Von Adam Shepherd
Die Geschichte, wie 12 Hacker angeblich die mächtigste Demokratie der Welt korrumpierten, um Donald Trump an die Spitze zu bringen
Nach mehr als zwei Jahren der Anschuldigungen, Beschuldigungen, Ablehnungen und Spekulationen hat ihn die Untersuchung des Sonderbeauftragten Robert Mueller über mögliche Einmischung in die US-Präsidentschaftswahlen 2016 nach Russland geführt. Im Rahmen einer umfassenden Untersuchung des Einflusses russischer staatlicher Akteure auf die Wahlen hat das Justizministerium 12 Mitglieder des russischen Militärgeheimdienstes offiziell wegen verschiedener Hacking-Straftaten angeklagt.
Präsident Wladimir Putin hat jegliches Fehlverhalten im Namen Russlands und seiner Agenten bestritten und wurde öffentlich von Präsident Trump unterstützt. Trotz der Verurteilung durch den Sprecher des US-Repräsentantenhauses Paul Ryan, zahlreiche öffentliche und politische Persönlichkeiten und sogar seinen eigenen Direktor für nationale Geheimdienste sagte Trump, er sehe keinen Grund, warum Russland versuchen würde, die Wahlen zu beeinflussen.
Anschließend ging er auf diese Behauptung zurück und erklärte, dass er die Schlussfolgerungen der Geheimdienste, die Russland bei den Wahlen 2016 eingemischt habe, akzeptiere, sagte aber auch, dass es sich auch um andere Personen handeln könne, und wiederholte seine Behauptungen, dass es überhaupt keine Absprachen gegeben habe.
Die Vorwürfe stehen vor dem Hintergrund einer zunehmenden russischen Aggression auf der globalen Bühne. Das Land kontrolliert immer noch die Krimhalbinsel, die es 2014 gewaltsam erobert hat. Es gibt Behauptungen, dass es den Sieg von Vote Leave beim Brexit-Referendum mitgestaltet hat, und Großbritannien hat Russland beschuldigt, Menschen auf britischem Boden mit tödlichen Nervenagenten vergiftet zu haben.
Siehe verwandte Die zehn wichtigsten Techniken zum Knacken von Passwörtern, die von Hackern verwendet werden
Trotz der Proteste von Trump sind sich die Cybersicherheits- und Geheimdienstgemeinschaften fast einstimmig einig, dass Russland die Wahlen 2016 gestohlen hat, indem es eine Kampagne ausgefeilter Cyber- und Informationskriegsführung einsetzte, um das gewünschte Ergebnis zu erzielen.
Aber wenn ja, wie haben sie das gemacht?
Dank der Anklage gegen die russischen Aktivisten haben wir jetzt eine ziemlich gute Vorstellung davon, wie der Hack angeblich durchgeführt wurde. Muellers Einreichung enthält Details wie Daten, Methoden und Angriffsmethoden, mit denen wir einen detaillierten Zeitplan erstellen können, wie genau 12 russische Männer die mächtigste Demokratie der Welt entgleist haben könnten. In diesem Artikel wird untersucht, wie dies hätte geschehen können, basierend auf den in Müllers Anklage dargelegten Anschuldigungen.
WEITERLESEN: Russische Konten gaben 76.000 GBP für Wahlanzeigen 2016 aus
Die Ziele
Das Ziel der russischen Regierung bei den Wahlen 2016 scheint klar zu sein: die Ernennung von Donald J. Trump zum Präsidenten der Vereinigten Staaten mit allen erforderlichen Mitteln zu erleichtern.
Um dies zu erreichen, mussten die Russen einen Weg finden, seinen Rivalen aus dem Vorstand zu holen, was sie dazu veranlasste, vier Hauptparteien mit einer ausgeklügelten und langfristigen Hacking-Kampagne ins Visier zu nehmen.
DCCC
Das Democratic Congressional Campaign Committee (oder 'D-Trip', wie es umgangssprachlich genannt wird) ist dafür verantwortlich, dass so viele Demokraten wie möglich in das US-Repräsentantenhaus gewählt werden, um potenziellen Kandidaten bei Kongressrennen Unterstützung, Anleitung und Finanzierung zu bieten.
DNC
Das Leitungsgremium der Demokratischen Partei der Vereinigten Staaten, das Demokratische Nationalkomitee, ist verantwortlich für die Organisation der Gesamtstrategie der Demokraten sowie für die Organisation der Nominierung und Bestätigung des Präsidentschaftskandidaten der Partei bei jeder Wahl.
Hillary Clinton
Die ehemalige Außenministerin unter Obama, Hillary Clinton, besiegte Bernie Sanders, um bei den Wahlen 2016 Präsidentschaftskandidatin der Demokraten zu werden, und brachte sie ins Fadenkreuz von Donald Trump und der russischen Regierung.
John Podesta
John Podesta ist ein langjähriger Veteran der DC-Politik und hat unter den beiden vorherigen demokratischen Präsidenten gedient, bevor er als Vorsitzender der Präsidentschaftskampagne 2016 von Hillary Clinton fungierte.
Die GRU Zwölf
Alle zwölf mutmaßlichen Hacker arbeiten für die GRU - die Elite der ausländischen Geheimdienste der russischen Regierung. Alle sind Militäroffiziere unterschiedlicher Ränge, und alle waren Teil von Einheiten, die speziell damit beauftragt waren, den Verlauf der Wahlen zu verfälschen.
Laut Muellers Anklage war die Einheit 26165 dafür verantwortlich, die DNC, die DCCC und Personen, die mit Clintons Kampagne verbunden sind, zu hacken. Die Einheit 74455 wurde offenbar beauftragt, als verdeckte Propagandisten zu agieren, gestohlene Dokumente zu verlieren und Anti-Clinton- und Anti-Demokraten-Inhalte über verschiedene Online-Kanäle zu veröffentlichen.
Sicherheitsexperten kennen möglicherweise die Codenamen dieser beiden Einheiten besser, als sie 2016 zum ersten Mal entdeckt wurden: Cosy Bear und Fancy Bear.
Die 12 beteiligten Hacker sollen sein:
| Name | Rolle | Rang |
| Viktor Borisovich Netyksho | Kommandant der Einheit 26165, verantwortlich für das Hacken von DNC und anderen Zielen | Unbekannt |
| Boris Alekseyevich Antonov | Überwachung von Spearphishing-Kampagnen für Einheit 26165 | Haupt |
| Dmitry Sergeyevich Badin | Stellvertretender Abteilungsleiter von Antonov | Unbekannt |
| Ivan Sergeyevich Yermakov | Durchführung von Hacking-Operationen für Unit 26165 | Unbekannt |
| Aleksey Viktorovich Lukashev | Durchführung von Spearphishing-Angriffen für Einheit 26165 | 2. Leutnant |
| Sergey Aleksandrovich Morgachev | Überwachung der Entwicklung und Verwaltung von Malware für Unit 26165 | Oberstleutnant |
| Nikolay Yuryevich Kozachek | Entwickelte Malware für Unit 26165 | Oberleutnant |
| Pavel Vyacheslavovich Yershov | Getestete Malware für Unit 26165 | Unbekannt |
| Artem Andreyevich Malyshev | Überwachte Malware für Unit 26165 | 2. Leutnant |
| Aleksandr Vladimirovich Osadchuk | Kommandant der Einheit 74455, verantwortlich für das Auslaufen gestohlener Dokumente | Oberst |
| Aleksey Aleksandrovich Potemkin | Überwachte Verwaltung der IT-Infrastruktur | Unbekannt |
| Anatoliy Sergeyevich Kovalev | Durchführung von Hacking-Operationen für Unit 74455 | Unbekannt |
WEITERLESEN: Die Technologiefirmen geben Ihre Daten an die Regierung weiter
Wie der Hack geplant war
Der Schlüssel zu einem erfolgreichen Cyberangriff liegt in der Planung und Aufklärung. Daher bestand die erste Aufgabe für die Mitarbeiter der Einheit 26165 darin, die Schwachstellen in der Infrastruktur der Clinton-Kampagne zu identifizieren - Schwachstellen, die dann ausgenutzt werden können.
15. März:
Ivan Yermakov beginnt mit dem Scannen der DNC-Infrastruktur, um verbundene Geräte zu identifizieren. Er beginnt auch mit der Erforschung des Netzwerks der DNC sowie mit der Erforschung von Clinton und den Demokraten im Allgemeinen.
19. März:
John Podesta verliebt sich in eine Spearphishing-E-Mail, die angeblich von Aleksey Lukashev erstellt und als Google-Sicherheitswarnung getarnt wurde und den Russen Zugriff auf sein persönliches E-Mail-Konto gewährt. Am selben Tag setzt Lukaschew Spearphishing-Angriffe ein, um andere hochrangige Wahlkampfbeamte, darunter den Wahlkampfmanager Robby Mook, anzugreifen.
21. März:
Podestas persönliches E-Mail-Konto wird von Lukaschew und Jermakow bereinigt. Sie machen sich mit insgesamt mehr als 50.000 Nachrichten auf den Weg.
28. März:
Die erfolgreiche Spearphishing-Kampagne von Lukashev führt zum Diebstahl von E-Mail-Anmeldeinformationen und Tausenden von Nachrichten von verschiedenen Personen, die mit Clintons Kampagne in Verbindung stehen.
6. April:
Die Russen erstellen eine gefälschte E-Mail-Adresse für eine bekannte Person im Clinton-Lager, die nur einen Buchstaben vom Namen der Person abweicht. Diese E-Mail-Adresse wird dann von Lukaschew verwendet, um mindestens 30 verschiedene Kampagnenmitarbeiter zu fischen, und eine DCCC-Mitarbeiterin wird dazu verleitet, ihre Anmeldeinformationen zu übergeben.
WEITERLESEN: Wie Google Beweise für die Einmischung russischer US-Wahlen entdeckte
Wie die DNC verletzt wurde
Nachdem die ersten Vorbereitungsarbeiten nun abgeschlossen waren, hatten die Russen dank einer hochwirksamen Spearphishing-Kampagne einen starken Halt im Netzwerk der Demokraten. Der nächste Schritt bestand darin, diesen Halt zu nutzen, um weiteren Zugang zu erhalten.
7. April:
Wie bei der ersten Aufklärung im März untersucht Yermakov verbundene Geräte im DCCC-Netzwerk.
12. April:
Mithilfe von Anmeldeinformationen, die einem unwissenden DCCC-Mitarbeiter gestohlen wurden, erhalten die Russen Zugang zu den internen Netzwerken des DCCC. Zwischen April und Juni installieren sie verschiedene Versionen einer Malware namens 'X-Agent', die das Remote-Keylogging und die Bildschirmaufnahme infizierter Geräte ermöglicht, auf mindestens zehn DCCC-Computern.
Diese Malware überträgt Daten von betroffenen Computern an einen von den Russen geleasten Server in Arizona, den sie als AMS-Panel bezeichnen. In diesem Bereich können sie ihre Malware remote überwachen und verwalten.
14. April:
Über einen Zeitraum von acht Stunden stehlen die Russen mit X-Agent Passwörter für DCCC-Spenden- und Wählerprogramme, Muellers Anklageschrift sowie die Überwachung der Kommunikation zwischen DCCC-Mitarbeitern, einschließlich persönlicher Informationen und Bankdaten. Die Gespräche enthalten auch Informationen über die Finanzen des DCCC.
15. April:
Die Russen durchsuchen einen der gehackten DCCC-PCs nach verschiedenen Schlüsselbegriffen, darunter 'Hillary', 'Cruz' und 'Trump'. Sie kopieren auch Schlüsselordner, z. B. einen mit der Bezeichnung „Benghazi Investigations“.
18. April:
So entmarkieren Sie jemanden auf Twitter
Das Netzwerk der DNC wird von den Russen verletzt, die Zugang erhalten, indem sie die Anmeldeinformationen eines DCCC-Mitarbeiters verwenden, der die Erlaubnis hat, auf die Systeme der DNC zuzugreifen.
19. April:
Yershov und Nikolay Kozachek haben offenbar einen dritten Computer außerhalb der USA eingerichtet, um als Relais zwischen dem in Arizona ansässigen AMS-Panel und der X-Agent-Malware zu fungieren und die Verbindung zwischen beiden zu verschleiern.
22. April:
Mehrere Gigabyte Daten, die von DNC-PCs gestohlen wurden, werden in einem Archiv komprimiert. Diese Daten umfassen Oppositionsforschung und Pläne für Feldoperationen. In der nächsten Woche verwenden die Russen eine andere benutzerdefinierte Malware - 'X-Tunnel' -, um diese Daten über verschlüsselte Verbindungen aus dem DNC-Netzwerk auf einen anderen gemieteten Computer in Illinois zu filtern.
13. Mai:
Irgendwann im Mai werden sich sowohl die DNC als auch die DCCC bewusst, dass sie kompromittiert wurden. Die Organisationen beauftragen das Cybersicherheitsunternehmen CrowdStrike, die Hacker aus ihren Systemen auszurotten, während die Russen Schritte unternehmen, um ihre Aktivitäten zu verbergen, z. B. das Löschen der Ereignisprotokolle von bestimmten DNC-Maschinen.
25. Mai:
Im Laufe einer Woche stehlen die Russen angeblich Tausende von E-Mails von den Arbeitskonten der DNC-Mitarbeiter, nachdem sie sich in den Microsoft Exchange Server der DNC gehackt haben, während Yermakov nach PowerShell-Befehlen für den Zugriff auf und die Ausführung von Exchange Server sucht.
31. Mai:
Yermakov beginnt mit der Erforschung von CrowdStrike und seiner Untersuchung von X-Agent und X-Tunnel, vermutlich um herauszufinden, wie viel das Unternehmen weiß.
1. Juni:
Am nächsten Tag versuchen die Russen, CCleaner - ein Freeware-Tool zur Freigabe von Festplattenspeicher - zu verwenden, um Beweise für ihre Aktivitäten im DCCC-Netzwerk zu zerstören.
WEITERLESEN: Steht Russland hinter einer globalen Hacking-Kampagne, um offizielle Geheimnisse zu stehlen?
Die Geburt von Guccifer 2.0
Die Russen haben jetzt eine beträchtliche Menge an Daten aus der DNC herausgefiltert. Diese Informationen, kombiniert mit der Fundgrube von Podestas persönlichen E-Mails, geben ihnen die gesamte Munition, die sie benötigen, um Clintons Kampagne anzugreifen
8. Juni:
DCLeaks.com wird angeblich von den Russen zusammen mit passenden Facebook-Seiten und Twitter-Konten gestartet, um das Material zu verbreiten, das sie Podesta und der DNC gestohlen haben. Die Seite behauptet, dass sie von amerikanischen Hacktivisten betrieben wird, aber Muellers Anklage behauptet, dass dies eine Lüge ist.
14. Juni:
CrowdStrike und die DNC enthüllen, dass die Organisation gehackt wurde, und beschuldigen die russische Regierung öffentlich. Russland bestreitet jegliche Beteiligung an dem Angriff. Im Laufe des Juni beginnt CrowdStrike, Maßnahmen zu ergreifen, um den Hack zu mildern.
15. Juni:
Als Reaktion auf die Anschuldigung von CrowdStrike kreieren die Russen den Charakter von Guccifer 2.0 als Nebelwand, behauptet Müller, um Zweifel an der russischen Beteiligung an den Hacks zu säen. Das Team der Russen, das sich als einziger rumänischer Hacker ausgibt, würdigt den Angriff.
Nur wer ist Guccifer?
Während Guccifer 2.0 eine fiktive Person ist, die von russischen Agenten erstellt wurde, basiert sie tatsächlich auf einer realen Person. Der ursprüngliche Guccifer war ein echter rumänischer Hacker, der 2013 Bekanntheit erlangte, nachdem er Fotos von George W. Bush veröffentlicht hatte, die vom AOL-Account seiner Schwester gehackt worden waren. Der Name, sagt er, ist ein Portmanteau von 'Gucci' und 'Lucifer'.
Er wurde schließlich wegen des Verdachts, eine Reihe rumänischer Beamter gehackt zu haben, verhaftet und an die USA ausgeliefert. Die Russen hofften vermutlich, dass die Beamten annehmen würden, dass er auch hinter den Aktionen von Guccifer 2.0 steckt, obwohl er sich bereits im Mai schuldig bekannt hatte.
20. Juni:
Zu diesem Zeitpunkt haben die Russen Zugang zu 33 DNC-Endpunkten erhalten. CrowdStrike hat inzwischen alle Instanzen von X-Agent aus dem DCCC-Netzwerk entfernt - obwohl mindestens eine Version von X-Agent bis Oktober in den DNC-Systemen aktiv bleibt.
Die Russen verbringen mehr als sieben Stunden damit, erfolglos zu versuchen, eine Verbindung zu ihren X-Agent-Instanzen mit dem DCCC-Netzwerk herzustellen, und versuchen, zuvor gestohlene Anmeldeinformationen zu verwenden, um darauf zuzugreifen. Sie löschen auch die Aktivitätsprotokolle des AMS-Panels, einschließlich aller Anmeldeverlaufs- und Nutzungsdaten.
22. Juni:
WikiLeaks sendet angeblich eine private Nachricht an Guccifer 2.0, in der er darum bittet, neues Material in Bezug auf Clinton und die Demokraten zu senden, und erklärt, dass es eine viel größere Auswirkung haben wird als das, was Sie tun.
18. Juli:
WikiLeaks bestätigt den Erhalt eines 1-GB-Archivs gestohlener DNC-Daten und gibt an, dass diese innerhalb der Woche veröffentlicht werden.
22. Juli:
WikiLeaks veröffentlicht, nur zwei Tage vor dem Democratic National Convention, über 20.000 E-Mails und Dokumente, die der DNC gestohlen wurden. Die letzte von WikiLeaks veröffentlichte E-Mail ist vom 25. Mai - ungefähr am selben Tag, an dem der Exchange Server der DNC gehackt wurde.
WEITERLESEN: Laut WikiLeaks kann die CIA Smart-TVs verwenden, um Eigentümer auszuspionieren
27. Juli:
Während einer Pressekonferenz fordert Präsidentschaftskandidat Donald Trump die russische Regierung direkt und ausdrücklich auf, eine Tranche von Clintons persönlichen E-Mails zu finden.
Am selben Tag zielen die Russen auf E-Mail-Konten ab, die von Clintons persönlichem Büro verwendet und von einem Drittanbieter gehostet werden.
15. August:
Neben WikiLeaks liefert Guccifer 2.0 auch eine Reihe anderer Begünstigter mit gestohlenen Informationen. Dies schließt anscheinend einen US-Kongresskandidaten ein, der nach Informationen über seinen Gegner fragt. Während dieser Zeit nutzen die Russen Guccifer 2.0 auch, um mit einer Person zu kommunizieren, die regelmäßig mit Top-Mitgliedern der Trump-Kampagne in Kontakt steht.
22. August:
Guccifer 2.0 sendet 2,5 GB gestohlene Daten (einschließlich Spenderaufzeichnungen und persönlich identifizierbarer Informationen zu mehr als 2.000 demokratischen Spendern) an einen damals registrierten staatlichen Lobbyisten und eine Online-Quelle für politische Nachrichten.
Sieben:
Irgendwann im September erhalten die Russen Zugang zu einem Cloud-Dienst, der Test-Apps für die DNC-Datenanalyse enthält. Mithilfe der integrierten Tools des Cloud-Dienstes erstellen sie Snapshots der Systeme und übertragen sie dann auf Konten, die sie steuern.
7. Oktober:
WikiLeaks veröffentlicht den ersten Stapel von Podestas E-Mails, was in den Medien zu Kontroversen und Aufruhr führt. Im nächsten Monat wird die Organisation alle 50.000 E-Mails veröffentlichen, die Lukaschew angeblich von seinem Konto gestohlen hat.
28. Oktober:
Kovalev und seine Kameraden zielen auf Staats- und Bezirksämter ab, die für die Durchführung von Wahlen in wichtigen Swing-Staaten zuständig sind, darunter Florida, Georgia und Iowa, Muellers Anklagestaaten.
Nov:
In der ersten Novemberwoche, kurz vor den Wahlen, verwendet Kovalev ein gefälschtes E-Mail-Konto, um Speer Phish über 100 Ziele die an der Verwaltung und Überwachung von Wahlen in Florida beteiligt sind - wo Trump mit 1,2% gewann. Die E-Mails sollen so aussehen, als stammten sie von einem Softwareanbieter, der Wählerüberprüfungssysteme bereitstellt, einem Unternehmen, das Kovalev im August gehackt hat, behauptet Müller.
8. November:
Entgegen den Vorhersagen von Experten und Meinungsforschern gewinnt Reality-TV-Star Donald Trump die Wahl und wird Präsident der Vereinigten Staaten.
WEITERLESEN: 16 Mal, als Bürger Trump Präsident Trump verbrannte
Was passiert jetzt?
Während dies zweifellos ein Meilenstein sowohl in der globalen Geopolitik als auch in der Cybersicherheit ist, haben viele Experten festgestellt, dass die Anklage gegen die 12 GRU-Agenten eine fast ausschließlich symbolische Geste ist und wahrscheinlich nicht zu Verhaftungen führen wird.
Russland hat keinen Auslieferungsvertrag mit den USA und ist daher nicht verpflichtet, die Angeklagten an Müller zu übergeben. Dies ist übrigens der gleiche Grund, warum der Whistleblower der NSA, Edward Snowden, seit einigen Jahren auf Russland beschränkt ist.
Einige Quellen haben vorgeschlagen, dass diese Anklagen als Warnung dienen und Russland (und die Welt) wissen lassen, dass die USA ihre Ermittlungen vorantreiben.
Durch Anklage kann die Staatsanwaltschaft die von der Grand Jury festgestellten Tatsachen und / oder Vorwürfe öffentlich zugänglich machen, sagte der Strafverteidiger Jean-Jacques Cabou Ars Technica . Hier kann die breite Öffentlichkeit ein Zielpublikum sein. Die Staatsanwaltschaft entsiegelt jedoch auch Anklagen, um eine Nachricht an andere Ziele zu senden.
Muellers Untersuchung wird voraussichtlich fortgesetzt.
Dieser Artikel erschien ursprünglich auf der Alphr-Schwesterseite IT Pro.
