממחשבים מושפעים לשרת אריזונה שהושכר על ידי הרוסים, והם מכונים כחלונית AMS. מחלונית זו, הם יכולים לפקח ולנהל מרחוק את התוכנות הזדוניות שלהם.

14 באפריל:

במשך שמונה שעות, הרוסים משתמשים ב- X-Agent כדי לגנוב סיסמאות לתוכניות גיוס תרומות DCCC והצגת מצביעים, טענות כתב האישום של מולר, כמו גם מעקב אחר תקשורת בין עובדי DCCC שכללה מידע אישי ופרטי בנקאות. השיחות כוללות גם מידע על הכספים של DCCC.

15 באפריל:

הרוסים מחפשים באחד ממחשבי ה- DCCC הפרוצים אחר מונחי מפתח שונים, כולל 'הילארי', 'קרוז' ו'טראמפ '. הם גם מעתיקים תיקיות מפתח, כמו אחת שכותרתה 'Benghazi Investigations'.

18 באפריל:

כיצד להתאים טבלה לדף במילה

הרשת של DNC נפרצת על ידי הרוסים, שמקבלים גישה באמצעות אישורי צוות DCCC עם הרשאה לגשת למערכות ה- DNC.

19 באפריל:

ירשוב וניקולאי קוזאצ'ק הקימו ככל הנראה מחשב שלישי מחוץ לארה'ב, כדי לשמש כממסר בין פאנל AMS שבאריזונה לבין תוכנות זדוניות של X-Agent במטרה לטשטש את הקשר בין השניים.

22 באפריל:

כמה ג'יגה של נתונים שנגנבו ממחשבי DNC נדחסים לארכיון. נתונים אלה כוללים מחקר אופוזיציה ותוכניות לפעולות שטח. במהלך השבוע הבא, הרוסים משתמשים בפיסת תוכנה זדונית אחרת בהתאמה אישית - 'X-Tunnel' - כדי להעביר נתונים אלה מרשת ה- DNC למכונה מושכרת אחרת באילינוי, באמצעות חיבורים מוצפנים.

13 במאי:

בשלב מסוים במהלך חודש מאי, גם ה- DNC וגם ה- DCCC מודעים לכך שנפגעו. הארגונים שוכרים את חברת אבטחת הסייבר CrowdStrike כדי להשמיד את ההאקרים מהמערכות שלהם, בעוד שהרוסים מתחילים לנקוט בצעדים כדי להסתיר את פעילותם, כמו למשל לנקות את יומני האירועים ממכונות DNC מסוימות.

25 במאי:

במהלך שבוע, הרוסים גונבים לכאורה אלפי מיילים מחשבונות העבודה של עובדי DNC לאחר פריצה לשרת Exchange Exchange של ה- DNC, בעוד שירמקוב חוקר פקודות PowerShell לגישה ולהפעלת Exchange Server.

31 במאי:

ירמקוב מתחיל לערוך מחקר על CrowdStrike וחקירתו אודות X-Agent ו- X-Tunnel, ככל הנראה במטרה לראות כמה החברה יודעת.

1 ביוני:

למחרת מנסים הרוסים להשתמש ב- CCleaner - כלי תוכנה חופשית שנועד לפנות מקום בכונן הקשיח - כדי להשמיד עדויות על פעילותם ברשת ה- DCCC.

קרא הבא: האם רוסיה עומדת מאחורי קמפיין פריצה עולמי במטרה לגנוב סודות רשמיים?

לידתו של גוצ'יפר 2.0

הרוסים הסניינו כעת כמות משמעותית של נתונים מה- DNC. מידע זה, בשילוב אוצר המיילים האישי של פודסטה, נותן להם את כל התחמושת הדרושה להם כדי לתקוף את הקמפיין של קלינטון.

8 ביוני:

DCLeaks.com הושק, לכאורה על ידי הרוסים, יחד עם עמודי פייסבוק וחשבונות טוויטר תואמים, כדרך להפיץ את החומר שגנבו מפודסטה ומ- DNC. האתר טוען שהוא מנוהל על ידי האקטיוויסטים אמריקאים, אך כתב האישום של מולר טוען שמדובר בשקר.

14 ביוני:

CrowdStrike ו- DNC חושפים כי הארגון נפרץ, ומאשימים בפומבי את ממשלת רוסיה. רוסיה מכחישה כל מעורבות בתקיפה. במהלך יוני, CrowdStrike מתחיל לנקוט בפעולה למתן הפריצה.

15 ביוני:

בתגובה להאשמת CrowdStrike, הרוסים יוצרים את דמותו של Guccifer 2.0 כמסך עשן, טוען מולר, שנועד לזרוע ספק לגבי מעורבות רוסית בפריצות. צוות הרוסים מתחזה להאקר רומני יחיד, ולוקח קרדיט על ההתקפה.

מי זה גוצ'יפר?

בעוד שגוציפר 2.0 הוא פרסונה פיקטיבית שנוצרה על ידי פעילים רוסים, היא למעשה מבוססת על אדם אמיתי. גוצ'יפר המקורי היה האקר רומני אמיתי שזכה לשמצה בשנת 2013 לאחר שפרסם תמונות של ג'ורג 'וו. בוש שנפרץ מחשבון AOL של אחותו. השם, לדבריו, הוא פורטמנטו של 'גוצ'י' ו'לוציפר '.

בסופו של דבר הוא נעצר בחשד לפריצה למספר פקידים רומניים והוסגר לארה'ב. ככל הנראה קיוו הרוסים כי גורמים רשמיים יניחו שהוא עומד גם מאחורי פעולותיו של גוצ'יפר 2.0, למרות העובדה שכבר הודה באשמות פדרליות במאי.

20 ביוני:

בשלב זה, הרוסים קיבלו גישה ל -33 נקודות קצה של DNC. CrowdStrike, בינתיים, ביטל את כל מקרי ה- X-Agent מרשת ה- DCCC - אם כי לפחות גרסה אחת של ה- X-Agent תישאר פעילה במערכות ה- DNC עד אוקטובר.

הרוסים מבלים יותר משבע שעות בניסיון להתחבר למופעי ה- X-Agent שלהם ללא הצלחה עם רשת DCCC, כמו גם בניסיון להשתמש באישורים שנגנבו בעבר כדי לגשת אליו. הם גם מטהרים את יומני הפעילות של פאנל AMS, כולל כל היסטוריית הכניסה ונתוני השימוש.

22 ביוני:

לכאורה, WikiLeaks שולחים הודעה פרטית לגוצ'יפר 2.0 בבקשה לשלוח כל חומר חדש הנוגע לקלינטון והדמוקרטים, לפיו תהיה לו השפעה גבוהה בהרבה ממה שאתה עושה.

18 ביולי:

WikiLeaks מאשרת קבלת ארכיון של 1GB של נתוני DNC גנובים ומצהירה כי הוא ישוחרר תוך שבוע.

22 ביולי:

נכון למילה שלה, WikiLeaks משחררת מעל 20,000 מיילים ומסמכים שנגנבו מה- DNC, רק יומיים לפני הכינוס הלאומי הדמוקרטי. הדוא'ל האחרון שפרסמה WikiLeaks הוא מיום 25 במאי - בערך באותו יום בו נפרץ שרת ה- Exchange של DNC.

קרא הבא: WikiLeaks אומרת ש- CIA יכולה להשתמש בטלוויזיות חכמות כדי לרגל אחרי בעלים

27 ביולי:

במהלך מסיבת עיתונאים, המועמד לנשיאות דונלד טראמפ מבקש באופן ישיר ובאופן ספציפי שממשלת רוסיה תאתר חלק אימיילים אישיים של קלינטון.

באותו יום, הרוסים מכוונים לחשבונות דוא'ל המשמשים את המשרד האישי של קלינטון ומתארחים אצל ספק צד שלישי.

15 באוגוסט:

בנוסף ל- WikiLeaks, Guccifer 2.0 מספק גם למספר נהנים אחרים מידע גנוב. זה כולל ככל הנראה מועמד לקונגרס אמריקני, שמבקש מידע הנוגע ליריבם. במהלך תקופה זו, הרוסים משתמשים גם בגוצ'יפר 2.0 כדי לתקשר עם אדם שנמצא בקשר קבוע עם צמרת הקמפיין של טראמפ.

22 באוגוסט:

Guccifer 2.0 שולח 2.5GB של נתונים גנובים (כולל רשומות תורמים ומידע אישי שניתן לזהות על יותר מ -2,000 תורמים דמוקרטים) אל לוביסט ממלכתי שנרשם אז ומקור חדשות פוליטי מקוון.

שבע:

בשלב מסוים בספטמבר, הרוסים מקבלים גישה לשירות ענן המכיל אפליקציות בדיקה לניתוח נתונים DNC. בעזרת הכלים המובנים של שירות הענן הם יוצרים תצלומי מסך של המערכות ואז מעבירים אותם לחשבונות שהם שולטים בהם.

7 באוקטובר:

WikiLeaks משחררת את המנה הראשונה של המיילים של פודסטה, מה שעורר מחלוקת וסערה בתקשורת. במהלך החודש הבא ישחרר הארגון את כל 50,000 המיילים שנגנב לכאורה מחשבונו על ידי לוקשב.

28 באוקטובר:

קובלב וחבריו מכוונים למשרדי מדינה ומחוז האחראיים לניהול בחירות במדינות מפתח מתנדנדות כולל פלורידה, ג'ורג'יה ואיווה, מדינות כתב האישום של מולר.

נובמבר:

בשבוע הראשון של נובמבר, ממש לפני הבחירות, קובאליב משתמש בחשבון דוא'ל מזויף כדי חנית phish מעל 100 מטרות העוסקים בניהול ובפיקוח על הבחירות בפלורידה - שם ניצח טראמפ ב -1.2%. הודעות האימייל נועדו להיראות כאילו הגיעו מספק תוכנה המספק מערכות אימות בוחרים, חברה שקובלב פרצה כבר באוגוסט, טוען מולר.

8 בנובמבר:

בניגוד לתחזיות המומחים והסקרים, כוכב הטלוויזיה הריאליטי דונלד טראמפ זוכה בבחירות והופך לנשיא ארצות הברית.

קרא הבא: 16 פעמים במקום בו האזרח טראמפ שרף את הנשיא טראמפ

מה שקורה עכשיו?

אמנם זהו ללא ספק רגע נקודת ציון הן בגיאופוליטיקה העולמית והן באבטחת הסייבר, אך מומחים רבים ציינו כי כתב האישום של 12 סוכני GRU הוא מחווה סמלית כמעט לחלוטין, וככל הנראה לא יוביל למעצרים.

לרוסיה אין הסכם הסגרה עם ארה'ב, ולכן היא אינה מחויבת למסור את הנאשמים לידי מולר. זו, אגב, אותה הסיבה שחשף ה- NSA, אדוארד סנודן, מוגבל ברוסיה בשנים האחרונות.

כמה מהמקורות הציעו כי הכוונה היא שכתבי אישום אלה ישמשו כאזהרה, ויידעו את רוסיה (ואת העולם) כי ארה'ב ממשיכה להתקדם בחקירתה.

על ידי הצהרה, התביעה יכולה להכניס לרשות הרבים את העובדות ו / או הטענות שנמצאו על ידי חבר המושבעים הגדול, אמר סנגורו הפלילי ז'אן ז'אק קאבו. ארס טכניקה . כאן, הציבור הרחב עשוי להיות קהל מיועד אחד. אולם התובעים מבטלים גם את כתבי האישום כדי להעביר מסר ליעדים אחרים.

חקירתו של מולר צפויה להימשך.

מאמר זה הופיע במקור באתר האחיות של אלפר IT Pro.