Adam Shepherd tarafından
Donald Trump'ı zirveye taşımak için dünyanın en güçlü demokrasisini bozduğu iddia edilen 12 hacker'ın hikayesi
İki yıldan fazla süren suçlamalar, suçlamalar, inkarlar ve spekülasyonlardan sonra, özel avukat Robert Mueller'in 2016 ABD başkanlık seçimlerine olası müdahaleye yönelik soruşturması onu Rusya'ya götürdü. Adalet Bakanlığı, Rus devlet aktörlerinin seçimler üzerindeki etkisine yönelik geniş kapsamlı bir soruşturmanın parçası olarak, Rus askeri istihbaratının 12 üyesini çeşitli hackleme suçlarıyla resmen suçladı.
Devlet Başkanı Vladimir Putin, Rusya ve ajanları adına her türlü suçu reddetti ve Başkan Trump tarafından alenen desteklendi. ABD Temsilciler Meclisi sözcüsü Paul Ryan, çok sayıda kamuoyu ve siyasi figür ve hatta kendi ulusal istihbarat müdürü tarafından kınanmasına rağmen Trump, Rusya'nın seçimi etkilemeye çalışmasının bir nedenini görmediğini söyledi.
Ardından, istihbarat camiasının 2016 seçimlerine Rusya'nın karıştığı sonucunu kabul ettiğini, ancak başka insanlar da olabileceğini söyledi ve hiçbir şekilde gizli anlaşma olmadığı iddialarını yineledi.
İddialar, küresel sahnede artan Rus saldırganlığının bir arka planıyla karşı karşıyadır; ülke 2014'te zorla ele geçirdiği Kırım Yarımadası'nı hâlâ kontrol ediyor, Brexit referandumunda Oy Bırakma’nın zaferini düzenlemede parmağı olduğu iddiaları var ve İngiltere Rusya’yı ölümcül sinir ajanları kullanarak İngiliz topraklarında insanları zehirlemekle suçladı.
İlgili gör Bilgisayar Korsanları Tarafından Kullanılan İlk On Şifre Kırma Tekniği
Trump'ın protestolarına rağmen, siber güvenlik ve istihbarat toplulukları, Rusya'nın 2016 seçimini, istedikleri sonucu elde etmek için sofistike bir siber ve bilgi savaşı kampanyası kullanarak çaldığına neredeyse oybirliğiyle karar verdi.
Peki öyleyse, bunu nasıl yaptılar?
Rus ajanlar aleyhine düzenlenen iddianame sayesinde, saldırının iddia edildiği gibi nasıl gerçekleştirildiğine dair artık oldukça iyi bir fikrimiz var. Mueller'in dosyasında tarihler, yöntemler ve saldırı vektörleri gibi ayrıntılar yer alıyor ve bize tam olarak 12 Rus erkeğinin dünyanın en güçlü demokrasisini nasıl raydan çıkardığına dair ayrıntılı bir zaman çizelgesi oluşturmamıza olanak tanıyor. Bu makale, Mueller'in iddianamesinde belirtilen suçlamalara dayanarak bunun nasıl olabileceğini araştırıyor.
SONRAKİ OKUYUN: Rus hesapları 2016 seçim reklamlarına 76 bin sterlin harcadı
Hedefler
2016 seçimleri sırasında Rus hükümetinin hedefi açık görünüyor: Donald J Trump'ın ABD Başkanlığı görevine ne şekilde olursa olsun yükseltilmesini kolaylaştırmak.
Bunu yapabilmek için, Rusların rakip adayını yönetim kurulundan çıkarmanın bir yolunu bulmaları gerekiyordu, bu da onların sofistike ve uzun vadeli bir hackleme kampanyasıyla dört ana partiyi hedeflemelerine yol açtı.
DCCC
Demokratik Kongre Kampanya Komitesi (veya halk arasında bilindiği şekliyle 'D-gezisi'), mümkün olduğunca çok sayıda Demokratın ABD Temsilciler Meclisine seçilmesinden, kongre yarışlarındaki potansiyel adaylara destek, rehberlik ve finansman sağlamaktan sorumludur.
DNC
Birleşik Devletler Demokrat Partisi'nin yönetim organı olan Demokratik Ulusal Komite, Demokratların genel stratejisini organize etmekten ve her seçimde partinin başkan adayının adaylığını ve onayını organize etmekten sorumludur.
Hillary Clinton
Obama'nın eski Dışişleri Bakanı Hillary Clinton, 2016 seçimlerinde Bernie Sanders'ı yenerek Demokratların başkan adayı oldu ve onu Donald Trump ve Rus hükümetinin hedefine getirdi.
John Podesta
Uzun süredir DC siyasetinde deneyimli olan John Podesta, Hillary Clinton’ın 2016 başkanlık kampanyasının başkanlığını yapmadan önce önceki iki Demokrat başkanın altında hizmet vermiştir.
GRU Oniki
On iki şüpheli bilgisayar korsanının tümü, Rus hükümetinin seçkin yabancı istihbarat örgütü GRU için çalışıyor. Hepsi farklı rütbelerden subaylardır ve hepsi, özellikle seçimin gidişatını saptırmakla görevli birimlerin parçasıydı.
Mueller'in iddianamesine göre, Birim 26165, DNC, DCCC ve Clinton’ın kampanyasına bağlı kişileri hacklemekle görevliydi. Birim 74455, görünüşe göre gizli propagandacılar gibi davranmak, çalınan belgeleri sızdırmak ve çeşitli çevrimiçi kanallar aracılığıyla anti-Clinton ve anti-Demokrat içerik yayınlamakla görevlendirilmişti.
Güvenlik uzmanları, 2016'da ilk keşfedildiklerinde bu iki birime verilen kod adlarına daha aşina olabilir: Cozy Bear ve Fancy Bear.
İlgili 12 hackerın şunlar olduğu iddia ediliyor:
İsim Soyisim | Rol | Sıra |
Viktor Borisovich Netyksho | DNC ve diğer hedefleri hacklemekten sorumlu Birim 26165 Komutanı | Bilinmeyen |
Boris Alekseyevich Antonov | Birim 26165 için hedefli kimlik avı kampanyalarını denetledi | Majör |
Dmitry Sergeyevich Badin | Bölüm Başkan Yardımcısı Antonov | Bilinmeyen |
Ivan Sergeyevich Yermakov | Birim 26165 için bilgisayar korsanlığı operasyonları gerçekleştirildi | Bilinmeyen |
Aleksey Viktorovich Lukashev | Birim 26165 için hedefli kimlik avı saldırıları gerçekleştirildi | 2'ci Teğmen |
Sergey Aleksandrovich Morgachev | Birim 26165 için kötü amaçlı yazılım geliştirme ve yönetimini denetledi | Yarbay |
Nikolay Yuryevich Kozachek | Birim 26165 için kötü amaçlı yazılım geliştirildi | Yüzbaşı |
Pavel Vyacheslavovich Yershov | Birim 26165 için kötü amaçlı yazılım test edildi | Bilinmeyen |
Artem Andreyevich Malyshev | Birim 26165 için izlenen kötü amaçlı yazılım | 2'ci Teğmen |
Aleksandr Vladimirovich Osadchuk | 74455 Birim Komutanı, çalınan belgelerin sızdırılmasından sorumlu | Albay |
Aleksey Aleksandrovich Potemkin | BT altyapısının denetimli yönetimi | Bilinmeyen |
Anatoliy Sergeyevich Kovalev | Birim 74455 için bilgisayar korsanlığı operasyonları gerçekleştirildi | Bilinmeyen |
SONRAKİ OKUYUN: Verilerinizi hükümete açıklayan teknoloji şirketleri
Hack nasıl planlandı
Başarılı bir siber saldırının anahtarı planlama ve keşiftir, bu nedenle Birim 26165'in görevlileri için ilk görev, Clinton kampanyasının altyapısındaki zayıf noktaları - daha sonra sömürülecek zayıflıkları - tespit etmekti.
15 Mart:
Ivan Yermakov, bağlı cihazları tanımlamak için DNC'nin altyapısını taramaya başlar. Ayrıca DNC’nin ağına ve genel olarak Clinton ve Demokratlara yönelik araştırmalar yapmaya başlar.
19 Mart:
John Podesta, Aleksey Lukashev tarafından oluşturulduğu iddia edilen ve bir Google güvenlik uyarısı olarak gizlenen ve Rusların kişisel e-posta hesabına erişmesine olanak tanıyan bir hedefli kimlik avı e-postasına düşüyor. Aynı gün Lukashev, kampanya yöneticisi Robby Mook da dahil olmak üzere diğer üst düzey kampanya yetkililerini hedef almak için hedefli kimlik avı saldırıları kullanıyor.
21 Mart:
Podesta’nın kişisel e-posta hesabı Lukashev ve Yermakov tarafından temizlendi; toplamda 50.000'den fazla mesajla başarılı oluyorlar.
28 Mart:
Lukashev’in başarılı hedefli kimlik avı kampanyası, e-posta oturum açma kimlik bilgilerinin ve Clinton’ın kampanyasına bağlı çeşitli kişilerden gelen binlerce mesajın çalınmasına yol açar.
6 Nisan:
Ruslar, Clinton kampında tanınmış bir şahsiyet için, kişinin adından sadece bir harf farkla sahte bir e-posta adresi oluşturuyor. Bu e-posta adresi daha sonra Lukashev tarafından en az 30 farklı kampanya görevlisine kimlik avı yapmak için kullanılır ve bir DCCC çalışanı, oturum açma kimlik bilgilerini vermesi için kandırılır.
SONRAKİ OKUYUN: Google, Rusya'nın ABD seçimlerine karışmasının kanıtlarını nasıl ortaya çıkardı?
DNC nasıl ihlal edildi
İlk hazırlık çalışmaları şimdi tamamlandı, Ruslar, oldukça etkili bir hedef avcılık kampanyası sayesinde Demokratların ağında güçlü bir dayanak noktasına sahipti. Bir sonraki adım, daha fazla erişim elde etmek için bu dayanağı kullanmaktı.
7 Nisan:
Mart ayındaki ilk keşifte olduğu gibi Yermakov, DCCC'nin ağındaki bağlı cihazları araştırıyor.
12 Nisan:
Ruslar, farkında olmadan bir DCCC çalışanından çalınan kimlik bilgilerini kullanarak, DCCC'nin dahili ağlarına erişim elde eder. Nisan ve Haziran ayları arasında, en az on DCCC bilgisayarına uzaktan tuş kaydedilmesine ve virüs bulaşmış cihazların ekran görüntüsünün alınmasına olanak tanıyan 'X-Agent' adlı bir kötü amaçlı yazılımın çeşitli sürümlerini yüklerler.
Bu kötü amaçlı yazılım, etkilenen bilgisayarlardan verileri AMS paneli olarak adlandırdıkları Ruslar tarafından kiralanan bir Arizona sunucusuna iletir. Bu panelden, kötü amaçlı yazılımlarını uzaktan izleyebilir ve yönetebilirler.
14 Nisan:
Sekiz saatlik bir süre boyunca Ruslar, X-Agent'ı DCCC bağış toplama ve seçmen sosyal yardım programları için şifreleri çalmak, Mueller'in iddianame iddialarının yanı sıra kişisel bilgiler ve bankacılık ayrıntılarını içeren DCCC çalışanları arasındaki iletişimleri izlemek için kullanıyor. Görüşmeler aynı zamanda DCCC'nin mali durumuyla ilgili bilgileri de içerir.
15 Nisan:
Ruslar, saldırıya uğramış DCCC bilgisayarlarından birinde 'Hillary', 'Cruz' ve 'Trump' gibi çeşitli anahtar terimleri arıyor. Ayrıca, 'Bingazi Soruşturmaları' etiketli klasörler gibi önemli klasörleri de kopyalıyorlar.
18 Nisan:
chrome'da belirli çerezler nasıl silinir
DNC'nin ağı, DNC'nin sistemlerine erişim izni olan bir DCCC personelinin kimlik bilgilerini kullanarak erişim sağlayan Ruslar tarafından ihlal ediliyor.
19 Nisan:
Görünüşe göre Yershov ve Nikolay Kozachek, Arizona tabanlı AMS paneli ile X-Agent kötü amaçlı yazılımları arasındaki bağlantıyı gizlemek için bir aktarıcı görevi görmek üzere ABD dışında üçüncü bir bilgisayar kurdu.
22 Nisan:
DNC bilgisayarlardan çalınan birkaç gigabaytlık veri bir arşive sıkıştırılır. Bu veriler, muhalif araştırmaları ve saha operasyonları için planları içerir. Önümüzdeki hafta, Ruslar, şifrelenmiş bağlantılar aracılığıyla bu verileri DNC'nin ağından Illinois'deki başka bir kiralık makineye sızdırmak için başka bir özel kötü amaçlı yazılım parçası olan 'X-Tunnel' kullanıyor.
13 Mayıs:
Mayıs ayının bir noktasında, hem DNC hem de DCCC, güvenliklerinin ihlal edildiğinin farkına varır. Kuruluşlar, bilgisayar korsanlarını sistemlerinden çıkarmak için siber güvenlik firması CrowdStrike'ı işe alırken, Ruslar, belirli DNC makinelerinden olay günlüklerini temizlemek gibi faaliyetlerini gizlemek için adımlar atmaya başlıyor.
25 Mayıs:
Bir hafta boyunca Rusların, DNC’nin Microsoft Exchange Sunucusunu hackledikten sonra DNC çalışanlarının iş hesaplarından binlerce e-posta çaldığı iddia edilirken, Yermakov da Exchange Server’a erişmek ve çalıştırmak için PowerShell komutlarını araştırıyor.
31 Mayıs:
Yermakov, muhtemelen şirketin ne kadar bildiğini görmek amacıyla CrowdStrike ve X-Agent ve X-Tunnel üzerine araştırma yapmaya başlar.
1 Haziran:
Ertesi gün, Ruslar, sabit disk alanını boşaltmak için tasarlanmış ücretsiz bir araç olan CCleaner'ı DCCC'nin ağındaki faaliyetlerinin kanıtlarını yok etmek için kullanmaya çalıştı.
SONRAKİ OKUYUN: Rusya, resmi sırları çalmak amacıyla küresel bir bilgisayar korsanlığı kampanyasının arkasında mı?
Guccifer 2.0'ın doğuşu
Ruslar şimdi DNC'den önemli miktarda veri kaçırdılar. Bu bilgiler, Podesta’nın kişisel e-postalarının hazinesiyle birleştiğinde, onlara Clinton’ın kampanyasına saldırmak için ihtiyaç duydukları tüm cephaneyi verir.
8 Haziran:
DCLeaks.com, Ruslar tarafından iddia edildiği gibi, eşleşen Facebook sayfaları ve Twitter hesaplarıyla birlikte, Podesta ve DNC'den çaldıkları materyalleri yaymanın bir yolu olarak açıldı. Site, Amerikalı bilgisayar korsanları tarafından yönetildiğini iddia ediyor, ancak Mueller'in iddianamesi bunun bir yalan olduğunu iddia ediyor.
14 Haziran:
CrowdStrike ve DNC, örgütün saldırıya uğradığını ortaya koyuyor ve Rus hükümetini alenen suçluyor. Rusya saldırıya her türlü müdahaleyi reddediyor. Haziran ayı boyunca CrowdStrike, saldırıyı azaltmak için harekete geçmeye başlar.
15 Haziran:
Mueller, CrowdStrike’ın suçlamasına yanıt olarak, Rusların saldırılara karışması konusunda şüphe uyandırmayı amaçlayan bir sis perdesi olarak Guccifer 2.0 karakterini yarattığını iddia ediyor. Tek bir Rumen hacker gibi davranan Rus ekibi, saldırının sorumluluğunu üstlenir.
Guccifer kimdir?
Guccifer 2.0, Rus ajanlar tarafından yaratılmış hayali bir kişilik olsa da, aslında gerçek bir kişiye dayanıyor. Orijinal Guccifer, kardeşinin AOL hesabından saldırıya uğrayan George W. Bush'un fotoğraflarını yayınladıktan sonra 2013 yılında ün kazanan gerçek bir Rumen hacker'dı. Adı, 'Gucci' ve 'Lucifer' in bir portmanteau olduğunu söylüyor.
Sonunda bir dizi Romen yetkiliyi hacklediği şüphesiyle tutuklandı ve ABD'ye iade edildi. Ruslar, muhtemelen, Mayıs ayında federal suçlamaları zaten kabul etmiş olmasına rağmen, yetkililerin Guccifer 2.0'ın eylemlerinin arkasında olduğunu varsayacaklarını umuyorlardı.
20 Haziran:
Bu noktada, Ruslar 33 DNC uç noktasına erişim sağladı. Bu arada CrowdStrike, X-Agent'ın tüm örneklerini DCCC'nin ağından kaldırdı - ancak X-Agent'ın en az bir sürümü Ekim ayına kadar DNC'nin sistemlerinde aktif kalacak.
Ruslar, DCCC ağı ile X-Agent örneklerine bağlanmaya ve daha önce çalınan kimlik bilgilerini kullanarak ona erişmek için başarısız bir şekilde yedi saatten fazla zaman harcıyorlar. Ayrıca, tüm oturum açma geçmişi ve kullanım verileri dahil olmak üzere AMS panelinin etkinlik günlüklerini temizlerler.
22 Haziran:
İddiaya göre WikiLeaks, Guccifer 2.0'a Clinton ve Demokratlarla ilgili her türlü yeni materyali göndermelerini talep eden özel bir mesaj göndererek, yaptığınız şeyden çok daha büyük bir etkiye sahip olacağını belirtti.
18 Temmuz:
WikiLeaks, çalınan DNC verilerinin 1 GB'lık bir arşivinin alındığını onaylar ve hafta içinde yayınlanacağını belirtir.
22 Temmuz:
Sözüne sadık olarak WikiLeaks, Demokratik Ulusal Kongre'den sadece iki gün önce DNC'den çalınan 20.000'den fazla e-posta ve belge yayınladı. WikiLeaks tarafından yayınlanan en son e-postanın tarihi 25 Mayıs - DNC’nin Exchange Sunucusunun saldırıya uğradığı gün yaklaşık olarak aynı.
SONRAKİ OKUYUN: WikiLeaks, CIA'nın sahiplerini gözetlemek için akıllı TV'leri kullanabileceğini söylüyor
27 Temmuz:
Bir basın toplantısı sırasında, başkan adayı Donald Trump doğrudan ve özellikle Rus hükümetinden Clinton’ın kişisel e-postalarının bir dilimini bulmasını talep ediyor.
Aynı gün, Ruslar Clinton’ın kişisel ofisi tarafından kullanılan ve üçüncü taraf bir sağlayıcı tarafından barındırılan e-posta hesaplarını hedef aldı.
15 Ağu:
WikiLeaks'e ek olarak, Guccifer 2.0 ayrıca bir dizi başka yararlanıcıya çalınan bilgiler sağlar. Görünüşe göre bu, rakibi ile ilgili bilgi isteyen bir ABD kongre adayını da içeriyor. Bu dönemde Ruslar, Trump kampanyasının en iyi üyeleriyle düzenli temas halinde olan bir kişiyle iletişim kurmak için Guccifer 2.0'ı da kullanıyorlar.
22 Ağu:
Guccifer 2.0, 2,5 GB çalınan veri (bağışçı kayıtları ve 2.000'den fazla Demokrat bağışçı hakkında kişisel olarak tanımlanabilen bilgiler dahil) o zaman kayıtlı bir devlet lobicisine ve çevrimiçi siyasi haber kaynağına gönderir.
Yedi:
Eylül ayının bir noktasında Ruslar, DNC veri analitiği için test uygulamaları içeren bir bulut hizmetine erişim kazanıyor. Bulut hizmetinin kendi yerleşik araçlarını kullanarak, sistemlerin anlık görüntülerini oluşturur ve ardından bunları kontrol ettikleri hesaplara aktarırlar.
7 Ekim:
WikiLeaks, Podesta’nın ilk e-postalarını yayınlayarak medyada tartışmalara ve kargaşaya yol açtı. Önümüzdeki ay, organizasyon Lukashev tarafından hesabından çalındığı iddia edilen 50.000 e-postanın tamamını yayınlayacak.
28 Ekim:
Kovalev ve yoldaşları, Mueller'in iddianame eyaletleri olan Florida, Georgia ve Iowa gibi önemli eyaletlerdeki seçimleri yönetmekten sorumlu eyalet ve il ofislerini hedef alıyor.
Kasım:
Kasım ayının ilk haftasında, seçimlerden hemen önce, Kovalev sahte bir e-posta hesabı kullanarak 100'den fazla hedefe saldırmak Florida'daki seçimleri yönetme ve denetleme sürecine dahil olan - Trump'ın% 1,2 oranında kazandığı. Mueller, e-postaların, Kovalev'in Ağustos ayında hacklediği bir şirket olan seçmen doğrulama sistemleri sağlayan bir yazılım satıcısından gelmiş gibi görünecek şekilde tasarlandığını iddia ediyor.
8 Kasım:
Uzmanların ve anketörlerin tahminlerinin aksine, reality TV yıldızı Donald Trump seçimi kazanır ve Amerika Birleşik Devletleri Başkanı olur.
SONRAKİ OKUYUN: Vatandaş Trump'ın Başkan Trump'ı yaktığı 16 kez
Şimdi ne olacak?
Bu, hem küresel jeopolitik hem de siber güvenlik açısından tartışmasız bir dönüm noktası anı olsa da, birçok uzman 12 GRU ajanının iddianamesinin neredeyse tamamen sembolik bir jest olduğunu ve tutuklamalara yol açma ihtimalinin düşük olduğunu belirtti.
Rusya'nın ABD ile iade anlaşması yok, bu yüzden suçlanan kişileri Mueller'e teslim etme yükümlülüğü yok. Bu, tesadüfen, NSA ihbarcı Edward Snowden'ın son birkaç yıldır Rusya ile sınırlı kalmasının nedeniyle aynı.
Bazı kaynakların öne sürdüğü gibi, niyet, bu iddianamelerin bir uyarı olarak hareket etmesi ve Rusya'nın (ve dünyanın) ABD'nin soruşturmasını ilerlettiğini bilmesini sağlamaktır.
Ceza savunma avukatı Jean-Jacques Cabou, iddia makamının büyük jüri tarafından bulunan gerçekleri ve / veya iddiaları kamuya açık hale getirebileceğini söyledi. Ars Technica . Burada, genel olarak halk, amaçlanan bir izleyici olabilir. Ancak savcılar, diğer hedeflere mesaj göndermek için iddianameleri de kaldırıyor.
Mueller'in soruşturmasının devam etmesi bekleniyor.
Bu makale ilk olarak Alphr kardeş sitesi IT Pro'da yayınlandı.