Na przestrzeni ostatnich 3 dni mogliśmy obserwować niesłychanie rzadko spotykany, przepiękny zlepek udanych włamań i fatalnego OPSEC-a a także nieudanej operacji “wybielającej” podejrzanych o włamanie. We wtorek Amerykański Komitet Demokratów przyznał, że doszło włamania ich serwery i wyraził zgodę na to, aby firma która analizowała atak publicznie podzieliła się swoimi odkryciami — w tym także tymi wskazującymi na narodowość włamywaczy. Wszystko wskazuje na to, że za włamaniem stoją Rosjanie, a ponieważ sprawa dotyczy inwigilacji polityków, w sieci rozpętał się mały międzynarodowy skandal. To zmusiło “prawdziwego włamywacza” twierdzącego, że nie pracuje dla Rosjan, do ujawnienia się i podzielenia wykradzionymi danymi. Problem w tym, że opublikowane przez niego dokumenty noszą ślady …wskazujące, że za atakiem jednak stoją Rosjanie.

2 niezależne grupy Rosjan zhackowały Amerykanów

Zacznijmy jednak od początku. Z opublikowanego na łamach Washington Post artykułu dowiadujemy się, że działający na zlecenie rosyjskiego rządu włamywacze wykradli z serwerów amerykańskiego Narodowego Komitetu Demokratów (Democratic National Committee) dokumenty, w tym analizy przeciwników politycznych, a przede wszystkim Donalda Trumpa, kandydata opozycji na prezydenta.

Włamanie analizowała firma CrowdStrike, która na swoim blogu przedstawiła dodatkowe, techniczne szczegóły ataku, ujawniając, że w trakcie analizy incydentu odkryto nie jedno, a dwa niezależne włamania!

Pierwszej grupie włamywaczy, której nadano kryptonim COZY BEAR, do sieci demokratów udało włamać się już w zeszłym roku, w lecie. Podobieństwo i stopień zaawansowania infrastruktury wykorzystanej do infiltracji jak i sposób działania każe specjalistom z CrowdStrike wnioskować, że to ci sami ludzie, którzy stoją za włamaniami do Białego Domu i szeregu innych strategicznych instytucji w USA, Chinach i Zachodniej Europie.

Druga grupa, której nadano kryptonim FANCY BEAR, do sieci demokratów włamała się dopiero w kwietniu 2016. Ich działania były zupełnie różne od grupy COZY BEAR i wszystko wskazuje na to, że obie grupy włamywaczy nie wiedziały o swoim istnieniu. CrowdStrike informuje, że sposób działania FANCY BEAR i wykorzystywane przez nią techniki pozwalają powiązać atak na demokratów z atakami na niemiecki Bundestag, francuską telewizję TV5 Monde i szereg strategicznych militarnych instytucji w USA, Europie, Brazylii, Kanadzie, Chinach, Iranie i Południowej Korei, którymi przede wszystkim zainteresowani są Rosjanie. Stopień skomplikowania stosowanych przez grupę “implantów”, potrafiących infekować nie tylko Windowsa, ale także Linuksa, OS X, iOS, Androida i Windows Phona każe specjalistom wnioskować, że włamywacze są powiązani z rosyjskim wywiadem lub służbami (GRU).

Zdemaskowani Rosjanie odczuwają niepokój…

Po wtorkowej demaskacji 2 operacji prowadzonych na zlecenie Rosjan, w sieci i wśród polityków zawrzało. Rosjanie postanowili więc zrobić coś, co potrafią najlepiej — zrzucić odpowiedzialność na kogoś innego… W końcu każdy może kupić narzędzie do włamywania się na serwery w każdym sklepie z narzędziami do włamywania się na serwery.

I w ten sposób, nagle, w sieci ujawnił się bowiem “prawdziwy włamywacz”, który pod nickiem Guccifer 2.0 założył konto na platformie Wodpress i przyznał się do włamania do Narodowego Komitetu Demokratów, wyśmiewając analityków z CrowdStrike, że wzięli jego jedynego, amatora, za “zaawansowaną grupę włamywaczy mających powiązania z rosyjskim rządem”. Guccifer 2.0 w swoim wpisie twierdzi, że włamania były banalnie proste, publikuje kilka wykradzionych dokumentów i kończy uroczym:

The main part of the papers, thousands of files and mails, I gave to Wikileaks. They will publish them soon.

I guess CrowdStrike customers should think twice about company’s competence.

Fuck the Illuminati and their conspiracies!!!!!!!!! Fuck CrowdStrike!!!!!!!!!

W tym przeniesieniu odpowiedzialności za atak na Amerykanów z grup powiązanych z rosyjskim rządem na samotnego hackera jest tylko jeden problem. Opublikowane przez Guccifera 2.0 dokumenty, jak i sam wpis na blogu, noszą wiele śladów wskazujących, że osoba stojąca za tym wszystkim ma powiązania z rosyjskimi służbami. Ale zacznijmy po kolei.

Dowody na to, że za włamaniem nie stoją Rosjanie, pokazały, że stoją za nim Rosjanie

Za tym, że wpis Guccifera 2.0 to kampania Rosjan mająca zrzucić odpowiedzialność za atak na kogoś innego, przemawia kilka faktów. Zanim jednak do nich przejdziemy, przytoczmy wypowiedź The Grugq, znanego obserwatora działań służb i specjalistę od opsecu:

1. 2015–06-??: Russian Intelligence services penetrated the DNC and collected a large amount of information. [Collection]

2. 2016–06-??: CrowdStrike purges them from the network [Blown]

3. 2016–06–14: The cyber espionage operation is exposed in the media [Blowback]

4. 2016–06–14: Russian intelligence services leak a targeted selection of documents through various media channels. [Influence]

5. 2016–06–15: Russian intelligence services create a cover hacker identity to claim credit and shift blame away from themselves. [Deception]

A teraz fakty, które sprawiają, że Gucciferowi 2.0 trudno uwierzyć:

Do tej pory nikt nie słyszał o Gucciferze 2.0. Pojawił się znikąd. Bardzo sprawnie, bo w 24 godziny udało mu się porozmawiać z kilkoma gazetami i przygotować konkretne dokumenty do wycieku. Zupełnie jakby wszystko było już dawno przygotowane w ramach planu awaryjnego. Wydawać by się jednak mogło, że ktoś, komu “siedzą na ogonie” ma inne rzeczy na swoim talerzu w dzień po zdemaskowaniu wciąż aktywnego ataku…

Pojawił się znikąd. Bardzo sprawnie, bo w 24 godziny udało mu się porozmawiać z kilkoma gazetami i przygotować konkretne dokumenty do wycieku. Zupełnie jakby wszystko było już dawno przygotowane w ramach planu awaryjnego. Wydawać by się jednak mogło, że ktoś, komu “siedzą na ogonie” ma inne rzeczy na swoim talerzu w dzień po zdemaskowaniu wciąż aktywnego ataku… Złe emotki. We wpisie użyto “ ))) ” zamiast “ :))) “. Tak “uśmiechają” się Rosjanie, a jest to związane z trudnością z jaką przy rosyjskim układzie klawiatury wprowadza się znak “ : “. Na marginesie, jeśli gdzieś przeczytacie “jejeje” w kontekście “hahaha”, to rozmawiacie z Hiszpanem. Zdania “aleśmy wydupcyli ten serwer” użyją ludzie z Krakowa, a “naduś OK na formularzu logowania” zostanie zapewne wypowiedziane przez kogoś z Poznania. Dla poszczególnych grup ich charakterystyczny język jest czymś naturalnym i nie widzą w nim niczego dziwnego…

We wpisie użyto “ ” zamiast “ “. Tak “uśmiechają” się Rosjanie, a jest to związane z trudnością z jaką przy rosyjskim układzie klawiatury wprowadza się znak “ “. Różne metadane edytujących. Opublikowane pliki poddane analizie metadanych pokazują, że poszczególne opublikowane przez Guccifera 2.0 pliki były otwierane i modyfikowane przez różnych użytkowników, co wskazuje na wykorzystanie wielu wirtualnych maszyn (po co jednemu włamywaczowi kilka różnie skonfigurowanych wirtualek z Wordem?). Jakby tego było mało, użytkownicy na których zarejestrowano pakiet Office, to…:

Opublikowane pliki poddane analizie metadanych pokazują, że poszczególne opublikowane przez Guccifera 2.0 pliki były otwierane i modyfikowane przez różnych użytkowników, co wskazuje na wykorzystanie wielu wirtualnych maszyn (po co jednemu włamywaczowi kilka różnie skonfigurowanych wirtualek z Wordem?). Jakby tego było mało, użytkownicy na których zarejestrowano pakiet Office, to…: Jednym z użytkowników zostawionych w metadanych jest “ Феликс Эдмундович. ” czyli Feliks Dzierżyński, twórca pierwszych sowieckich organów bezpieczeństwa. Metahumor w metadanych :)

” czyli Feliks Dzierżyński, twórca pierwszych sowieckich organów bezpieczeństwa. Metahumor w metadanych :) Używanie rosyjskojęzycznej klawiatury. Jeden z dokumentów wyeksportowano do PDF z rosyjskim układem klawiatury, co spowodowało, że komunikat o niepoprawnych linkach w dokumencie został wyświetlony zgodnie z układem klawiatury — po rosyjsku:

Czy ktoś, kto twierdzi, że nie ma nic wspólnego z Rosją zadałby sobie tyle trudu, aby w prawie każdym z dokumentów zostawić ślady wskazujące na Rosję? Z drugiej strony, czy “wykwalifikowane” służby rosyjskie popełniłyby takie, dość podstawowe błędy? Pośpiech, jak widać, gdy się człowiek śpieszy, to się Putin smuci…

Operacje pod cudzą flagą (false flag operations)

Nie jest niczym nowym, wykonywanie działań służb jednego państwa (czy też grup włamywaczy) pod banderą innej organizacji lub po wpadce, zrzucanie winy na innych i podkładanie dowodów. Przypomnijmy CyberBerkut. Wiele osób sądzi, że ta ad-hocowa grupa włamywaczy, powstała po to, aby ukryć internetowe działania rosyjskich “zielonych ludzików” w trakcie konfliktu z Ukrainą.

Nie jest też niczym nowym atakowanie partii politycznych i polityków. I robi to każde Państwo. Nie tylko Rosja atakuje USA, ale i USA atakuje Rosję. O pewnych atakach jednak się nie słyszy w mediach. Takie ataki zdarzają się także w stosunku do polskich organizacji (nie tylko polityków). Ba! Czasem atakują się nawet sojusznicze państwa — Amerykanie szpiegowali przecież Merkel.

To, co możemy obserwować wokół incydentu dotyczącego włamania do Narodowego Komitetu Demokratów pokazuje, że czasem nawet niezależne grupy z tego samego kraju jednocześnie atakują ten sam cel, nie do końca zdając sobie z tego sprawę. Ale ponoć w Rosji to normalne działanie (poszczególne służby niekoniecznie dzielą się informacjami). Tu warto również podkreślić, że nie zawsze włamywacze są bezpośrednio zatrudniani przez rząd. Istnieje kilka grup włamywaczy (nie tylko w Rosji), które za swój cel obierają sobie różne instytucje, a pozyskane w atakach dane sprzedają nie tylko kontaktom rządowym, a czasem nawet wielu różnym państwom. Być może w Narodowym Komitecie Demokratów spotkali się “prywaciarze” z faktyczną jednostką rządową? Niewykluczone też, że medialne wybielanie (co prawda nieudane) wizerunku Rosjan, to realizacja jeszcze innej komórki, od medialnego sprzątania wpadek — w końcu Rosjanie są mistrzami trolowania w internecie (por. Kulisy pracy rosyjskich prorządowych troli internetowych). Tym razem chyba nie wyszło…

PS. Oczywiście, za tym wszystkim mogą stać Chińczycy )))

Przeczytaj także: