Von Adam Shepherd
Die Geschichte, wie 12 Hacker angeblich die mächtigste Demokratie der Welt korrumpiert haben, um Donald Trump an die Spitze zu bringen
Nach mehr als zwei Jahren voller Anschuldigungen, Vorwürfe, Dementis und Spekulationen hat ihn die Untersuchung des Sonderermittlers Robert Mueller über eine mögliche Einmischung in die US-Präsidentschaftswahlen 2016 nach Russland geführt. Als Teil einer weitreichenden Untersuchung des Einflusses russischer staatlicher Akteure auf die Wahl hat das Justizministerium 12 Mitglieder des russischen Militärgeheimdienstes offiziell wegen verschiedener Hacking-Straftaten angeklagt.
Präsident Wladimir Putin hat im Namen Russlands und seiner Agenten jegliches Fehlverhalten bestritten und wurde von Präsident Trump öffentlich unterstützt. Trotz der Verurteilung durch den Sprecher des US-Repräsentantenhauses Paul Ryan, zahlreiche öffentliche und politische Persönlichkeiten und sogar seinen eigenen Direktor des nationalen Geheimdienstes, sagte Trump, dass er „keinen Grund“ sehe, warum Russland versuchen würde, die Wahl zu beeinflussen. P>
Anschließend zog er diese Behauptung zurück und erklärte, dass er die Schlussfolgerungen der Geheimdienste akzeptiere, dass sich Russland in die Wahlen 2016 eingemischt habe, sagte aber auch, dass „es auch andere Personen sein könnten“, und wiederholte seine Behauptungen, dass „es überhaupt keine Absprachen gab“. /P>
Die Anschuldigungen kommen vor dem Hintergrund einer zunehmenden russischen Aggression auf der globalen Bühne; das Land immer noch die Halbinsel Krim kontrolliert, die es 2014 gewaltsam besetzt hatte, es gibt Behauptungen, dass es am Sieg von Vote Leave beim Brexit-Referendum mitgewirkt hat, und Großbritannien hat Russland beschuldigt, Menschen auf britischem Boden mit tödlichen Nervengasen vergiftet zu haben.
Siehe verwandte The Top Ten Techniken zum Knacken von Passwörtern, die von Hackern verwendet werden
Trotz Trumps Protesten sind sich die Cybersicherheits- und Geheimdienstgemeinschaften fast einstimmig einig, dass Russland die Wahlen 2016 gestohlen hat, indem es eine Kampagne ausgeklügelter Cyber- und Informationskriegsführung einsetzte, um das gewünschte Ergebnis sicherzustellen.
Aber wenn ja, wie haben sie das gemacht?
Dank der Anklage gegen die russischen Agenten haben wir jetzt eine ziemlich gute Vorstellung davon, wie der Hack angeblich durchgeführt wurde. Muellers Akte enthält Details wie Daten, Methoden und Angriffsvektoren, die es uns ermöglichen, eine detaillierte Zeitachse darüber zu erstellen, wie genau 12 russische Männer die mächtigste Demokratie der Welt entgleisen könnten. Dieser Artikel untersucht, wie das passieren konnte, basierend auf den Anschuldigungen in Muellers Anklageschrift.
Die Ziele
Das Ziel der russischen Regierung bei den Wahlen 2016 scheint klar:die Beförderung von Donald J. Trump zum Präsidenten der Vereinigten Staaten mit allen erforderlichen Mitteln zu erleichtern.
Dazu mussten die Russen einen Weg finden, seinen Gegenkandidaten aus dem Vorstand zu bekommen, was dazu führte, dass sie vier Hauptparteien mit einer ausgeklügelten und langfristigen Hacking-Kampagne ins Visier nahmen.
DCCC
Das Democratic Congressional Campaign Committee (oder „D-Trip“, wie es umgangssprachlich genannt wird) ist dafür verantwortlich, dass so viele Demokraten wie möglich in das US-Repräsentantenhaus gewählt werden, und unterstützt, leitet und finanziert potenzielle Kandidaten bei Kongresswahlen. P>
DNC
Das Leitungsgremium der Demokratischen Partei der Vereinigten Staaten, das Democratic National Committee, ist verantwortlich für die Organisation der Gesamtstrategie der Demokraten sowie für die Organisation der Nominierung und Bestätigung des Präsidentschaftskandidaten der Partei bei jeder Wahl.
Hillary Clinton
Die ehemalige Außenministerin unter Obama, Hillary Clinton, besiegte Bernie Sanders und wurde bei den Wahlen 2016 Präsidentschaftskandidatin der Demokraten, was sie ins Fadenkreuz von Donald Trump und der russischen Regierung brachte.
John Podesta
John Podesta, ein langjähriger Veteran der DC-Politik, hat unter den beiden vorherigen demokratischen Präsidenten gedient, bevor er als Vorsitzender von Hillary Clintons Präsidentschaftskampagne 2016 fungierte.
Die GRU Zwölf
Alle zwölf mutmaßlichen Hacker arbeiten für die GRU – die Elite-Geheimdienstorganisation der russischen Regierung. Alle sind Militäroffiziere unterschiedlichen Ranges und alle waren Teil von Einheiten, die speziell damit beauftragt wurden, den Verlauf der Wahlen zu verfälschen.
Laut Muellers Anklageschrift war Einheit 26165 für das Hacken von DNC, DCCC und Personen verantwortlich, die mit Clintons Kampagne in Verbindung stehen. Einheit 74455 wurde offenbar damit beauftragt, als verdeckte Propagandisten zu agieren, gestohlene Dokumente durchsickern zu lassen und über verschiedene Online-Kanäle Anti-Clinton- und Anti-Demokraten-Inhalte zu veröffentlichen.
Sicherheitsexperten sind vielleicht besser mit den Codenamen vertraut, die diesen beiden Einheiten gegeben wurden, als sie 2016 zum ersten Mal entdeckt wurden:Cozy Bear und Fancy Bear.
Die 12 beteiligten Hacker sind angeblich:
| Name | Rolle | Rang |
| Viktor Borisovich Netyksho | Kommandant der Einheit 26165, verantwortlich für das Hacken von DNC und anderen Zielen | Unbekannt |
| Boris Alexejewitsch Antonow | Überwachte Spearphishing-Kampagnen für Einheit 26165 | Hauptfach |
| Dmitri Sergejewitsch Badin | Stellvertretender Abteilungsleiter von Antonov | Unbekannt |
| Iwan Sergejewitsch Jermakow | Hacking-Operationen für Einheit 26165 durchgeführt | Unbekannt |
| Aleksey Viktorovich Lukashev | Durchführung von Spearphishing-Angriffen für Einheit 26165 | 2. Leutnant |
| Sergej Alexandrowitsch Morgatschew | Beaufsichtigung der Malware-Entwicklung und -Verwaltung für Einheit 26165 | Oberstleutnant |
| Nikolay Yuryevich Kozachek | Entwickelte Malware für Einheit 26165 | Leutnant Captain |
| Pavel Vyacheslavovich Yershov | Getestete Malware für Einheit 26165 | Unbekannt |
| Artjom Andrejewitsch Malyschew | Überwachte Malware für Einheit 26165 | 2. Leutnant |
| Aleksandr Vladimirovich Osadchuk | Kommandant der Einheit 74455, verantwortlich für die Verbreitung gestohlener Dokumente | Oberst |
| Aleksey Aleksandrovich Potemkin | Überwachte Verwaltung der IT-Infrastruktur | Unbekannt |
| Anatoliy Sergeyevich Kovalev | Hacking-Operationen für Einheit 74455 durchgeführt | Unbekannt |
Wie der Hack geplant wurde
Der Schlüssel zu jedem erfolgreichen Cyber-Angriff sind Planung und Aufklärung, daher bestand die erste Aufgabe für die Agenten der Einheit 26165 darin, die Schwachstellen in der Infrastruktur der Clinton-Kampagne zu identifizieren – Schwachstellen, die dann ausgenutzt werden können.
15. März:
Ivan Yermakov beginnt, die Infrastruktur des DNC zu scannen, um angeschlossene Geräte zu identifizieren. Er beginnt auch mit Nachforschungen über das DNC-Netzwerk sowie über Clinton und die Demokraten im Allgemeinen.
19. März:
John Podesta fällt auf eine angeblich von Aleksey Lukashev erstellte und als Google-Sicherheitswarnung getarnte Spearphishing-E-Mail herein, die den Russen Zugriff auf sein persönliches E-Mail-Konto verschafft. Am selben Tag setzt Lukashev Spearphishing-Angriffe ein, um andere hochrangige Wahlkampfbeamte anzugreifen, darunter Wahlkampfleiter Robby Mook.
21. März:
Podestas persönliches E-Mail-Konto wird von Lukashev und Yermakov bereinigt; Sie machen sich mit insgesamt mehr als 50.000 Nachrichten davon.
28. März:
Lukashevs erfolgreiche Spearphishing-Kampagne führt zum Diebstahl von E-Mail-Anmeldeinformationen und „Tausenden“ von Nachrichten von verschiedenen Personen, die mit Clintons Kampagne in Verbindung stehen.
6. April:
Die Russen erstellen eine gefälschte E-Mail-Adresse für eine bekannte Persönlichkeit im Clinton-Lager, die sich nur um einen Buchstaben vom Namen der Person unterscheidet. Diese E-Mail-Adresse wird dann von Lukashev verwendet, um mindestens 30 verschiedene Mitarbeiter der Kampagne zu spearen, und eine DCCC-Mitarbeiterin wird dazu verleitet, ihre Anmeldeinformationen herauszugeben.
Wie das DNC gebrochen wurde
Nach Abschluss der anfänglichen Vorbereitungsarbeiten hatten die Russen dank einer hochwirksamen Spearphishing-Kampagne einen starken Stand im Netzwerk der Demokraten. Der nächste Schritt bestand darin, dieses Standbein zu nutzen, um weiteren Zugang zu erhalten.
7. April:
Wie bei der ersten Erkundung im März untersucht Yermakov verbundene Geräte im DCCC-Netzwerk.
12. April:
Mithilfe von Anmeldeinformationen, die einem unwissenden DCCC-Mitarbeiter gestohlen wurden, erhalten die Russen Zugriff auf die internen Netzwerke des DCCC. Zwischen April und Juni installieren sie auf mindestens zehn DCCC-Computern verschiedene Versionen einer Malware namens „X-Agent“, die Remote-Keylogging und Bildschirmaufnahmen infizierter Geräte ermöglicht.
Diese Schadsoftware übermittelt Daten von betroffenen Rechnern an einen von den Russen geleasten Server in Arizona, den sie als „AMS“-Panel bezeichnen. Von diesem Panel aus können sie ihre Malware aus der Ferne überwachen und verwalten.
14. April:
Über einen Zeitraum von acht Stunden verwenden die Russen X-Agent, um Passwörter für DCCC-Spenden- und Wählerprogramme, Muellers Anklageansprüche zu stehlen und die Kommunikation zwischen DCCC-Mitarbeitern zu überwachen, die persönliche Informationen und Bankdaten enthielten. Die Gespräche beinhalten auch Informationen über die Finanzen des DCCC.
15. April:
Die Russen durchsuchen einen der gehackten DCCC-PCs nach verschiedenen Schlüsselbegriffen, darunter „Hillary“, „Cruz“ und „Trump“. Sie kopieren auch wichtige Ordner, wie zum Beispiel einen mit der Aufschrift „Benghazi Investigations“.
18. April:
Das Netzwerk des DNC wird von den Russen durchbrochen, die sich Zugang verschaffen, indem sie die Zugangsdaten eines DCCC-Mitarbeiters verwenden, der berechtigt ist, auf die Systeme des DNC zuzugreifen.
19. April:
Yershov und Nikolay Kozachek haben anscheinend einen dritten Computer außerhalb der USA eingerichtet, um als Relais zwischen dem in Arizona ansässigen AMS-Panel und der X-Agent-Malware zu fungieren, um die Verbindung zwischen den beiden zu verschleiern.
22. April:
Mehrere Gigabyte an Daten, die von DNC-PCs gestohlen wurden, werden in einem Archiv komprimiert. Diese Daten umfassen Oppositionsforschung und Pläne für Feldoperationen. In der nächsten Woche verwenden die Russen eine weitere benutzerdefinierte Malware – „X-Tunnel“ – um diese Daten über verschlüsselte Verbindungen aus dem DNC-Netzwerk auf eine andere gemietete Maschine in Illinois zu exfiltrieren.
13. Mai:
Irgendwann im Mai wird sowohl dem DNC als auch dem DCCC bewusst, dass sie kompromittiert wurden. Die Organisationen beauftragen die Cybersicherheitsfirma CrowdStrike damit, die Hacker aus ihren Systemen auszurotten, während die Russen Schritte unternehmen, um ihre Aktivitäten zu verbergen, wie z. B. das Löschen der Ereignisprotokolle bestimmter DNC-Maschinen.
25. Mai:
Im Laufe einer Woche stehlen die Russen angeblich Tausende von E-Mails von den Arbeitskonten der Mitarbeiter von DNC, nachdem sie sich in den Microsoft Exchange Server von DNC gehackt haben, während Yermakov PowerShell-Befehle für den Zugriff auf und den Betrieb von Exchange Server untersucht.
31. Mai:
Yermakov beginnt mit der Durchführung von Nachforschungen zu CrowdStrike und seinen Ermittlungen zu X-Agent und X-Tunnel, vermutlich um herauszufinden, wie viel das Unternehmen weiß.
1. Juni:
Am nächsten Tag versuchen die Russen, mit CCleaner – einem Freeware-Tool zur Freigabe von Festplattenspeicher – Beweise für ihre Aktivitäten im DCCC-Netzwerk zu vernichten.
Die Geburt von Guccifer 2.0
Die Russen haben jetzt eine beträchtliche Menge an Daten aus dem DNC exfiltriert. Diese Informationen, kombiniert mit der Fundgrube von Podestas persönlichen E-Mails, geben ihnen die ganze Munition, die sie brauchen, um Clintons Kampagne anzugreifen
8. Juni:
DCLeaks.com wird angeblich von den Russen zusammen mit passenden Facebook-Seiten und Twitter-Konten gestartet, um das Material zu verbreiten, das sie von Podesta und dem DNC gestohlen haben. Die Seite behauptet, dass sie von amerikanischen Hacktivisten betrieben wird, aber Muellers Anklage behauptet, dass dies eine Lüge ist.
14. Juni:
CrowdStrike und DNC geben bekannt, dass die Organisation gehackt wurde, und beschuldigen öffentlich die russische Regierung. Russland bestreitet jede Beteiligung an dem Angriff. Im Laufe des Junis beginnt CrowdStrike, Maßnahmen zu ergreifen, um den Hack abzuwehren.
15. Juni:
Als Reaktion auf die Anschuldigung von CrowdStrike erschaffen die Russen den Charakter von Guccifer 2.0 als Nebelwand, behauptet Mueller, um Zweifel an der russischen Beteiligung an den Hacks zu säen. Das russische Team, das sich als einzelner rumänischer Hacker ausgibt, trägt die Verantwortung für den Angriff.
Wer ist Guccifer?
Während Guccifer 2.0 eine fiktive Person ist, die von russischen Agenten geschaffen wurde, basiert sie tatsächlich auf einer realen Person. Der ursprüngliche Guccifer war ein echter rumänischer Hacker, der 2013 Berühmtheit erlangte, nachdem er Fotos von George W. Bush veröffentlicht hatte, die vom AOL-Konto seiner Schwester gehackt worden waren. Der Name, sagt er, ist ein Kofferwort aus „Gucci“ und „Lucifer“.
Er wurde schließlich wegen des Verdachts, eine Reihe rumänischer Beamter gehackt zu haben, festgenommen und an die USA ausgeliefert. Die Russen hofften vermutlich, dass die Beamten davon ausgehen würden, dass er auch hinter den Aktionen von Guccifer 2.0 steckt, obwohl er sich bereits im Mai einer Anklage des Bundes schuldig bekannt hatte.
20. Juni:
Bis zu diesem Zeitpunkt haben die Russen Zugriff auf 33 DNC-Endpunkte erhalten. CrowdStrike hat inzwischen alle Instanzen von X-Agent aus dem DCCC-Netzwerk entfernt – obwohl mindestens eine Version von X-Agent bis Oktober in den Systemen von DNC aktiv bleiben wird.
WikiLeaks schickt angeblich eine private Nachricht an Guccifer 2.0, in der es darum bittet, neues Material über Clinton und die Demokraten zu übermitteln, und erklärt, dass „es eine viel größere Wirkung haben wird als das, was Sie tun“.
WikiLeaks bestätigt den Erhalt eines 1-GB-Archivs mit gestohlenen DNC-Daten und gibt an, dass es innerhalb der Woche veröffentlicht wird.
Getreu seinem Wort veröffentlicht WikiLeaks über 20.000 E-Mails und Dokumente, die der DNC gestohlen wurden, nur zwei Tage vor dem Parteitag der Demokraten. Die letzte von WikiLeaks veröffentlichte E-Mail datiert vom 25. Mai – ungefähr am selben Tag, an dem der Exchange-Server des DNC gehackt wurde.
Während einer Pressekonferenz fordert der Präsidentschaftskandidat Donald Trump direkt und ausdrücklich, dass die russische Regierung eine Tranche von Clintons persönlichen E-Mails ausfindig macht.
Am selben Tag zielen die Russen auf E-Mail-Konten ab, die von Clintons persönlichem Büro genutzt und von einem Drittanbieter gehostet werden.
15. August:
Neben WikiLeaks versorgt Guccifer 2.0 auch eine Reihe anderer Nutznießer mit gestohlenen Informationen. Darunter ist offenbar auch ein US-Kongresskandidat, der um Informationen zu seinem Gegner bittet. Während dieser Zeit verwenden die Russen Guccifer 2.0 auch, um mit einer Person zu kommunizieren, die „in regelmäßigem Kontakt“ mit Spitzenmitgliedern der Trump-Kampagne steht.
22. August:
Guccifer 2.0 sendet 2,5 GB gestohlener Daten (einschließlich Spenderunterlagen und persönlich identifizierbarer Informationen von mehr als 2.000 Spendern der Demokraten) an „einen damals registrierten staatlichen Lobbyisten und eine Online-Quelle für politische Nachrichten“.
September:
Irgendwann im September erhalten die Russen Zugang zu einem Cloud-Dienst, der Test-Apps für die DNC-Datenanalyse enthält. Mit den eigenen integrierten Tools des Cloud-Dienstes erstellen sie Snapshots der Systeme und übertragen sie dann auf Konten, die sie kontrollieren.
7. Oktober:
WikiLeaks veröffentlicht den ersten Stapel von E-Mails von Podesta und löst damit Kontroversen und Aufruhr in den Medien aus. Im Laufe des nächsten Monats wird die Organisation alle 50.000 E-Mails freigeben, die angeblich von Lukashev von seinem Konto gestohlen wurden.
28. Oktober:
Kovalev und seine Kameraden zielen auf Staats- und Bezirksämter ab, die für die Verwaltung von Wahlen in wichtigen Swing-Staaten wie Florida, Georgia und Iowa, Muellers Anklagestaaten, verantwortlich sind.
November:
In der ersten Novemberwoche, kurz vor den Wahlen, verwendet Kovalev ein gefälschtes E-Mail-Konto, um über 100 Ziele zu spearen, die an der Verwaltung und Überwachung der Wahlen in Florida beteiligt sind – wo Trump mit 1,2 % gewann. Die E-Mails sehen so aus, als kämen sie von einem Softwareanbieter, der Wählerverifizierungssysteme anbietet, einem Unternehmen, das Kovalev bereits im August gehackt hat, behauptet Mueller.
8. November:
Entgegen den Vorhersagen von Experten und Meinungsforschern gewinnt Reality-TV-Star Donald Trump die Wahl und wird Präsident der Vereinigten Staaten.
Was passiert jetzt?
Während dies zweifellos ein Meilenstein sowohl in der globalen Geopolitik als auch in der Cybersicherheit ist, haben viele Experten festgestellt, dass die Anklage gegen die 12 GRU-Agenten eine fast ausschließlich symbolische Geste ist und wahrscheinlich nicht zu Verhaftungen führen wird.
Russland hat kein Auslieferungsabkommen mit den USA, ist also nicht verpflichtet, die Angeklagten Mueller auszuliefern. Dies ist übrigens derselbe Grund, warum der NSA-Whistleblower Edward Snowden in den letzten Jahren in Russland eingesperrt war.
Einige Quellen vermuten, dass diese Anklagen als Warnung dienen sollen, um Russland (und die Welt) wissen zu lassen, dass die USA ihre Ermittlungen vorantreiben.
„Durch die Anklage kann die Staatsanwaltschaft die von der Grand Jury gefundenen Tatsachen und/oder Anschuldigungen öffentlich machen“, sagte Strafverteidiger Jean-Jacques Cabou gegenüber Ars Technica . „Hier kann die breite Öffentlichkeit eine beabsichtigte Zielgruppe sein. Aber Staatsanwälte entsiegeln Anklagen auch, um eine Botschaft an andere Ziele zu senden.“
Muellers Ermittlungen werden voraussichtlich fortgesetzt.
Dieser Artikel erschien ursprünglich auf der Alphr-Schwesterseite IT Pro.