Hakowanie wyborów na Exatel Security Day 2017 (RELACJA)
W trakcie pierwszego dnia Exatel Security Day 2017 roku odbył się panel pt.: ,,Hakowanie wyborów. Cyberbezpieczeństwo procesów społeczno-politycznych”, który poprowadził Adam Haertle, ekspert ds. bezpieczeństwa informatycznego. Partnerem wydarzenia jest BiznesAlert.pl.
W trakcie wystąpienia ekspert mówił o tym w jaki sposób hakerzy próbują wpływać na wybory. Posłużył się przykładem ostatnich wyborów prezydenckich w Stanach Zjednoczonych oraz wydarzeniami jakie miały miejsce w sztabie wyborczym kandydatki Demokratów Hillary Clinton.
Według Haertla okazało się, że w sztabie Clinton, który dysponujemy wielomilionowymi środkami brakowało specjalistów od bezpieczeństwa. Po raz pierwszy o tym, że doszło do włamania na serwery partii we wrześniu 2015 roku poinformowało Demokratów FBI. Po pewnym czasie sztab wynajął firmę CrowdStrike, która potwierdziła informacje służb. Okazało się, że cała sieć Demokratów była pod kontrolą co najmniej dwóch grup APT 28 i APT 29, czyli odpowiednio wywiadów cywilnego i wojskowego Rosji.
– Co ciekawe, te grupy nie współpracują ze sobą . Działają zupełnie niezależnie. Nie znaleziono dowodów aby jedni pomagali drugim – mówił Haertle. Jak zaznaczył ekspert, wynikiem tego odkrycia było pełna wymiana całego sprzętu komputerowego.
Zdaniem Haertla istnieje wiele powodów aby sądzić, że za atakiem na serwery Demokratów stali hakerzy z Rosji. W wyniku ataku do sieci trafiło 60 tys. maili z konta szefa kampanii Clinton John Podesta. Wykorzystano do tego tzw. phishing, dzięki któremu uzyskano dostęp do hasła konta i wykradziono z niego dane. Zostały one opublikowane m.in. na WikiLeaks oraz blogu prowadzonym przez internautę posługującego się nazwą Guciffer 2.0.
– Demokraci próbowali obrócić całe zdarzenie na swoją korzyść. Pokazać, że to my jesteśmy ci dobrzy a Rosjanie nas atakują więc zagłosuj na nas. Informują o odkryciu włamania i ustaleniach CrowdStrike, która wskazała, że była to faktycznie była zorganizowana grupa profesjonalnych włamywaczy powiązanych z APT 28 i APT 29 – mówił gość konferencji.
Wspomniany komunikat pojawił się 14 czerwca. Zaledwie następnego dnia pojawia się blog wymienionego wcześniej Guciffera 2.0, który stwierdził, że jest Rumunem i to on stoi za włamaniem na serwery Demokratów.
Jak mówił Haertle dziennikarze postanowili przeprowadzić z nim wywiad i sprawdzić czy faktycznie jest Rumunem. W tym celu rozmawiał z nim rodowity Rumun, ale okazało się, że biegłość językowa Guciffera nie jest tak zaawansowana jak można byłoby oczekiwać. Przy czym, jak zaznaczył ekspert nie wykluczone, że to było celowe działanie aby uniknąć stania się ofiarą technik stylomerycznych i zidentyfikowania.
W trakcie swojej prezentacji Haertle przedstawił zrzut z ekranu wspomnianego bloga i wskazał na jeden, szczególny element ,,trzy nawiasy zamykające”.
– Z kontekstu wynika, że w tym miejscu powinien być uśmiech. Pytanie dlaczego, ktoś się śmieje trzema nawisami? – pytał ekspert.
Jego zdaniem chodzi o rodzaj klawiatury, z której pisano wpis. Na zachodnich (łacińsko-języcznych ) łatwiej jest zrobić dwukropek. W przypadku rosyjskich bardzo niewygodnie się go stawia więc używane są trzy nawiasy.
Haertle dodał również, że Guciffer 2.0 rozsyłał wykradzione dokumenty do różnych dziennikarzy, którzy zaczęli je porównywać. Wśród nich sprawdzono dokument, który trafił do dwóch różnych odbiorców.
– Wśród nich sprawdzono dokument, który trafił do dwóch różnych odbiorców. W jednym z nich odnośniki do nieistniejących linków znajdują się w języku angielskim, a w drugim z nich jest już po rosyjsku. To oznacza, że komputer na którym ten dokument został spreparowany bądź otwarty i zapisany posługiwał się albo rosyjskim Wordem ale całym systemem rosyjskojęzycznym – powiedział Haertle dodając, że wśród ostatniej osoby, która dokonywała modyfikacji dokumentu był Feliks Edmuntowicz, inaczej Feliks Dzierżyński (pisane cyrylicą – przyp. red).
Okazało się również, że w wysyłanych mailach powtarzał się ten sam adres IP nadawcy wiadomości (95.130.15.34). Po przeprowadzeniu analiz okazało się, że prowadzi on do rosyjskiego serwera VNP.
Ekspert zwrócił również uwagę na to, że wykradzione dokumenty były publikowane stopniowo i były uzależnione od rozwoju prowadzonej w USA kampanii. Stwierdził również, że wygląda na to, iż hakerzy dobrze się przygotowali do ataku, ale przed wyborami się wycofali.
Ekspert przypomniał o zakończonych wyborach prezydenckich we Francji. Według Haertle, że Paryż przygotował się na możliwe ataki biorąc pod uwagę to co robili hakerzy zza Oceny. Przypomniał również, że we wrześniu odbędą się wybory w Niemczech oraz Norwegii. Nie wykluczył zwiększonej aktywności hakerów w tym czasie.
