bijlinda
18th July 2018, 23:10
Russische hackers hadden het verbazend makkelijk
Hoe moeilijk was het voor Russische hackers om binnen te dringen op het netwerk van de Democratische Partij en er e-mails en andere gevoelige documenten te stelen? Verbazend simpel, blijkt uit de details die speciaal aanklager Robert Mueller achterhaalde.
Vrijdag maakte Robert Mueller een nieuwe reeks aanklachten bekend in zijn onderzoek naar Russische inmenging in de Amerikaanse verkiezingen. Uit die aanklacht, tegen twaalf Russische agenten, blijkt alweer hoe nauwgezet Mueller te werk gaat. We kunnen stap voor stap volgen hoe deze twaalf agenten tientallen medewerkers van de Democratische Partij bestoken met ‘phishing’ mails. Zo dringen ze geleidelijk door tot in het hart van het netwerk van de partij, waar ze documenten stelen. Die worden vervolgens op weloverwogen manier en op het juiste moment gepubliceerd.
De hackers maakten deel uit van ‘Eenheid 26165’, een onderdeel van de militaire inlichtingendienst GRU, leren we uit de aanklacht. Aan het hoofd staat Viktor Netyksjo, maar de operatie tegen Hillary Clinton wordt geleid door Majoor Boris Antonov. Het verspreiden van de gestolen documenten gebeurt door een andere groep, ‘Eenheid 74455’.
Hoe ging Eenheid 26165 te werk? Veel high-tech spionnenwerk kwam er niet aan te pas, wel simpele, beproefde ‘spear phishing’ technieken. Dat is misschien wel de meest onthutsende conclusie van de Amerikaanse aanklacht. Het zijn net dezelfde technieken waarmee oplichters ook in België proberen ons onze wachtwoorden, en indien mogelijk ook ons geld, afhandig te maken.
Een beetje terminologie eerst: bij ‘phishing’ sturen booswichten vaak duizenden mails tegelijk uit naar willekeurige slachtoffers, in de hoop bijvoorbeeld wachtwoorden buit te maken of pc’s te besmetten met malware. ‘Spear phishing’ is gericht op een bepaalde persoon of organisatie, met misleidende mails die op maat zijn gemaakt.
De valse Google-mail
Kent u die mails waarin u wordt gemeld dat er een beveiligingsprobleem is, bijvoorbeeld met uw Google account? John Podesta, de voorzitter van de verkiezingscampagne van Hillary Clinton, kreeg er zo een op 19 maart 2016. De mail vroeg hem om een link te volgen, om daar zijn wachtwoord te veranderen. De link was gecamoufleerd via een URL-afkorter, zodat het niet meteen opviel dat hij leidde naar een valse website van de GRU. Podesta tikte zijn wachtwoord in op een site die eruitzag als Gmail. Twee dagen later werden 50.000 van zijn emails geroofd. (Die mails werden in oktober 2016, in de onmiddellijke aanloop naar de verkiezingen, gelekt via Wikileaks).
De Russen van Eenheid 26165 stuurden gelijkaardige mails naar andere toplui van de Clinton-campagne, en bij minstens twee daarvan was het prijs.
Zich voordoen als een collega
Op 6 april 2016 creëerden de Russen een e-mailadres dat leek op dat van een Clinton-medewerker – er was maar één letter verschil. Ook dat is een beproefde spear phishing truc: de phishing mail ziet eruit alsof hij komt van iemand die je vertrouwt. Vanuit dat onverdachte adres stuurden ze mails naar meer dan 30 campagnemedewerkers. De mail bevatte een link naar wat een peiling over Hillary Clinton leek te zijn: het rekenblad ‘hillary-clinton-favorable-rating.xlsx’. De link leidde, opnieuw, naar een website van de Russen.
Via de zwakste schakel
Op 12 april krijgt een werknemer van het Democratic Congressional Campaign Committee (DCCC), een deelorganisatie van de Democratische Partij, ook een phishing mail. Ze klikt op de link, vult haar wachtwoord in en hop – de Russen hebben nu toegang tot het netwerk van het DCCC. Dat wordt dan hun springplank naar het netwerk van de Democratische Partij zelf, het Democratic National Committee of DNC.
Tussen april en juni slagen de Russen erin om minstens tien computers op het DCCC netwerk te besmetten met door henzelf ontwikkelde malware, X-Agent. Die malware houdt nauwlettend in de gaten wat DCCC-werknemers op hun eigen computer doen, inbegrepen de wachtwoorden die ze intikken. X-Agent stuurt al die gegevens door naar een server van de GRU in Arizona. Eén van die werknemers heeft een wachtwoord om toegang te krijgen tot het netwerk van het DNC zelf. Bingo! Op 18 april is Eenheid 26165 ook op het DNC-netwerk doorgedrongen.
Alles leegroven
Ook het DNC-netwerk wordt besmet met X-Agent, dat documenten en andere informatie begint te verzamelen over de campagne van Clinton. Vervolgens worden de gestolen documenten via een versleutelde verbinding (zodat ze niet detecteerbaar zijn) doorgestuurd naar een server van de GRU in Illinois. Tussen 25 mei en 1 juni kraken de Russen de mailserver van het DNC, ze hebben nu ook toegang tot alle mails.
En lekken maar…
Op 8 juni publiceren de Russen een lading gestolen emails op de website DCleaks.com, die ze zelf hebben opgericht (zich voordoend als ‘Amerikaanse hacktivisten’). De website wordt gepromoot via valse Facebook-accounts.
Om hun sporen te verbergen, creëren de Russen een fictieve Roemeense hacker: Guccifer 2.0. Onder die naam corresponderen ze onder meer met een politicus, een lobbyist en een journalist (die niet bij naam worden genoemd), en met een persoon die ’in regelmatig contact’ stond met de campagne van Donald Trump (dat zou Roger Stone zijn).
Op 14 juli stuurt ‘Guccifer 2.0’ een archief van gestolen DNC-documenten door naar Wikileaks, dat ze op 22 juli publiceert. Vanaf 7 oktober volgen de eerder gestolen Podesta-mails. Die bevatten enkele gênante fragmenten uit speeches die Hillary Clinton voor Wall Street-bedrijven gaf. En dat blijkt voldoende om de aandacht van de pers af te leiden van de op dezelfde dag gepubliceerde ‘grab ‘m by the pussy’ tape van Trump.
DS, 17-07-2018 (Dominique Deckmyn)
Hoe moeilijk was het voor Russische hackers om binnen te dringen op het netwerk van de Democratische Partij en er e-mails en andere gevoelige documenten te stelen? Verbazend simpel, blijkt uit de details die speciaal aanklager Robert Mueller achterhaalde.
Vrijdag maakte Robert Mueller een nieuwe reeks aanklachten bekend in zijn onderzoek naar Russische inmenging in de Amerikaanse verkiezingen. Uit die aanklacht, tegen twaalf Russische agenten, blijkt alweer hoe nauwgezet Mueller te werk gaat. We kunnen stap voor stap volgen hoe deze twaalf agenten tientallen medewerkers van de Democratische Partij bestoken met ‘phishing’ mails. Zo dringen ze geleidelijk door tot in het hart van het netwerk van de partij, waar ze documenten stelen. Die worden vervolgens op weloverwogen manier en op het juiste moment gepubliceerd.
De hackers maakten deel uit van ‘Eenheid 26165’, een onderdeel van de militaire inlichtingendienst GRU, leren we uit de aanklacht. Aan het hoofd staat Viktor Netyksjo, maar de operatie tegen Hillary Clinton wordt geleid door Majoor Boris Antonov. Het verspreiden van de gestolen documenten gebeurt door een andere groep, ‘Eenheid 74455’.
Hoe ging Eenheid 26165 te werk? Veel high-tech spionnenwerk kwam er niet aan te pas, wel simpele, beproefde ‘spear phishing’ technieken. Dat is misschien wel de meest onthutsende conclusie van de Amerikaanse aanklacht. Het zijn net dezelfde technieken waarmee oplichters ook in België proberen ons onze wachtwoorden, en indien mogelijk ook ons geld, afhandig te maken.
Een beetje terminologie eerst: bij ‘phishing’ sturen booswichten vaak duizenden mails tegelijk uit naar willekeurige slachtoffers, in de hoop bijvoorbeeld wachtwoorden buit te maken of pc’s te besmetten met malware. ‘Spear phishing’ is gericht op een bepaalde persoon of organisatie, met misleidende mails die op maat zijn gemaakt.
De valse Google-mail
Kent u die mails waarin u wordt gemeld dat er een beveiligingsprobleem is, bijvoorbeeld met uw Google account? John Podesta, de voorzitter van de verkiezingscampagne van Hillary Clinton, kreeg er zo een op 19 maart 2016. De mail vroeg hem om een link te volgen, om daar zijn wachtwoord te veranderen. De link was gecamoufleerd via een URL-afkorter, zodat het niet meteen opviel dat hij leidde naar een valse website van de GRU. Podesta tikte zijn wachtwoord in op een site die eruitzag als Gmail. Twee dagen later werden 50.000 van zijn emails geroofd. (Die mails werden in oktober 2016, in de onmiddellijke aanloop naar de verkiezingen, gelekt via Wikileaks).
De Russen van Eenheid 26165 stuurden gelijkaardige mails naar andere toplui van de Clinton-campagne, en bij minstens twee daarvan was het prijs.
Zich voordoen als een collega
Op 6 april 2016 creëerden de Russen een e-mailadres dat leek op dat van een Clinton-medewerker – er was maar één letter verschil. Ook dat is een beproefde spear phishing truc: de phishing mail ziet eruit alsof hij komt van iemand die je vertrouwt. Vanuit dat onverdachte adres stuurden ze mails naar meer dan 30 campagnemedewerkers. De mail bevatte een link naar wat een peiling over Hillary Clinton leek te zijn: het rekenblad ‘hillary-clinton-favorable-rating.xlsx’. De link leidde, opnieuw, naar een website van de Russen.
Via de zwakste schakel
Op 12 april krijgt een werknemer van het Democratic Congressional Campaign Committee (DCCC), een deelorganisatie van de Democratische Partij, ook een phishing mail. Ze klikt op de link, vult haar wachtwoord in en hop – de Russen hebben nu toegang tot het netwerk van het DCCC. Dat wordt dan hun springplank naar het netwerk van de Democratische Partij zelf, het Democratic National Committee of DNC.
Tussen april en juni slagen de Russen erin om minstens tien computers op het DCCC netwerk te besmetten met door henzelf ontwikkelde malware, X-Agent. Die malware houdt nauwlettend in de gaten wat DCCC-werknemers op hun eigen computer doen, inbegrepen de wachtwoorden die ze intikken. X-Agent stuurt al die gegevens door naar een server van de GRU in Arizona. Eén van die werknemers heeft een wachtwoord om toegang te krijgen tot het netwerk van het DNC zelf. Bingo! Op 18 april is Eenheid 26165 ook op het DNC-netwerk doorgedrongen.
Alles leegroven
Ook het DNC-netwerk wordt besmet met X-Agent, dat documenten en andere informatie begint te verzamelen over de campagne van Clinton. Vervolgens worden de gestolen documenten via een versleutelde verbinding (zodat ze niet detecteerbaar zijn) doorgestuurd naar een server van de GRU in Illinois. Tussen 25 mei en 1 juni kraken de Russen de mailserver van het DNC, ze hebben nu ook toegang tot alle mails.
En lekken maar…
Op 8 juni publiceren de Russen een lading gestolen emails op de website DCleaks.com, die ze zelf hebben opgericht (zich voordoend als ‘Amerikaanse hacktivisten’). De website wordt gepromoot via valse Facebook-accounts.
Om hun sporen te verbergen, creëren de Russen een fictieve Roemeense hacker: Guccifer 2.0. Onder die naam corresponderen ze onder meer met een politicus, een lobbyist en een journalist (die niet bij naam worden genoemd), en met een persoon die ’in regelmatig contact’ stond met de campagne van Donald Trump (dat zou Roger Stone zijn).
Op 14 juli stuurt ‘Guccifer 2.0’ een archief van gestolen DNC-documenten door naar Wikileaks, dat ze op 22 juli publiceert. Vanaf 7 oktober volgen de eerder gestolen Podesta-mails. Die bevatten enkele gênante fragmenten uit speeches die Hillary Clinton voor Wall Street-bedrijven gaf. En dat blijkt voldoende om de aandacht van de pers af te leiden van de op dezelfde dag gepubliceerde ‘grab ‘m by the pussy’ tape van Trump.
DS, 17-07-2018 (Dominique Deckmyn)