di Adam Shepherd
La storia di come 12 hacker avrebbero corrotto la democrazia più potente del mondo per mettere Donald Trump al primo posto
Dopo più di due anni di accuse, recriminazioni, smentite e speculazioni, l'indagine del consigliere speciale Robert Mueller sulle potenziali interferenze nelle elezioni presidenziali statunitensi del 2016 lo ha portato in Russia. Nell'ambito di un'indagine ad ampio raggio sull'influenza degli attori statali russi sulle elezioni, il Dipartimento di Giustizia ha formalmente accusato 12 membri dell'intelligence militare russa di vari reati di pirateria informatica.
Il presidente Vladimir Putin ha negato ogni illecito a nome della Russia e dei suoi agenti ed è stato pubblicamente sostenuto dal presidente Trump. Nonostante la condanna del presidente della Camera dei rappresentanti degli Stati Uniti Paul Ryan, di numerosi personaggi pubblici e politici e persino del suo stesso direttore dell'intelligence nazionale, Trump ha affermato di non vedere alcun motivo per cui la Russia tenti di influenzare le elezioni.
Successivamente ha fatto marcia indietro su tale affermazione, affermando di accettare le conclusioni della comunità dell'intelligence secondo cui la Russia si è intromessa nelle elezioni del 2016, ma ha anche affermato che potrebbero essere anche altre persone, ribadendo le sue affermazioni secondo cui non vi era alcuna collusione.
Le accuse vengono in un contesto di crescente aggressione russa sulla scena globale; il paese controlla ancora la penisola di Crimea che ha sequestrato con la forza nel 2014, si dice che abbia avuto un ruolo nell'orchestrare la vittoria del Vote Leave nel referendum sulla Brexit e il Regno Unito ha accusato la Russia di aver avvelenato le persone sul suolo britannico usando agenti nervini mortali.
Vedi correlati Le prime dieci tecniche di cracking delle password utilizzate dagli hacker
Nonostante le proteste di Trump, le comunità della sicurezza informatica e dell'intelligence sono quasi unanimemente d'accordo sul fatto che la Russia abbia rubato le elezioni del 2016, usando una campagna di sofisticata guerra informatica e informatica per garantire il risultato che volevano.
Ma se sì, come hanno fatto?
Grazie all'accusa emessa contro gli agenti russi, ora abbiamo un'idea abbastanza chiara di come sarebbe stato effettuato l'hack. La documentazione di Mueller include dettagli come date, metodi e vettori di attacco, permettendoci di costruire una cronologia dettagliata di come esattamente 12 uomini russi potrebbero aver fatto deragliare la democrazia più potente del mondo. Questo articolo esplora come ciò potrebbe essere accaduto, sulla base delle accuse delineate nell'atto d'accusa di Mueller.
LEGGI SUCCESSIVO: I conti russi hanno speso £ 76k in annunci elettorali 2016
I bersagli
L'obiettivo del governo russo durante le elezioni del 2016 sembra chiaro: facilitare l'elevazione di Donald J Trump alla carica di presidente degli Stati Uniti, con ogni mezzo necessario.
Per fare ciò, i russi avevano bisogno di trovare un modo per eliminare il suo candidato rivale dal consiglio, il che li ha portati a prendere di mira quattro partiti principali con una campagna di hacking sofisticata e a lungo termine.
DCCC
Il Democratic Congressional Campaign Committee (o 'D-trip', come è colloquialmente noto) è responsabile di far eleggere il maggior numero possibile di democratici alla Camera dei rappresentanti degli Stati Uniti, fornendo supporto, guida e finanziamenti ai potenziali candidati nelle gare congressuali.
DNC
L'organo di governo del Partito Democratico degli Stati Uniti, il Comitato Nazionale Democratico, è incaricato di organizzare la strategia generale dei Democratici, nonché di organizzare la nomina e la conferma del candidato presidenziale del partito ad ogni elezione.
Hillary Clinton
L'ex Segretario di Stato sotto Obama, Hillary Clinton ha sconfitto Bernie Sanders per diventare il candidato presidenziale dei Democratici alle elezioni del 2016, portandola nel mirino di Donald Trump e del governo russo.
Giovanni Podestà
Un veterano di lunga data della politica DC, John Podesta ha servito sotto i precedenti due presidenti democratici, prima di agire come presidente della campagna presidenziale 2016 di Hillary Clinton.
Il GRU Dodici
Tutti e dodici i sospetti hacker lavorano per il GRU, l'organizzazione di intelligence straniera d'élite del governo russo. Tutti sono ufficiali militari di vario grado e tutti facevano parte di unità specificamente incaricate di pervertire il corso delle elezioni.
Secondo l'accusa di Mueller, l'Unità 26165 era incaricata di hackerare il DNC, il DCCC e gli individui affiliati alla campagna di Clinton. Apparentemente l'Unità 74455 era incaricata di agire come propagandisti segreti, divulgando documenti rubati e pubblicando contenuti anti-Clinton e anti-democratici attraverso vari canali online.
I professionisti della sicurezza potrebbero avere più familiarità con i nomi in codice dati a queste due unità quando sono state scoperte per la prima volta nel 2016: Cozy Bear e Fancy Bear.
I 12 hacker coinvolti sarebbero:
| Nome | Ruolo | Rango |
| Viktor Borisovich Netyksho | Comandante dell'Unità 26165, responsabile dell'hacking del DNC e di altri bersagli | Sconosciuto |
| Boris Alekseyevich Antonov | Ha supervisionato le campagne di spearphishing per l'Unità 26165 | Maggiore |
| Dmitry Sergeyevich Badin | Assistente capo dipartimento di Antonov | Sconosciuto |
| Ivan Sergeyevich Yermakov | Operazioni di hacking condotte per l'Unità 26165 | Sconosciuto |
| Aleksey Viktorovich Lukashev | Attacchi di spearphishing condotti per l'Unità 26165 | Sottotenente |
| Sergey Aleksandrovich Morgachev | Ha supervisionato lo sviluppo e la gestione del malware per l'Unità 26165 | tenente colonnello |
| Nikolay Yuryevich Kozachek | Malware sviluppato per l'unità 26165 | Tenente Capitano |
| Pavel Vyacheslavovich Yershov | Malware testato per l'unità 26165 | Sconosciuto |
| Artem Andreyevich Malyshev | Malware monitorato per l'unità 26165 | Sottotenente |
| Aleksandr Vladimirovich Osadchuk | Comandante dell'Unità 74455, responsabile della fuga di documenti rubati | Colonnello |
| Aleksey Aleksandrovich Potemkin | Amministrazione supervisionata dell'infrastruttura IT | Sconosciuto |
| Anatoliy Sergeyevich Kovalev | Operazioni di hacking condotte per l'Unità 74455 | Sconosciuto |
LEGGI SUCCESSIVO: Le aziende tecnologiche che divulgano i tuoi dati al governo
Come è stato pianificato l'hack
La chiave per qualsiasi attacco informatico di successo è la pianificazione e la ricognizione, quindi il primo compito per gli operativi dell'Unità 26165 è stato identificare i punti deboli nell'infrastruttura della campagna di Clinton, punti deboli che possono essere sfruttati.
15 marzo:
Ivan Yermakov inizia a scansionare l'infrastruttura del DNC per identificare i dispositivi connessi. Inizia anche a condurre ricerche sulla rete del DNC, nonché su Clinton e sui Democratici in generale.
19 marzo:
John Podesta si innamora di un'e-mail di spearphishing presumibilmente creata da Aleksey Lukashev e mascherata da avviso di sicurezza di Google, che consente ai russi di accedere al suo account di posta elettronica personale. Lo stesso giorno, Lukashev usa attacchi di spearphishing per prendere di mira altri alti funzionari della campagna, incluso il manager della campagna Robby Mook.
21 marzo:
L'account e-mail personale di Podesta viene ripulito da Lukashev e Yermakov; se la cavano con più di 50.000 messaggi in totale.
28 marzo:
La riuscita campagna di spearphishing di Lukashev porta al furto di credenziali di accesso e-mail e migliaia di messaggi da varie persone collegate alla campagna di Clinton.
6 aprile:
I russi creano un indirizzo email falso per una figura ben nota nel campo di Clinton, con una sola lettera di differenza dal nome della persona. Questo indirizzo e-mail viene quindi utilizzato da Lukashev per lanciare il phishing di almeno 30 diversi membri dello staff della campagna e un dipendente DCCC viene indotto con l'inganno a consegnare le sue credenziali di accesso.
LEGGI AVANTI: Come Google ha portato alla luce le prove dell'ingerenza nelle elezioni russe negli Stati Uniti US
Come è stato violato il DNC
Completato il lavoro di preparazione iniziale, i russi avevano un forte punto d'appoggio nella rete dei Democratici grazie a una campagna di spearphishing altamente efficace. Il passo successivo è stato quello di sfruttare quel punto d'appoggio per ottenere ulteriore accesso.
7 aprile:
Come per la ricognizione iniziale di marzo, Yermakov ricerca i dispositivi connessi sulla rete del DCCC.
12 aprile:
Usando le credenziali rubate da un inconsapevole dipendente del DCCC, i russi ottengono l'accesso alle reti interne del DCCC. Tra aprile e giugno, installano varie versioni di un malware chiamato 'X-Agent' - che consente il keylogging remoto e l'acquisizione dello schermo dei dispositivi infetti - su almeno dieci computer DCCC.
Questo malware trasmette i dati dai computer interessati a un server dell'Arizona affittato dai russi, che chiamano pannello AMS. Da questo pannello, possono monitorare e gestire in remoto il loro malware.
14 aprile:
Per un periodo di otto ore, i russi utilizzano X-Agent per rubare le password per i programmi di raccolta fondi DCCC e di sensibilizzazione degli elettori, le accuse di Mueller, nonché per monitorare le comunicazioni tra i dipendenti DCCC che includevano informazioni personali e dettagli bancari. Le conversazioni includono anche informazioni sulle finanze del DCCC.
15 aprile:
I russi cercano in uno dei PC DCCC hackerati vari termini chiave, tra cui 'Hillary', 'Cruz' e 'Trump'. Copiano anche cartelle chiave, come quella etichettata 'Benghazi Investigations'.
18 aprile:
se elimino un messaggio su snapchat lo sapranno
La rete del DNC viene violata dai russi, che ottengono l'accesso utilizzando le credenziali di un membro dello staff del DCCC con il permesso di accedere ai sistemi del DNC.
19 aprile:
A quanto pare Yershov e Nikolay Kozachek hanno installato un terzo computer al di fuori degli Stati Uniti, per fungere da relè tra il pannello AMS con sede in Arizona e il malware X-Agent al fine di offuscare la connessione tra i due.
22 aprile:
Diversi gigabyte di dati rubati dai PC DNC vengono compressi in un archivio. Questi dati includono la ricerca dell'opposizione e i piani per le operazioni sul campo. Durante la prossima settimana, i russi utilizzano un altro malware personalizzato, 'X-Tunnel', per esfiltrare questi dati dalla rete del DNC a un'altra macchina in affitto in Illinois, tramite connessioni crittografate.
13 maggio:
Ad un certo punto nel mese di maggio, sia il DNC che il DCCC si accorgono di essere stati compromessi. Le organizzazioni assumono la società di sicurezza informatica CrowdStrike per sradicare gli hacker dai loro sistemi, mentre i russi iniziano a prendere provvedimenti per nascondere le loro attività, come cancellare i registri degli eventi da alcune macchine DNC.
25 maggio:
Nel corso di una settimana, i russi avrebbero rubato migliaia di e-mail dagli account di lavoro dei dipendenti di DNC dopo aver violato il Microsoft Exchange Server del DNC, mentre Yermakov ricerca i comandi PowerShell per l'accesso e l'esecuzione di Exchange Server.
31 maggio:
Yermakov inizia a condurre ricerche su CrowdStrike e le sue indagini su X-Agent e X-Tunnel, presumibilmente nel tentativo di vedere quanto sa la compagnia.
1 giugno:
Il giorno successivo, i russi tentano di utilizzare CCleaner, uno strumento gratuito progettato per liberare spazio sul disco rigido, per distruggere le prove della loro attività sulla rete del DCCC.
LEGGI SUCCESSIVO: La Russia è dietro una campagna di hacking globale nel tentativo di rubare segreti ufficiali?
La nascita di Guccifer 2.0
I russi hanno ora esfiltrato una notevole quantità di dati dal DNC. Queste informazioni, combinate con il tesoro delle e-mail personali di Podesta, forniscono loro tutte le munizioni di cui hanno bisogno per attaccare la campagna di Clinton
8 giugno:
DCLeaks.com viene lanciato, presumibilmente dai russi, insieme alle pagine Facebook e agli account Twitter corrispondenti, come un modo per diffondere il materiale che hanno rubato a Podesta e al DNC. Il sito afferma di essere gestito da hacktivisti americani, ma l'accusa di Mueller sostiene che questa è una bugia.
14 giugno:
CrowdStrike e il DNC rivelano che l'organizzazione è stata hackerata e accusano pubblicamente il governo russo. La Russia nega ogni coinvolgimento nell'attacco. Nel corso di giugno, CrowdStrike inizia ad agire per mitigare l'hack.
15 giugno:
In risposta all'accusa di CrowdStrike, i russi creano il personaggio di Guccifer 2.0 come una cortina fumogena, afferma Mueller, con l'intento di seminare dubbi sul coinvolgimento russo negli hack. Fingendosi un singolo hacker rumeno, il team di russi si prende il merito dell'attacco.
Chi è Guccifer?
Mentre Guccifer 2.0 è un personaggio fittizio creato da agenti russi, in realtà è basato su una persona reale. L'originale Guccifer era un vero hacker rumeno che ha acquisito notorietà nel 2013 dopo aver rilasciato foto di George W. Bush che erano state hackerate dall'account AOL di sua sorella. Il nome, dice, è un portmanteau di 'Gucci' e 'Lucifero'.
Alla fine è stato arrestato con l'accusa di aver hackerato un certo numero di funzionari rumeni ed estradato negli Stati Uniti. I russi presumibilmente speravano che i funzionari presumessero che ci fosse anche lui dietro le azioni di Guccifer 2.0, nonostante il fatto che si fosse già dichiarato colpevole di accuse federali a maggio.
20 giugno:
A questo punto, i russi hanno ottenuto l'accesso a 33 endpoint DNC. CrowdStrike, nel frattempo, ha eliminato tutte le istanze di X-Agent dalla rete del DCCC, sebbene almeno una versione di X-Agent rimarrà attiva all'interno dei sistemi del DNC fino a ottobre.
I russi trascorrono più di sette ore senza successo cercando di connettersi alle loro istanze X-Agent con la rete DCCC, oltre a provare a utilizzare credenziali precedentemente rubate per accedervi. Eliminano anche i registri delle attività del pannello AMS, inclusa tutta la cronologia degli accessi e i dati di utilizzo.
22 giugno:
WikiLeaks avrebbe inviato un messaggio privato a Guccifer 2.0 chiedendogli di inviare qualsiasi nuovo materiale relativo a Clinton e ai Democratici, affermando che avrà un impatto molto più elevato di quello che stai facendo.
18 luglio:
WikiLeaks conferma la ricezione di un archivio da 1 GB di dati DNC rubati e afferma che sarà rilasciato entro la settimana.
22 luglio:
Fedele alla sua parola, WikiLeaks rilascia oltre 20.000 e-mail e documenti rubati dal DNC, appena due giorni prima della Convention nazionale democratica. L'e-mail più recente rilasciata da WikiLeaks è datata 25 maggio, circa lo stesso giorno in cui è stato violato l'Exchange Server del DNC.
LEGGI SUCCESSIVO: WikiLeaks afferma che la CIA può utilizzare le smart TV per spiare i proprietari
27 luglio:
Durante una conferenza stampa, il candidato presidenziale Donald Trump chiede direttamente e specificamente al governo russo di individuare una tranche di e-mail personali di Clinton.
Lo stesso giorno, i russi prendono di mira gli account di posta elettronica utilizzati dall'ufficio personale di Clinton e ospitati da un provider di terze parti.
15 agosto:
Oltre a WikiLeaks, Guccifer 2.0 fornisce anche ad altri beneficiari informazioni rubate. Apparentemente questo include un candidato al Congresso degli Stati Uniti, che chiede informazioni relative al loro avversario. Durante questo periodo, i russi utilizzano anche Guccifer 2.0 per comunicare con un individuo che è in contatto regolare con i membri più importanti della campagna Trump.
22 agosto:
Guccifer 2.0 invia 2,5 GB di dati rubati (compresi i registri dei donatori e le informazioni di identificazione personale su oltre 2.000 donatori democratici) a un lobbista statale allora registrato e a una fonte online di notizie politiche.
Sette:
Ad un certo punto a settembre, i russi ottengono l'accesso a un servizio cloud che contiene app di test per l'analisi dei dati DNC. Utilizzando gli strumenti integrati del servizio cloud, creano istantanee dei sistemi, quindi li trasferiscono agli account che controllano.
7 ottobre:
WikiLeaks rilascia il primo lotto di e-mail di Podesta, suscitando polemiche e clamore nei media. Nel corso del prossimo mese, l'organizzazione rilascerà tutte le 50.000 e-mail presumibilmente rubate dal suo account da Lukashev.
28 ottobre:
Kovalev e i suoi compagni prendono di mira gli uffici statali e di contea responsabili della gestione delle elezioni negli stati chiave in oscillazione tra cui Florida, Georgia e Iowa, gli stati d'accusa di Mueller.
novembre:
Nella prima settimana di novembre, poco prima delle elezioni, Kovalev utilizza un account di posta elettronica contraffatto per spear phishing oltre 100 bersagli che sono coinvolti nell'amministrazione e supervisione delle elezioni in Florida, dove Trump ha vinto con l'1,2%. Le e-mail sono progettate per sembrare provenire da un fornitore di software che fornisce sistemi di verifica degli elettori, una società che Kovalev ha violato ad agosto, sostiene Mueller.
8 novembre:
Contrariamente alle previsioni di esperti e sondaggisti, la star dei reality TV Donald Trump vince le elezioni e diventa presidente degli Stati Uniti.
LEGGI SUCCESSIVO: 16 volte in cui il cittadino Trump ha bruciato il presidente Trump
Che succede ora?
Sebbene questo sia senza dubbio un momento fondamentale sia nella geopolitica globale che nella sicurezza informatica, molti esperti hanno notato che l'incriminazione dei 12 agenti del GRU è un gesto quasi interamente simbolico ed è improbabile che porti ad arresti.
La Russia non ha un trattato di estradizione con gli Stati Uniti, quindi non ha l'obbligo di consegnare gli accusati a Mueller. Questo, per inciso, è lo stesso motivo per cui l'informatore della NSA Edward Snowden è stato confinato in Russia negli ultimi anni.
L'intenzione, hanno suggerito alcune fonti, è che queste accuse fungano da monito, facendo sapere alla Russia (e al mondo) che gli Stati Uniti stanno portando avanti le loro indagini.
Inditando, l'accusa può rendere di pubblico dominio i fatti e/o le accuse rilevati dal gran giurì, ha detto l'avvocato difensore Jean-Jacques Cabou Ars Tecnica . Qui, il pubblico in generale può essere un pubblico designato. Ma i pubblici ministeri aprono anche le accuse per inviare un messaggio ad altri obiettivi.
L'indagine di Mueller dovrebbe continuare.
Questo articolo è apparso originariamente sul sito gemello di Alphr IT Pro.
