Veľký ruský brat v počítačoch Demokratickej strany

Americké úrady v piatok 13. júla 2018, prezentovali v neprítomnosti obvinenie 12 údajným členom Generálneho riaditeľstva Generálneho štábu ozbrojených síl Ruskej v rámci vyšetrovania údajného zasahovania do prezidentských volieb v roku 2016. Žaloba je verejne prístupná na tejto adrese. 

V obžalobe amerických úradov zverejnili  prvý raz detaily, ako hackeri napadli informačné zdroje Demokratickej strany, ako ukradli informácie a potom rozoslali  cez internet. USA predstavili mená údajných hackerov a ich pozície v konkrétnych častiach ruskej vojenskej rozviedky (v dokumente použitý pôvodný názov “GRU – rusky Главное разведовательное управление, ktoré existovalo v ZSSR), pseudonymami, ktoré údajne ruskí špióni, a ďalšie podrobnosti o operácii, ktorá výrazne zostrila konfrontácie medzi Moskvou a Washingtonom. Dnes je  to hlavný úrad  Generálneho štábu Ozbrojených síl Ruskej federácie (Главное управление Генерального штаба Вооружённых Сил Российской Федерации).

Proti Spojeným štátom

Žaloba je definovaná ako Sprisahanie s cieľom uskutočnenia trestného činu proti Spojeným štátom. Tvrdí, že existovali oddelenia rozviedky 26165 a 74455. Tie sa zaoberali kybernetickými operáciami. Ich cieľom v roku 2016 boli zásahy do prezidentských volieb v USA. Obžalovanými sú Viktor Borisovič Netyško, Boris Alexejevič Antonov, Alexej Viktorovič Lukašev, Ivan Sergejevič Jermakov , Sergej Alexandrovič Morgačev, Nikolaj Jurievič Kozačok, Pavel Vjačeslavovič Jeršov, Artem Andreevič Mališev, Alexander Vladimirovič Osadčuk a Alexej Alexandrovič Poťomkin. Špeciálny prokurátor tvrdí, že boli dôstojníkmi GRU. Označuje ich asko spolupáchateľov.

Všetci vyššie menovaní sa sprisahali, aby získali nepovolený prístup k osobným počitačom amerických občanov. Prinajmenej od marca 2016 sa snažili získať prístup k osobným počítacom predvolebnéo štábu Hillary Clinton. Približne v apríli 2016 spolupáchatelia  prelomili počítačové siete Výboru pre voľby na Kongrese Demokratickej strany (DCCC) a Národného výboru Demokratickej strany (DNC). Následne kontrolovali osobné počítače desiatok zamestancov oboch inštitúcií. Preniesli do nich stovky súborov, ktoré obsahovali škodlivé programy, pomocou ktorých ukradili dokumenty.

V apríli 2016 naplánovali publikáciu dokumentov cez účty DCLeaks a Guccifer 2.0. Aby skryli svoje vzťahy s Ruskom a ruskou vládou, spolupáchatelia použili falošné mená a poskytli nepravdivé informácie o sebe. Aby sa zabránilo detekcii, použili sieť počítačov umiestnených po celom svete vrátane Spojených štátov a zaplatili za túto infraštruktúru krypto menami.

Čo robili žalovaní?

Viktor Borisovič Netyško viedol vojenskú jednotku 26165. Boris Alexejevič Antonov viedol jednotku 26125, ktoré  posielalo podvodné zásielky správ (spearphishing) do vojenských, politických, vládnych a mimovládnych organizácií a spáchal iné druhy akcií zameraných na prenikanie do počítačových sietí.  Vojenská jednotka sa nachádzala na adrese Komsomoľskij prospekt 20, Moskva, Rusko.

Dmitrij Sergejevič Badin bol zástupcom veliteľa jednotky 26125. Ivan Sergejevič Jermakov bol zamestnancom odboru 26 125. Používal pseudonymy Kate S. Milton, James McMorgans a Karen W. Millen. Podarilo sa mu preniknúť do dovoch adries, z ktorých odoslal ukradnuté dokumenty. Podieľal sa na kradeži dokumentov zo servera DNC. Alexej Viktorovič Lukašev používal niekoľko pseudonymov. Medzi niektorými aj Den Katenberg a Yuliana Martynova.

Zaoberal sa phishingom adries. Phishing, z  angličtiny password fishing – doslova rybolov hesiel, je činnosť, pri ktorej sa podvodník snaží vylákať od používateľov rôzne heslá, napr. k bankovému účtu. Väčšinou prebieha tak, že sa založí internetová stránka, ktorá vyzerá ako presná kópia už existujúcej dôveryhodnej stránky, alebo ponúka nejaké výhody po prihlásení cez ich webstránku. Meno a heslo zadané do phishingovej stránky, sa odošlú podvodníkovi, ktorý ich môže zneužiť. Phishing môže prebiehať aj tak, že sa rozposielajú e-maily, ktoré oznamujú používateľom zmenu účtu alebo jeho obnovenie a tak lákajú heslá. Sergej Alexandrovič Morgačev zodpovedal v jednotke  26 165 za vytvorenie programu špionážneho Agent X a jeho umiestnenie do amerických osobných počítačov. Nikolaj Jurievič Kazačok zodpovedal za vytvorenie špionáźneho programu a jeho naladenie. Pavel Vjačeslavovič Jeršov pomáhal pri vytváraní, odlaďovaní a použití programu Agent X. Arťom Andrejevič Malyšev zodpovedal za umiestnenie špionážneho programu v určených osobných počítačoch.

Alexander Vladimirovič Osadčuk bol veliteľom  veliteľom vojenskej jednotky 74455. Vojenská jednotka 74455 bola umiestnená na ulici Kirova 22 v Moskve v budove, ktorá bola nazývaná Veža. Vojenská jednotka 74455 uľahčila uverejňovanie odcudzených dokumentov prostredníctvom používateľov DCLeaks a Guccifer 2.0, propagáciu týchto verzií a uverejnenie obsahu proti Clintonovej v sociálnych sieťach pomocou účtov spravovaných GRU. Alexander Alexejevič Potemkin zodpovedal za techniku jednotky 74455 a používanie sociálnych sietí, prostredníctvom ktorých sa zverejnili ukradnuté dokumenty.

Objekt žaloby

Cieľom sprisahania bol hacking počítačov amerických občanov a inštitúcií podieľajúcich sa na prezidentských voľbách v roku 2016, krádež dokumentov z týchto počítačov a uverejnenie odcudzených dokumentov s cieľom ovplyvniť prezidentské voľby v roku 2016 v Spojených štátoch. Antonov, Badin, Jermakov, Lukašev a ďalší členovia tajnej dohody používali techniku známu ako phishing na ukradnutie hesiel obetí alebo iným prístupom k počítačom. Od začiatku prinajmenšom od marca 2016 účastníci tajnej dohody napadli viac ako 300 ľudí spojených s volebnou kampaňou Clinton, DCCC a DNC.

Pripomeňme si, že Phishing (password fishing – doslova rybolov hesiel) je činnosť, pri ktorej sa podvodník snaží vylákať od používateľov rôzne heslá, napr. k bankovému účtu. Väčšinou prebieha tak, že sa založí internetová stránka, ktorá vyzerá ako presná kópia už existujúcej dôveryhodnej stránky, alebo ponúka nejaké výhody po prihlásení cez ich webstránku. Meno a heslo zadané do phishingovej stránky, sa odošlú podvodníkovi, ktorý ich môže zneužiť. Phishing môže prebiehať aj tak, že sa rozposielajú emaily, ktoré oznamujú používateľom zmenu účtu alebo jeho obnovenie a tak lákajú heslá.

Napríklad okolo 19. marca 2016 Lukašev  a jeho spolupáchatelia vytvorili a poslali phishingový list predsedovi centrály Clintonovej kampane. Lukašev používal účet john356g v online službe, ktorá skracuje dlhé webové adresy (tzv. služba skracovania URL). Lukašev použil účet, aby zamaskoval odkaz obsiahnutý v phishingovom liste, ktorý poslal adresáta na stránky vytvorené GRU. Lukashevich zmenil vzhľad e-mailovej adresy odosielateľa tak, že vyzerala ako e-mail upozorňujúci na zabezpečenie od spoločnosti Google technikou známou ako spoofing. IP Spoofing je jedna z najnebezpečnejších hakerských techník. Spoofing je typ útoku, pri ktorom osoba alebo program maskuje svoju totožnosť a tvári sa ako druhá osoba.

Používateľovi odporúčali kliknutím na stránke zmeniť svoje heslo. Tieto odporúčania boli implementované. Okolo 21. marca 2016 Lukašev, Ermakov a ich pomocníci ukradli obsah e-mailového účtu predsedu personálu, ktorý mal viac ako 50 000 listov. b. Od 19. marca 2016 Lukašev a jeho spolupracovníci posielali phishingové e-maily na osobné adresy iných osôb spojených s Clintonovou kampaňou, vrátane svojho manažéra kampane a hlavného poradcu pre zahraničnú politiku. Okolo 25. marca 2016 Lukashevich john356gh používa rovnaký účet pre maskovanie ďalších  odkazov v phishingových e-mailov, odoslaných na adresy viacerých osôb spojených s kampaňou Clinton. Lukašvič poslal tieto listy od ruského e-mailového konta hi.mymail @ yandex.com, ktorú zamaskoval ako list od spoločnosti Google.

Približne 6. apríla 2016 spoločníci vytvorili poštový účet s menom, pričom s rozdielom jedného písmena od skutočného mena, významného člena centrály kampane Clintonu. Účastníci použili tento účet na odosielanie phishingových e-mailov na poštové adresy viac ako 30 zamestnancov centrály Clintonovej kampane. Vo phishingových listoch Lukashev a jeho pomocníci vložili odkaz, ktorý poslal príjemcu na dokument nazvaný “hillaryclinton-favorable-rating.xlsx”. V skutočnosti tento odkaz poslal počítače príjemcov na vytvorenú webovú stránku GRU.

V lete roku 2016 spoločníci napadli phishingovými programami jednotlivcov spojených s kampaňou Clintonovej. Napríklad okolo 27. júla 2016 sa  spolupracovníci po prvýkrát zaútočili na poštové schránky v doméne, ktorú spravoval poskytovateľ tretej strany a ktorý použil osobný sekretariát kampane Clinton. Približne v rovnakom čase napadli aj 26 poštových schránok na doméne samotnej kampane Clinton.

Prienik do sietí DCCC a DNC

Počnúc marcom 2016 spoločníci okrem útokov typu phishing preskúmali počítačové siete DCCC a DNC kvôli technickým špecifikáciám a zraniteľným miestam. V apríli 2006 obviňovaní prenikli do siete DCCC.  Približne od apríla do júna 2016 spoločníci nainštalovali niekoľko verzií svojho škodlivého, či ak chcete špionážneho) softvéru X-Agent na minimálne desiatich počítačoch DCCC, čo im umožnilo sledovať činnosti zamestnancov, ich prácu na počítači a zachovať ich prístup do siete DCCC. Infromácie od zamestnancov DCCC sa presúvali na server prenajatý v štáte Arizona. Obvinení našli aj informácie o financovaní Demokratickej strany.  Približne k 18. aprílu 2016 spolupracovníci prenikli do počítačov DNC prostredníctvom prístupu do siete DCCC. Spoločníci potom inštalovali a spravovali rôzne typy škodlivého softvéru, ako to urobili v sieti DCCC, aby preskúmali sieť DNC a ukradli dokumenty.

Už viac ako mesiac pred šírením všetkých dokumentoch komplici vytvoreli umelý online zrkadlo stránky DCLeaks pre šírenie a propagáciu odcudzených dokladov súvisiacich s voľbami. Okolo 19. apríla 2016 po pokuse o zaregistrovaní domény electionleaks.com registrovali doménu dcleaks.com. Použili službu, ktorá umožňuje zostať v anonymite. Finančné prostriedky za dcleaks.com zaplatili z jedného účtu on-line služieb, ktoré komplici použili na zaplatenie privátneho servera, ktoré bolo registrované cez e-mailové konto dirbinsaabol@mail.com. Ten istý mail použili na registráciu adresy john356gh, ktorá sa použitá na phishing. Okolo 8. júna 2016 komplici spustili verejné webové stránky dcleaks.com, ktorú používali pre šírenie ukradnutých e-mailov. Predtým, než bola uzavretá okolo marca 2017, stránku navštívilo viac ako 1 milión návštevníkov. Skupina obvinených rozśírila cez blog 15. júna 2016 správu o o tom, že servery DCCC a DCN napadol hacker Guccifer 2.0.  V júli a v auguste 2016 sa Guccifer 2.0 kontaktoval s rôznymi vysokopostavenými činiteľmi, ale aj s predvolebným štábom Donalda Trumpa.

Názory na žalobu

Samostatný vedecký pracovník Ústavu USA a Kanady Pavel Šarikov si myslí, že predložený 29-stranový dokument podrobne opisuje spôsob, akým údajný personál GRU  nabúral heslá servera elektronickej pošty Národného demokratického výboru a potom – publikoval archív prostredníctvom webovej stránky Wikileaks. Rovnako ako predchádzajúce obvinenia, dokument nepredstavuje prakticky žiaden dôkaz. V tomto prípade povaha opísaných podrobností naznačuje, že boli získané nie technickými prostriedkami, ale činnosťiu rozviedky. Ak sú uvedené poznatky skutočné, ukazuje to, že v Kremli bol únik informácií je na najvyššej úrovni. S touto verziou prišla už NY Times. Takéto dôkazy pravdepodobne nebudú predložené na verejnom súde. Vzhľadom na verejné protesty je nepravdepodobné, že sa proces v tomto prípade skončí. Ak sú predložené poznatky fikciou, potom je zrejmé, že dôkazy nebudú prezentované. V každom prípade téma ruského zásahu do volieb nestráca na význam.e Je zrejmé, že scenár, v rámci ktorého budú obvinení ruskí občania čeliť americkej spravodlivosti, je vylúčený. Ale aj keby sme hypoteticky predpokladali, že sa to stane a budú potrestaní – niet pochýb o tom, že to nebude mať vplyv na celkové negatívne pozadie rusko-amerických vzťahov. Zverejnenie obžaloby v predvečer stretnutia Donalda Trumpa a Vladimíra Putina teda nie je zamerané na riešenie problému kybernetickej bezpečnosti, ale sleduje ďalšie ciele, s najväčšou pravdepodobnosťou vnútornú politiku.

Andrej Lukackij, expert na počítačovú bezpečnosť hovorí, že “rovnako ako v predchádzajúcich prípadoch, americká strana neposkytla hlavný dôkaz – spojenie medzi označenými menami a účtami a adresami, z ktorých boli útoky. Bez neho stíhanie ruských bezpečnostných službami vyzerá neúplne. Popis obsahuje reťazec činností od falošných stránok, cez phishing pošty, sociálne inžinierstvo, infikovanie počítačov, atď. Nie je to nič jedinečné – rovnaké ako v prípade takmer všetkých hackerských skupiny na svete, ktoré útočia nielen na vládne agentúry, ale aj banky, predajne, zdravotnícke zariadenia a ďalšie inštitúcie. Je zaujímavé, že firma prizvaná na objavovanie hackingu a ochranu Demokratickej strany, americká spoločnosť  Crowdstrike nemohla štyri, až päť mesiacov nájsť blokovať činnosť obvineného, ​​čo je dôkazom zložitosti techník používaných kybernetickými zločincami.”

Americký expert v oblasti informačnej bezpečnosti, autor knihy “Cyberwar z vnútra” Jeffrey Carr  si myslí, že časť informácií, samozrejme, je získali technickými prostriedkami. Nie je však možné určiť, ktoré informácie sa získajú pomocou keyloggov a iných škodlivých programov a čo je len predpoklad.

Expert Centra vojensko-politických výskumov MGIMO Vitalij Kabernik si myslí, že dokument vytvára veľmi protichodný dojem. “Popis “corpus delicti” nám umožňuje prísť k záverom. Vyšetrovatelia aktívne spolupracovali so zástupcami najväčšími IT spoločnosťami so sídlom v Spojených štátoch, pravdepodobne s Google, Microsoft a Amazon,  Údajní “sprisahanci” aktívne využívať online služby poskytované týmito spoločnosťami, s žiadnymi pokusmi o anonymnosť či náhodne zabezpečenie anonymity, ktorý bol použitý len v určitých fázach navrhovanej transakcie.  V záujme phishingu používali verejne prístupné e-mailové služby, tiež sa používali pre výmenu citlivých informácií, aj keď v zašifrovanej podobe – to je atypické správanie akéhokoľvek útočníka a je v rozpore s normami bezpečnosti informácií, ktoré majú domáce (ruské) verejné inštitúcie. Text neodpovedá na prirodzenú otázku, ako identifikovať “spiklencov”. Nie je jasné, na akom základe sú spojení s konkrétnou jednotkou GRU. Nemôžeme sa však zbaviť pocitu, že zoznam mien bol zostavený samostatnou skupinou” povedal pre médiá Vitalij Kabernik.

Následne, podľa neho, tento zoznam pravdepodobne priložili k materiálom technického skúmania, bez adekvátneho zdôvodnenia. Prípustnosť tohto obvinenia musia komentovať právnici. Do očí bije neodvolateľnosť identifikácie (obvinených – poznámka Finančné noviny).

“V najlepšom prípade, s použitím technických prostriedkov pri realizácii vyšetrovania, sa dá nájsť len konkrétna pracovná stanica (konkrétny osobný počítač), z ktorej sa uskutočnil útok, ale v žiadnom prípade sa nedá identifikovať s menom konkrétneho operátora. Najčastejšie sa nedá ani zistiť pracovnú stanicu, ale je možné identifikovať výstupný uzol lokálnej siete. Ale už keď sa použijú len minimálne opatrenia kvôli zabezpečeniu anonymnosti s rozumným použitím neverejných prostriedkov pre jej zabezpečenie, pretože verejné služby môžu poskytovať informácie tajným službám, nie je možné ani presne identifikovať  ani výstupné uzly. Nehovoriac o tom, že pri nevyhnutnosti nepredstavuje veľkú komplikáciu falšovať výstupné uzly a lokalizovať ich v iných organizáciách, alebo krajinách,”hovorí Vitalij Kabernik.

Ako odborník dodal, v svetle vyššie uvedeného sa vynára protirečivý obraz “skupiny sprisahancov”, ktorá používa najmodernejšie prostriedky na napadnutie počítačov, a súčasne nepoznajú žiadne prostriedky na vytvorenie anonymnosti. Súčasne je nepravdepodobné, že nepoznajú jednoduché prostriedky pre riadenia, a teda sú nútení hľadať návody pre používanie programu Power Shell v otvrených zdrojoch, že používajú verejne prístupné prostriedky pre “čistenie” osobných počítačov, v texte žaloby sa spomína voľne prístupný program CCleaner, a že zle vedia anglický jazyk a zle koordinujú svoju činnosť.

Pre obyčajných obyvateľov môže žaloba vyzerať ako “sprisahanie”, ale pre odborníkov môže vyvolávať otázky spojené so zvláštnou kombináciou prejavenej nekompetentnosti a súčasne s veľmi dobrým poznaním špeciálnych prostriedkov. Niektoré fragmenty žaloby pripadajú tak, že jednu časť umelo prilepili k druhej časti, alebo boli len voľne zakomponované do textu, aby podporili “logiku” zločinu.  Dodal v závere Vitalij kabernik,