Av Adam Shepherd
Berättelsen om hur 12 hackare påstås ha skadat världens mäktigaste demokrati för att sätta Donald Trump på topp
Efter mer än två år av anklagelser, anklagelser, förnekelser och spekulationer har specialråd Robert Muellers utredning om potentiell inblandning i USA: s presidentval 2016 lett honom till Ryssland. Som en del av en omfattande undersökning av ryska statliga aktörers inflytande på valet har justitieministeriet formellt anklagat 12 medlemmar av ryska militära underrättelsetjänsten för olika hackbrott.
President Vladimir Putin har förnekat allt fel på Rysslands och dess agents vägnar och har fått offentligt stöd av president Trump. Trots fördömandet från talaren för USA: s representanthus Paul Ryan, många offentliga och politiska personer och till och med hans egen chef för nationell underrättelse, sa Trump att han inte ser någon anledning till att Ryssland skulle försöka driva valet.
Han backade därefter på det påståendet och uppgav att han accepterar underrättelsetjänstens slutsatser om att Ryssland blandade sig i 2016 års val, men sade också att det också kunde vara andra människor och upprepade hans påståenden att det inte fanns någon samverkan alls.
Anklagelserna kommer mot en bakgrund av ökad rysk aggression på den globala scenen. landet kontrollerar fortfarande Krimhalvön som det grep med våld 2014, det finns påståenden om att det hade en hand i att organisera Vote Leaves seger i Brexit-folkomröstningen, och Storbritannien har anklagat Ryssland för att förgifta människor på brittisk mark med hjälp av dödliga nervmedel.
Se relaterat De tio bästa lösenordssprickningsteknikerna som används av hackare
Trots Trumps protester är cybersäkerhets- och underrättelsetjänster nästan enhälligt överens om att Ryssland stal valet 2016 genom att använda en kampanj av sofistikerad cyber- och informationskrig för att säkerställa det resultat de ville ha.
Men i så fall, hur gjorde de det?
Tack vare åtalet som utfärdades mot de ryska agenterna har vi nu en ganska bra uppfattning om hur hacket påstås genomföras. Muellers arkivering innehåller detaljer som datum, metoder och attackvektorer, vilket gör att vi kan bygga en detaljerad tidslinje för hur exakt 12 ryska män kan ha spårat ur världens mäktigaste demokrati. Den här artikeln undersöker hur det kunde ha hänt, baserat på anklagelserna i Muellers åtal.
LÄS NÄSTA: Ryska konton spenderade 76 000 £ på valannonser 2016
Målen
Målet för den ryska regeringen under 2016 års val verkar tydligt: att underlätta höjningen av Donald J Trump till USA: s president på något sätt som behövs.
För att göra det behövde ryssarna hitta ett sätt att få sin rivaliserande kandidat från styrelsen, vilket ledde dem att rikta in sig på fyra huvudpartier med en sofistikerad och långvarig hackingkampanj.
DCCC
Den demokratiska kongressens kampanjkommitté (eller ”D-trip”, som det i allmänhet kallas) är ansvarig för att få så många demokrater som väljs till USA: s representanthus som möjligt, ge stöd, vägledning och finansiering till potentiella kandidater i kongresslopp.
DNC
Styrande organ för Förenta staternas demokratiska parti, den demokratiska nationella kommittén, ansvarar för att organisera demokraternas övergripande strategi samt organisera nominering och bekräftelse av partiets presidentkandidat vid varje val.
Hillary Clinton
Den tidigare statssekreteraren under Obama, Hillary Clinton besegrade Bernie Sanders för att bli demokraternas presidentkandidat i 2016 års val, vilket förde henne i korsningen av Donald Trump och den ryska regeringen.
John Podesta
En långvarig veteran för DC-politik, John Podesta, har tjänstgjort under de två tidigare demokratpresidenterna innan han agerade som ordförande för Hillary Clintons presidentkampanj 2016.
GRU Tolv
Alla tolv misstänkta hackare arbetar för GRU - den ryska regeringens elitutländska underrättelseorganisation. Alla är militära officerare i olika led, och alla var en del av enheter som specifikt hade till uppgift att förvränga valet.
Enligt Muellers åtal var Unit 26165 ansvarig för att hacka DNC, DCCC och individer som var anslutna till Clintons kampanj. Enhet 74455 fick uppenbarligen i uppdrag att agera som dolda propagandister, läcka stulna dokument och publicera anti-Clinton och antidemokratiskt innehåll via olika online-kanaler.
Säkerhetspersonal kan vara mer bekanta med kodnamnen som ges till dessa två enheter när de först upptäcktes 2016: Cozy Bear och Fancy Bear.
De 12 inblandade hackarna påstås vara:
| namn | Roll | Rang |
| Viktor Borisovich Netyksho | Befälhavare för enhet 26165, ansvarig för hackning av DNC och andra mål | Okänd |
| Boris Alekseyevich Antonov | Övervakade spearphishing-kampanjer för enhet 26165 | Större |
| Dmitry Sergeyevich Badin | Assistent avdelningschef för Antonov | Okänd |
| Ivan Sergeyevich Jermakov | Genomförde hackningsoperationer för enhet 26165 | Okänd |
| Aleksey Viktorovich Lukashev | Genomförde spearphishing-attacker för enhet 26165 | 2: a löjtnant |
| Sergey Aleksandrovich Morgachev | Övervakade utveckling och hantering av skadlig programvara för enhet 26165 | Överstelöjtnant |
| Nikolay Yuryevich Kozachek | Utvecklad skadlig kod för enhet 26165 | Löjtnant kapten |
| Pavel Vyacheslavovich Yershov | Testad skadlig kod för enhet 26165 | Okänd |
| Artem Andreyevich Malyshev | Övervakad skadlig kod för enhet 26165 | 2: a löjtnant |
| Aleksandr Vladimirovich Osadchuk | Befälhavare för enhet 74455, ansvarig för att läcka stulna dokument | Överste |
| Aleksey Aleksandrovich Potemkin | Övervakad administration av IT-infrastruktur | Okänd |
| Anatoliy Sergeyevich Kovalev | Genomfört hackning för enhet 74455 | Okänd |
LÄS NÄSTA: Teknikföretagen avslöjar dina uppgifter till regeringen
Hur hacket planerades
Nyckeln till alla framgångsrika cyberattacker är planering och rekognosering, så den första uppgiften för operatörerna från Enhet 26165 var att identifiera svagheterna i Clinton-kampanjens infrastruktur - svagheter som sedan kan utnyttjas.
15 mars:
Ivan Yermakov börjar skanna DNC: s infrastruktur för att identifiera anslutna enheter. Han börjar också forska i DNC: s nätverk, liksom forskning om Clinton och demokraterna i allmänhet.
19 mars:
John Podesta faller för ett spearphishing-e-postmeddelande som påstås ha skapats av Aleksey Lukashev och förklätt som en säkerhetsvarning från Google, vilket ger ryssarna tillgång till hans personliga e-postkonto. Samma dag använder Lukashev spearphishing-attacker för att rikta sig mot andra ledande kampanjtjänstemän, inklusive kampanjchef Robby Mook.
21 mars:
Podestas personliga e-postkonto städas av Lukashev och Yermakov; de klarar av mer än 50 000 meddelanden totalt.
28 mars:
Lukashevs framgångsrika spearphishing-kampanj leder till stöld av e-postinloggningsuppgifter och tusentals meddelanden från olika personer kopplade till Clintons kampanj.
6 april:
Ryssarna skapar en falsk e-postadress för en välkänd person i Clinton-lägret, med bara en bokstavs skillnad från personens namn. Den här e-postadressen används sedan av Lukashev för att utrota phish på minst 30 olika kampanjanställda och en DCCC-anställd luras att lämna in sina inloggningsuppgifter.
LÄS NÄSTA: Hur Google avslöjade bevis för ryska amerikanska valinblandning
Hur DNC bröts
Det inledande förberedelsearbetet nu slutfört, ryssarna hade ett starkt fotfäste i demokraternas nätverk tack vare en mycket effektiv spjutfiskekampanj. Nästa steg var att utnyttja detta fotfäste för att få ytterligare tillgång.
7 april:
Som med den första spaningen i mars undersöker Yermakov anslutna enheter i DCCC: s nätverk.
12 april:
Med hjälp av uppgifter som stulits från en ovetande DCCC-anställd får ryssarna tillgång till DCCC: s interna nätverk. Mellan april och juni installerar de olika versioner av en bit av skadlig kod som heter 'X-Agent' - som möjliggör fjärrnyckelloggning och skärmdumpning av infekterade enheter - på minst tio DCCC-datorer.
Den här skadliga programvaran överför data från berörda datorer till en Arizona-server som hyrs ut av ryssarna, som de kallar en AMS-panel. Från den här panelen kan de fjärrövervaka och hantera sin skadliga programvara.
14 april:
Under en åtta timmarsperiod använder ryssarna X-Agent för att stjäla lösenord för DCCC-insamlings- och väljarprogram, Muellers anklagepåståenden samt övervakning av kommunikation mellan DCCC-anställda som omfattade personlig information och bankinformation. Samtalen innehåller också information om DCCC: s ekonomi.
15 april:
Ryssarna söker efter en av de hackade DCCC-datorerna efter olika nyckeltermer, inklusive 'Hillary', 'Cruz' och 'Trump'. De kopierar också viktiga mappar, till exempel en som heter 'Benghazi Investigations'.
18 april:
vad gör ett redskap vr
DNC: s nätverk bryts av ryssarna, som får tillgång genom att använda referenserna för en DCCC-medarbetare med tillstånd att komma åt DNC: s system.
19 april:
Yershov och Nikolay Kozachek satte uppenbarligen upp en tredje dator utanför USA för att fungera som ett relä mellan den Arizona-baserade AMS-panelen och X-Agent-skadlig programvara för att fördunkla anslutningen mellan de två.
22 april:
Flera gigabyte data som stulits från DNC-datorer komprimeras till ett arkiv. Dessa uppgifter inkluderar oppositionsforskning och planer för fältoperationer. Under nästa vecka använder ryssarna en annan anpassad bit av skadlig kod - 'X-Tunnel' - för att exfiltrera dessa data från DNC: s nätverk till en annan hyrd maskin i Illinois via krypterade anslutningar.
13 maj:
Vid någon tidpunkt under maj blir både DNC och DCCC medvetna om att de har äventyrats. Organisationerna anställer cybersäkerhetsföretaget CrowdStrike för att utrota hackarna från sina system, medan ryssarna börjar vidta åtgärder för att dölja sina aktiviteter, som att rensa händelseloggarna från vissa DNC-maskiner.
25 maj:
Under en vecka stjäl ryssarna påstås tusentals e-postmeddelanden från arbetskontona för DNC: s anställda efter att ha hackat in på DNC: s Microsoft Exchange Server, medan Yermakov undersöker PowerShell-kommandon för åtkomst och körning av Exchange Server.
31 maj:
Yermakov börjar forska om CrowdStrike och dess undersökning av X-Agent och X-Tunnel, förmodligen i ett försök att se hur mycket företaget vet.
1 juni:
Nästa dag försöker ryssarna använda CCleaner - ett freewareverktyg som är utformat för att frigöra hårddiskutrymme - för att förstöra bevis på deras aktivitet på DCCC: s nätverk.
LÄS NÄSTA: Står Ryssland bakom en global hackingkampanj i ett försök att stjäla officiella hemligheter?
Födelsen av Guccifer 2.0
Ryssarna har nu exfiltrerat en betydande mängd data från DNC. Denna information i kombination med skatten i Podestas personliga e-postmeddelanden ger dem all ammunition de behöver för att attackera Clintons kampanj
8 juni:
DCLeaks.com lanseras, påstås av ryssarna, tillsammans med matchande Facebook-sidor och Twitter-konton, som ett sätt att sprida det material de har stulit från Podesta och DNC. Webbplatsen hävdar att den drivs av amerikanska hacktivister, men Muellers anklagelse hävdar att detta är en lögn.
14 juni:
CrowdStrike och DNC avslöjar att organisationen har hackats och anklagar den ryska regeringen offentligt. Ryssland förnekar allt deltagande i attacken. Under juni börjar CrowdStrike vidta åtgärder för att mildra hacket.
15 juni:
Som svar på CrowdStrikes anklagelse skapar ryssarna karaktären av Guccifer 2.0 som en rökskärm, hävdar Mueller, avsedd att så tvivel om ryskt engagemang i hackarna. Teamet av ryssar poserar som en enda rumänsk hackare och tar kredit för attacken.
Bara vem är Guccifer?
Medan Guccifer 2.0 är en fiktiv person som skapats av ryska agenter, är den faktiskt baserad på en riktig person. Den ursprungliga Guccifer var en äkta rumänsk hacker som blev känd 2013 efter att ha släppt bilder av George W. Bush som hade hackats från hans systers AOL-konto. Namnet, säger han, är en portmanteau av 'Gucci' och 'Lucifer'.
Han arresterades så småningom misstänkt för att ha hackat ett antal rumänska tjänstemän och utlämnats till USA. Ryssarna hoppades antagligen att tjänstemän skulle anta att han också stod bakom Guccifer 2.0, trots att han redan erkände sig skyldig till federala anklagelser i maj.
20 juni:
Vid denna tidpunkt har ryssarna fått tillgång till 33 DNC-slutpunkter. CrowdStrike har under tiden eliminerat alla förekomster av X-Agent från DCCC: s nätverk - även om minst en version av X-Agent kommer att förbli aktiv inom DNC: s system fram till oktober.
Ryssarna spenderar mer än sju timmar utan framgång att ansluta till sina X-Agent-instanser med DCCC-nätverket, samt att försöka använda tidigare stulna referenser för att få åtkomst till det. De rensar också AMS-panelens aktivitetsloggar, inklusive all inloggningshistorik och användningsdata.
22 juni:
WikiLeaks skickar påstås ett privat meddelande till Guccifer 2.0 där de begär att de skickar över allt nytt material som rör Clinton och demokraterna och säger att det kommer att ha en mycket högre inverkan än vad du gör.
18 juli:
WikiLeaks bekräftar mottagandet av ett 1 GB-arkiv med stulna DNC-data och anger att det kommer att släppas inom veckan.
22 juli:
I enlighet med sitt ord släpper WikiLeaks över 20 000 e-postmeddelanden och dokument som stulits från DNC, bara två dagar före den demokratiska nationella kongressen. Det senaste e-postmeddelandet från WikiLeaks är daterat 25 maj - ungefär samma dag som DNC: s Exchange Server hackades.
LÄS NÄSTA: WikiLeaks säger att CIA kan använda smarta TV-apparater för att spionera på ägare
27 juli:
Under en presskonferens begär presidentkandidaten Donald Trump direkt och specifikt att den ryska regeringen hittar en del av Clintons personliga e-postmeddelanden.
Samma dag riktar ryssarna sig till e-postkonton som används av Clintons personliga kontor och är värd för en tredjepartsleverantör.
15 aug:
Förutom WikiLeaks, förser Guccifer 2.0 också ett antal andra stödmottagare med stulen information. Detta inkluderar uppenbarligen en amerikansk kongresskandidat som ber om information om deras motståndare. Under denna period använder ryssarna också Guccifer 2.0 för att kommunicera med en person som är i regelbunden kontakt med toppmedlemmar i Trump-kampanjen.
22 aug:
Guccifer 2.0 skickar 2,5 GB stulna uppgifter (inklusive givarregister och personligt identifierbar information om mer än 2000 demokrater) till en då registrerad statlig lobbyist och online-källa för politiska nyheter.
Sju:
Vid någon tidpunkt i september får ryssarna tillgång till en molntjänst som innehåller testappar för DNC-dataanalys. Med molntjänstens egna inbyggda verktyg skapar de ögonblicksbilder av systemen och överför dem sedan till konton som de kontrollerar.
7 okt:
WikiLeaks släpper det första partiet av Podestas e-postmeddelanden, vilket väcker kontrovers och uppståndelse i media. Under nästa månad kommer organisationen att släppa alla 50 000 e-postmeddelanden som påstås stulna från hans konto av Lukashev.
28 okt:
Kovalev och hans kamrater riktar sig mot statliga och landstingskontor som är ansvariga för att administrera val i viktiga svängstater, inklusive Florida, Georgia och Iowa, i Muellers åtal.
Nov:
Under den första veckan i november, strax före valet, använder Kovalev ett falskt e-postkonto för att spjut phish över 100 mål som är involverade i att administrera och övervaka val i Florida - där Trump vann med 1,2%. E-postmeddelandena är utformade för att se ut som om de hade kommit från en programvaruleverantör som tillhandahåller röstverifieringssystem, ett företag som Kovalev hackade tillbaka i augusti, hävdar Mueller.
8 nov:
I motsats till förutsägelserna från kunniga och omröstare vinner reality-TV-stjärnan Donald Trump valet och blir USA: s president.
LÄS NÄSTA: 16 gånger där medborgare Trump brände president Trump
Vad händer nu?
Även om detta utan tvekan är ett landmärke i både global geopolitik och cybersäkerhet, har många experter noterat att anklagelsen mot de 12 GRU-agenterna är en nästan helt symbolisk gest och sannolikt inte leder till arresteringar.
Ryssland har inget utlämningsavtal med USA, så det är inte skyldigt att överlämna de anklagade männen till Mueller. Detta är för övrigt av samma anledning att NSA-visselblåsaren Edward Snowden har varit begränsad till Ryssland under de senaste åren.
Avsikten, som vissa källor har föreslagit, är att dessa åtal ska fungera som en varning och låta Ryssland (och världen) veta att USA driver framåt med sin utredning.
Genom att anklaga kan åtalet offentliggöra de fakta och / eller anklagelser som storjuryn fann, berättade kriminell försvarsadvokat Jean-Jacques Cabou Ars Technica . Här kan allmänheten i allmänhet vara en avsedd publik. Men åklagare upphäver också åtal för att skicka ett meddelande till andra mål.
Muellers utredning förväntas fortsätta.
Den här artikeln publicerades ursprungligen på Alphr-systersidan IT Pro.
