Por Adam Shepherd
A história de como 12 hackers supostamente corromperam a democracia mais poderosa do mundo para colocar Donald Trump no topo
Depois de mais de dois anos de acusações, recriminações, negações e especulações, a investigação do advogado especial Robert Mueller sobre uma possível interferência na eleição presidencial dos EUA de 2016 o levou à Rússia. Como parte de uma ampla investigação sobre a influência dos atores estatais russos nas eleições, o Departamento de Justiça acusou formalmente 12 membros da inteligência militar russa por vários crimes de hacking.
O presidente Vladimir Putin negou todas as irregularidades em nome da Rússia e seus agentes e foi apoiado publicamente pelo presidente Trump. Apesar da condenação do porta-voz da Câmara dos Deputados dos Estados Unidos, Paul Ryan, de várias figuras públicas e políticas e até de seu próprio diretor de inteligência nacional, Trump disse que não vê nenhuma razão para a Rússia tentar influenciar as eleições.
Ele posteriormente retrocedeu nessa afirmação, afirmando que aceita as conclusões da comunidade de inteligência de que a Rússia se intrometeu nas eleições de 2016, mas também disse que poderia ser outras pessoas também, reiterando suas alegações de que não houve conluio algum.
As alegações têm como pano de fundo a crescente agressão russa no cenário global; o país ainda controla a Península da Criméia que tomou à força em 2014, há alegações de que teve participação na orquestração da vitória da Licença de Voto no referendo do Brexit, e o Reino Unido acusou a Rússia de envenenar pessoas em solo britânico usando agentes nervosos mortais.
Ver relacionados As dez principais técnicas de quebra de senhas usadas por hackers
Apesar dos protestos de Trump, as comunidades de cibersegurança e inteligência concordam quase que unanimemente que a Rússia roubou as eleições de 2016, usando uma campanha de guerra cibernética e de informação sofisticada para garantir o resultado que desejavam.
Mas se sim, como eles fizeram isso?
Graças à acusação emitida contra os agentes russos, agora temos uma boa ideia de como o hack foi supostamente executado. O registro de Mueller inclui detalhes como datas, métodos e vetores de ataque, o que nos permite construir uma linha do tempo detalhada de como exatamente 12 homens russos podem ter destruído a democracia mais poderosa do mundo. Este artigo explora como isso poderia ter acontecido, com base nas acusações descritas na acusação de Mueller.
LEIA A SEGUINTE: as contas russas gastaram £ 76.000 em anúncios eleitorais de 2016
Os alvos
O objetivo do governo russo durante as eleições de 2016 parece claro: facilitar a elevação de Donald J Trump ao cargo de Presidente dos Estados Unidos, por todos os meios necessários.
Para fazer isso, os russos precisavam encontrar uma maneira de tirar seu candidato rival do conselho, o que os levou a atacar quatro partidos principais com uma campanha de hacking sofisticada e de longo prazo.
DCCC
O Comitê Democrata da Campanha do Congresso (ou 'D-trip', como é coloquialmente conhecido) é responsável por fazer com que tantos democratas sejam eleitos para a Câmara dos Representantes dos EUA quanto possível, fornecendo apoio, orientação e financiamento para candidatos em potencial em disputas pelo Congresso.
DNC
O órgão governante do Partido Democrata dos Estados Unidos, o Comitê Nacional Democrata é responsável por organizar a estratégia geral dos democratas, bem como organizar a nomeação e confirmação do candidato presidencial do partido em cada eleição.
Hillary Clinton
A ex-secretária de Estado de Obama, Hillary Clinton derrotou Bernie Sanders para se tornar o candidato presidencial dos democratas na eleição de 2016, levando-a para a mira de Donald Trump e do governo russo.
John Podesta
Um veterano de longa data da política de DC, John Podesta serviu aos dois presidentes democratas anteriores, antes de atuar como presidente da campanha presidencial de 2016 de Hillary Clinton.
Os Doze GRU
Todos os doze suspeitos de serem hackers trabalham para a GRU - a organização de inteligência estrangeira de elite do governo russo. Todos são oficiais militares de várias patentes e todos faziam parte de unidades com a tarefa específica de perverter o curso da eleição.
De acordo com a acusação de Mueller, a Unidade 26165 estava encarregada de hackear o DNC, DCCC e indivíduos afiliados à campanha de Clinton. A unidade 74455 foi aparentemente encarregada de atuar como propagandistas secretos, vazando documentos roubados e publicando conteúdo anti-Clinton e anti-democrata por meio de vários canais online.
Os profissionais de segurança podem estar mais familiarizados com os codinomes dados a essas duas unidades quando foram descobertas pela primeira vez em 2016: Cozy Bear e Fancy Bear.
Os 12 hackers envolvidos são:
| Nome | Função | Classificação |
| Viktor Borisovich Netyksho | Comandante da Unidade 26165, responsável por hackear DNC e outros alvos | Desconhecido |
| Boris Alekseyevich Antonov | Supervisionar campanhas de spearphishing para a Unidade 26165 | Maior |
| Dmitry Sergeyevich Badin | Chefe Adjunto do Departamento de Antonov | Desconhecido |
| Ivan Sergeyevich Yermakov | Conduziu operações de hacking para a Unidade 26165 | Desconhecido |
| Aleksey Viktorovich Lukashev | Ataques de spearphishing conduzidos para a Unidade 26165 | 2o tenente |
| Sergey Aleksandrovich Morgachev | Supervisionar o desenvolvimento e gerenciamento de malware para a Unidade 26165 | tenente-coronel |
| Nikolay Yuryevich Kozachek | malwares desenvolvidos para a Unidade 26165 | Tenente Capitão |
| Pavel Vyacheslavovich Yershov | malwares testados para a Unidade 26165 | Desconhecido |
| Artem Andreyevich Malyshev | malwares monitorado pela Unidade 26165 | 2o tenente |
| Aleksandr Vladimirovich Osadchuk | Comandante da Unidade 74455, responsável pelo vazamento de documentos roubados | Coronel |
| Aleksey Aleksandrovich Potemkin | Administração supervisionada da infraestrutura de TI | Desconhecido |
| Anatoliy Sergeyevich Kovalev | Conduziu operações de hacking para a Unidade 74455 | Desconhecido |
LEIA EM SEGUIDA: As empresas de tecnologia divulgando seus dados para o governo
Como o hack foi planejado
A chave para qualquer ataque cibernético bem-sucedido é o planejamento e o reconhecimento, então a primeira tarefa para os operativos da Unidade 26165 foi identificar os pontos fracos na infraestrutura da campanha de Clinton - pontos fracos que podem então ser explorados.
15 de março:
Ivan Yermakov começa a escanear a infraestrutura do DNC para identificar os dispositivos conectados. Ele também começa a conduzir pesquisas na rede do DNC, bem como pesquisas sobre Clinton e os democratas em geral.
19 de março:
John Podesta se apaixona por um e-mail de spearphishing supostamente criado por Aleksey Lukashev e disfarçado como um alerta de segurança do Google, dando aos russos acesso à sua conta de e-mail pessoal. No mesmo dia, Lukashev usa ataques de spearphishing para atingir outros oficiais seniores da campanha, incluindo o gerente de campanha Robby Mook.
21 de março:
A conta de e-mail pessoal de Podesta é limpa por Lukashev e Yermakov; eles escapam com mais de 50.000 mensagens no total.
28 de março:
A campanha de spearphishing bem-sucedida de Lukashev leva ao roubo de credenciais de login de e-mail e milhares de mensagens de várias pessoas conectadas à campanha de Clinton.
6 de abril:
Os russos criaram um endereço de e-mail falso para uma figura conhecida no campo de Clinton, com apenas uma letra de diferença do nome da pessoa. Este endereço de e-mail é então usado por Lukashev para spear phish em pelo menos 30 funcionários de campanha diferentes, e uma funcionária da DCCC é induzida a entregar suas credenciais de login.
LEIA A SEGUINTE: Como o Google descobriu evidências de interferência nas eleições russas nos EUA
Como o DNC foi violado
Com o trabalho de preparação inicial concluído, os russos tinham uma forte presença na rede dos democratas graças a uma campanha de caça submarina altamente eficaz. A próxima etapa foi alavancar esse ponto de apoio para obter mais acesso.
7 de abril:
Assim como no reconhecimento inicial em março, Yermakov pesquisa dispositivos conectados na rede do DCCC.
12 de abril:
Usando credenciais roubadas de um funcionário involuntário da DCCC, os russos ganham acesso às redes internas da DCCC. Entre abril e junho, eles instalam várias versões de um malware chamado ‘X-Agent’ - que permite keylogging remoto e captura de tela de dispositivos infectados - em pelo menos dez computadores DCCC.
Esse malware transmite dados de computadores afetados para um servidor do Arizona alugado pelos russos, que eles chamam de painel AMS. Nesse painel, eles podem monitorar e gerenciar remotamente seu malware.
14 de abril:
Ao longo de um período de oito horas, os russos usam o X-Agent para roubar senhas para programas de arrecadação de fundos e eleitores da DCCC, alegações de acusação de Mueller, bem como para monitorar as comunicações entre os funcionários da DCCC que incluíam informações pessoais e dados bancários. As conversas também incluem informações sobre as finanças da DCCC.
15 de abril:
Os russos procuram vários termos-chave em um dos PCs DCCC hackeados, incluindo ‘Hillary’, ‘Cruz’ e ‘Trump’. Eles também copiam pastas-chave, como uma rotulada como ‘Investigações de Benghazi’.
18 de abril:
como você faz papel no minecraft
A rede do DNC é violada pelos russos, que obtêm acesso usando as credenciais de um funcionário do DCCC com permissão para acessar os sistemas do DNC.
19 de abril:
Yershov e Nikolay Kozachek aparentemente configuraram um terceiro computador fora dos EUA, para atuar como um retransmissor entre o painel AMS baseado no Arizona e o malware X-Agent, a fim de ofuscar a conexão entre os dois.
22 de abril:
Vários gigabytes de dados roubados de PCs DNC são compactados em um arquivo. Esses dados incluem pesquisas de oposição e planos para operações de campo. Na semana seguinte, os russos usam outro malware personalizado - ‘X-Tunnel’ - para exfiltrar esses dados da rede do DNC para outra máquina alugada em Illinois, por meio de conexões criptografadas.
13 de maio:
Em algum momento durante o mês de maio, tanto o DNC quanto o DCCC ficam cientes de que foram comprometidos. As organizações contratam a empresa de segurança cibernética CrowdStrike para eliminar os hackers de seus sistemas, enquanto os russos começam a tomar medidas para ocultar suas atividades, como limpar os logs de eventos de certas máquinas DNC.
25 de maio:
Ao longo de uma semana, os russos supostamente roubaram milhares de e-mails das contas de trabalho dos funcionários do DNC após invadir o Microsoft Exchange Server do DNC, enquanto Yermakov pesquisa comandos do PowerShell para acessar e executar o Exchange Server.
31 de maio:
Yermakov começa a conduzir pesquisas sobre CrowdStrike e sua investigação sobre o X-Agent e o X-Tunnel, provavelmente em um esforço para ver o quanto a empresa sabe.
1 de junho:
No dia seguinte, os russos tentam usar CCleaner - uma ferramenta freeware projetada para liberar espaço no disco rígido - para destruir evidências de sua atividade na rede do DCCC.
LEIA EM SEGUIDA: A Rússia está por trás de uma campanha global de hackers para roubar segredos oficiais?
O nascimento de 2,0 Guccifer
Os russos já exfiltraram uma quantidade substancial de dados do DNC. Essa informação, combinada com o tesouro dos e-mails pessoais de Podesta, dá a eles toda a munição de que precisam para atacar a campanha de Clinton
8 de junho:
DCLeaks.com é lançado, supostamente pelos russos, junto com as páginas correspondentes do Facebook e contas do Twitter, como uma forma de divulgar o material que eles roubaram de Podesta e do DNC. O site afirma ser administrado por hacktivistas americanos, mas a acusação de Mueller afirma que isso é uma mentira.
14 de junho:
CrowdStrike e o DNC revelam que a organização foi hackeada e acusam publicamente o governo russo. Rússia nega qualquer envolvimento com o ataque. Ao longo de junho, o CrowdStrike começa a agir para mitigar o hack.
15 de junho:
Em resposta à acusação de CrowdStrike, os russos criaram o personagem Guccifer 2.0 como uma cortina de fumaça, afirma Mueller, com o objetivo de semear dúvidas sobre o envolvimento russo nos hacks. Posando como um único hacker romeno, a equipe de russos leva o crédito pelo ataque.
Apenas quem é Guccifer?
Embora Guccifer 2.0 seja uma persona fictícia criada por operativos russos, na verdade é baseado em uma pessoa real. O Guccifer original era um hacker romeno genuíno que ganhou notoriedade em 2013 após divulgar fotos de George W. Bush que haviam sido hackeadas da conta AOL de sua irmã. O nome, diz ele, é uma mala de viagem de ‘Gucci’ e ‘Lúcifer’.
Ele acabou sendo preso sob suspeita de hackear uma série de funcionários romenos e extraditado para os Estados Unidos. Os russos presumivelmente esperavam que as autoridades presumissem que ele também estava por trás das ações do Guccifer 2.0, apesar de já ter se declarado culpado de acusações federais em maio.
20 de junho:
Neste ponto, os russos ganharam acesso a 33 terminais DNC. CrowdStrike, por sua vez, eliminou todas as instâncias do X-Agent da rede do DCCC - embora pelo menos uma versão do X-Agent permanecerá ativa nos sistemas do DNC até outubro.
Os russos passam mais de sete horas tentando sem sucesso se conectar às instâncias do X-Agent com a rede DCCC, bem como tentando usar credenciais roubadas anteriormente para acessá-la. Eles também eliminam os registros de atividades do painel AMS, incluindo todo o histórico de login e dados de uso.
22 de junho:
O WikiLeaks supostamente envia uma mensagem privada ao Guccifer 2.0 solicitando que enviem qualquer novo material relacionado a Clinton e aos democratas, afirmando que terá um impacto muito maior do que o que você está fazendo.
18 de julho:
O WikiLeaks confirma o recebimento de um arquivo de 1 GB de dados DNC roubados e afirma que será lançado dentro de uma semana.
22 de julho:
Fiel à sua palavra, o WikiLeaks libera mais de 20.000 e-mails e documentos roubados do DNC, apenas dois dias antes da Convenção Nacional Democrata. O e-mail mais recente divulgado pelo WikiLeaks data de 25 de maio - aproximadamente o mesmo dia em que o Exchange Server do DNC foi hackeado.
LEIA A SEGUINTE: WikiLeaks diz que a CIA pode usar TVs inteligentes para espionar proprietários
27 de julho:
Durante uma coletiva de imprensa, o candidato presidencial Donald Trump solicita direta e especificamente ao governo russo que localize uma parcela dos e-mails pessoais de Clinton.
No mesmo dia, os russos buscam contas de e-mail usadas pelo escritório pessoal de Clinton e hospedadas por um provedor terceirizado.
15 de agosto:
Além do WikiLeaks, o Guccifer 2.0 também fornece informações roubadas a vários outros beneficiários. Isso aparentemente inclui um candidato ao Congresso dos EUA, que pede informações sobre seu oponente. Durante este período, os russos também estão usando o Guccifer 2.0 para se comunicar com um indivíduo que está em contato regular com os principais membros da campanha Trump.
22 de agosto:
O Guccifer 2.0 envia 2,5 GB de dados roubados (incluindo registros de doadores e informações de identificação pessoal sobre mais de 2.000 doadores democratas) para um lobista estadual registrado e fonte online de notícias políticas.
Sete:
Em algum momento de setembro, os russos ganham acesso a um serviço em nuvem que contém aplicativos de teste para análise de dados DNC. Usando as próprias ferramentas integradas do serviço de nuvem, eles criam instantâneos dos sistemas e, em seguida, os transferem para contas que controlam.
7 de outubro:
O WikiLeaks lança o primeiro lote de e-mails de Podesta, gerando polêmica e tumulto na mídia. No próximo mês, a organização divulgará todos os 50.000 e-mails supostamente roubados de sua conta por Lukashev.
28 de outubro:
Kovalev e seus camaradas visam escritórios estaduais e municipais responsáveis por administrar as eleições em estados decisivos, incluindo Flórida, Geórgia e Iowa, os estados de acusação de Mueller.
Nov:
Na primeira semana de novembro, pouco antes das eleições, Kovalev usa uma conta de e-mail falsificada para spear phish em 100 alvos que estão envolvidos na administração e supervisão das eleições na Flórida - onde Trump venceu por 1,2%. Os e-mails são projetados para parecer que vieram de um fornecedor de software que fornece sistemas de verificação de eleitores, uma empresa que Kovalev hackeado em agosto, afirma Mueller.
8 de novembro:
Ao contrário das previsões de especialistas e pesquisadores, o astro dos reality shows Donald Trump vence a eleição e se torna presidente dos Estados Unidos.
LEIA O SEGUINTE: 16 vezes em que o cidadão Trump queimou o presidente Trump
O que acontece agora?
Embora este seja, sem dúvida, um momento marcante tanto na geopolítica global quanto na cibersegurança, muitos especialistas notaram que a acusação dos 12 agentes do GRU é um gesto quase totalmente simbólico e provavelmente não levará a prisões.
A Rússia não tem tratado de extradição com os EUA, então não tem obrigação de entregar os acusados a Mueller. Esse, aliás, é o mesmo motivo pelo qual o denunciante da NSA, Edward Snowden, esteve confinado à Rússia nos últimos anos.
A intenção, sugeriram algumas fontes, é que essas acusações funcionem como um alerta, informando à Rússia (e ao mundo) que os EUA estão avançando com sua investigação.
Ao instaurar, a acusação pode colocar em domínio público os fatos e / ou alegações encontrados pelo grande júri, disse o advogado de defesa criminal Jean-Jacques Cabou Ars Technica . Aqui, o público em geral pode ser um público-alvo. Mas os promotores também revelam as acusações para enviar uma mensagem a outros alvos.
A investigação de Mueller deverá continuar.
Este artigo apareceu originalmente no site irmão da Alphr, IT Pro.
