Bởi Adam Shepherd
Câu chuyện về cách 12 tin tặc bị cáo buộc đã làm hỏng nền dân chủ mạnh mẽ nhất thế giới để đưa Donald Trump lên vị trí cao nhất
Sau hơn hai năm bị buộc tội, tái thẩm, phủ nhận và suy đoán, cuộc điều tra của cố vấn đặc biệt Robert Mueller về khả năng can thiệp vào cuộc bầu cử tổng thống Hoa Kỳ năm 2016 đã đưa ông đến Nga. Là một phần của cuộc điều tra trên phạm vi rộng về ảnh hưởng của các cơ quan nhà nước Nga đối với cuộc bầu cử, Bộ Tư pháp đã chính thức buộc tội 12 thành viên của tình báo quân đội Nga với nhiều tội danh hack khác nhau.
Tổng thống Vladimir Putin đã thay mặt Nga và các cơ quan của nước này phủ nhận mọi hành vi sai trái, đồng thời được Tổng thống Trump hậu thuẫn công khai. Bất chấp sự lên án từ người phát ngôn của Hạ viện Hoa Kỳ Paul Ryan, nhiều nhân vật chính trị và công cộng và thậm chí cả giám đốc tình báo quốc gia của chính ông, Trump nói rằng ông không thấy lý do gì khiến Nga cố gắng làm xáo trộn cuộc bầu cử.
Sau đó, ông đã lùi lại khẳng định đó, tuyên bố rằng ông chấp nhận kết luận của cộng đồng tình báo rằng Nga đã can thiệp vào cuộc bầu cử năm 2016, nhưng cũng nói rằng đó cũng có thể là những người khác, nhắc lại tuyên bố của ông rằng không có sự thông đồng nào cả.
Các cáo buộc được đưa ra dựa trên bối cảnh ngày càng gia tăng sự hung hăng của Nga trên trường toàn cầu; quốc gia này vẫn kiểm soát Bán đảo Crimea bị vũ lực chiếm giữ vào năm 2014, có những tuyên bố rằng họ đã góp tay trong việc dàn xếp chiến thắng của cuộc bỏ phiếu trong cuộc trưng cầu Brexit và Vương quốc Anh đã cáo buộc Nga đầu độc những người trên đất Anh bằng cách sử dụng chất độc thần kinh chết người.
Xem liên quan Mười kỹ thuật bẻ khóa mật khẩu hàng đầu được tin tặc sử dụng
Bất chấp sự phản đối của Trump, cộng đồng an ninh mạng và tình báo gần như nhất trí rằng Nga đã đánh cắp cuộc bầu cử năm 2016, sử dụng một chiến dịch chiến tranh thông tin và mạng tinh vi để đảm bảo kết quả mà họ mong muốn.
Nhưng nếu vậy, họ đã làm như thế nào?
Nhờ vào bản cáo trạng chống lại các đặc vụ Nga, giờ đây chúng ta đã biết khá rõ về cách thức mà vụ hack được cho là đã được thực hiện. Hồ sơ của Mueller bao gồm các chi tiết như ngày tháng, phương pháp và vectơ tấn công, cho phép chúng tôi xây dựng một tiến trình chi tiết về cách chính xác 12 người đàn ông Nga có thể đã làm trật bánh nền dân chủ mạnh mẽ nhất thế giới. Bài viết này khám phá cách điều đó có thể xảy ra, dựa trên những cáo buộc được nêu trong bản cáo trạng của Mueller.
ĐỌC TIẾP THEO: Các tài khoản Nga đã chi £ 76k cho các quảng cáo bầu cử năm 2016
Mục tiêu
Mục tiêu của chính phủ Nga trong cuộc bầu cử năm 2016 có vẻ rõ ràng: tạo điều kiện thuận lợi cho việc bổ nhiệm Donald J Trump vào chức vụ Tổng thống Hoa Kỳ, bằng bất kỳ phương tiện nào cần thiết.
Để làm được điều đó, người Nga cần phải tìm cách loại bỏ ứng cử viên đối thủ của anh ta khỏi hội đồng quản trị, điều này khiến họ nhắm vào 4 đảng chính bằng một chiến dịch hack tinh vi và lâu dài.
DCCC
Ủy ban Chiến dịch Quốc hội của đảng Dân chủ (hoặc 'D-trip', như được gọi một cách thông tục) chịu trách nhiệm thu hút càng nhiều đảng viên Dân chủ được bầu vào Hạ viện Hoa Kỳ càng tốt, cung cấp hỗ trợ, hướng dẫn và tài trợ cho các ứng cử viên tiềm năng trong các cuộc đua vào quốc hội.
DNC
Cơ quan quản lý của Đảng Dân chủ Hoa Kỳ, Ủy ban Quốc gia của Đảng Dân chủ chịu trách nhiệm tổ chức chiến lược tổng thể của Đảng Dân chủ, cũng như tổ chức việc đề cử và xác nhận ứng cử viên tổng thống của đảng tại mỗi cuộc bầu cử.
Hillary Clinton
Cựu Ngoại trưởng dưới thời Obama, Hillary Clinton đã đánh bại Bernie Sanders để trở thành ứng cử viên tổng thống của Đảng Dân chủ trong cuộc bầu cử năm 2016, đưa bà vào tầm ngắm của Donald Trump và chính phủ Nga.
John Podesta
Là một nhân vật kỳ cựu lâu năm trong chính trường DC, John Podesta đã từng phục vụ dưới hai đời tổng thống trước của Đảng Dân chủ, trước khi giữ vai trò chủ tịch chiến dịch tranh cử tổng thống năm 2016 của Hillary Clinton.
GRU Mười hai
Tất cả 12 tin tặc bị tình nghi đều làm việc cho GRU - tổ chức tình báo nước ngoài ưu tú của chính phủ Nga. Tất cả đều là sĩ quan quân đội ở các cấp bậc khác nhau, và tất cả đều là một phần của các đơn vị được giao nhiệm vụ đặc biệt để phá hoại diễn biến của cuộc bầu cử.
Theo bản cáo trạng của Mueller, Đơn vị 26165 chịu trách nhiệm hack DNC, DCCC và các cá nhân liên kết với chiến dịch của Clinton. Đơn vị 74455 rõ ràng được giao nhiệm vụ hoạt động như những người tuyên truyền bí mật, làm rò rỉ các tài liệu bị đánh cắp và xuất bản nội dung chống Clinton và chống Đảng Dân chủ thông qua các kênh trực tuyến khác nhau.
Các chuyên gia bảo mật có thể quen thuộc hơn với tên mã được đặt cho hai đơn vị này khi chúng được phát hiện lần đầu tiên vào năm 2016: Cozy Bear và Fancy Bear.
12 tin tặc liên quan được tuyên bố là:
| Tên | Vai trò | Cấp |
| Viktor Borisovich Netyksho | Chỉ huy Đơn vị 26165, chịu trách nhiệm hack DNC và các mục tiêu khác | không xác định |
| Boris Alekseyevich Antonov | Giám sát các chiến dịch bán giáo cho Đơn vị 26165 | Chính |
| Dmitry Sergeyevich Badin | Trợ lý trưởng phòng của Antonov | không xác định |
| Ivan Sergeyevich Yermakov | Đã tiến hành các hoạt động hack cho Đơn vị 26165 | không xác định |
| Aleksey Viktorovich Lukashev | Tiến hành các cuộc tấn công bằng giáo cho Đơn vị 26165 | Trung tá |
| Sergey Aleksandrovich Morgachev | Oversaw phát triển và quản lý phần mềm độc hại cho Unit 26165 | Trung tá |
| Nikolay Yuryevich Kozachek | Phần mềm độc hại đã phát triển cho Đơn vị 26165 | Trung đội trưởng |
| Pavel Vyacheslavovich Yershov | Đã kiểm tra phần mềm độc hại cho Đơn vị 26165 | không xác định |
| Artem Andreyevich Malyshev | Phần mềm độc hại được giám sát cho Đơn vị 26165 | Trung tá |
| Aleksandr Vladimirovich Osadchuk | Chỉ huy Đơn vị 74455, chịu trách nhiệm về việc rò rỉ tài liệu bị đánh cắp | Đại tá |
| Aleksey Aleksandrovich Potemkin | Quản lý cơ sở hạ tầng CNTT được giám sát | không xác định |
| Anatoliy Sergeyevich Kovalev | Đã tiến hành các hoạt động hack cho Đơn vị 74455 | không xác định |
ĐỌC TIẾP: Các công ty công nghệ tiết lộ dữ liệu của bạn cho chính phủ
Làm thế nào vụ hack được lên kế hoạch
Chìa khóa cho bất kỳ cuộc tấn công mạng thành công nào là lập kế hoạch và do thám, vì vậy nhiệm vụ đầu tiên của các đặc nhiệm của Đơn vị 26165 là xác định những điểm yếu trong cơ sở hạ tầng của chiến dịch Clinton - những điểm yếu sau đó có thể bị khai thác.
15 tháng 3:
Ivan Yermakov bắt đầu quét cơ sở hạ tầng của DNC để xác định các thiết bị được kết nối. Ông cũng bắt đầu tiến hành nghiên cứu mạng lưới DNC, cũng như nghiên cứu về Clinton và Đảng Dân chủ nói chung.
19 tháng 3:
John Podesta yêu thích một email giả mạo được cho là do Aleksey Lukashev tạo ra và ngụy trang thành một cảnh báo bảo mật của Google, cấp cho người Nga quyền truy cập vào tài khoản email cá nhân của anh ta. Cùng ngày hôm đó, Lukashev sử dụng các cuộc tấn công bằng giáo để nhắm vào các quan chức cấp cao khác của chiến dịch, bao gồm cả giám đốc chiến dịch Robby Mook.
21 tháng 3:
Tài khoản email cá nhân của Podesta bị Lukashev và Yermakov xóa sạch; họ tạo ra tổng cộng hơn 50.000 tin nhắn.
28 tháng 3:
Chiến dịch lừa đảo thành công của Lukashev dẫn đến việc đánh cắp thông tin đăng nhập email và hàng nghìn tin nhắn từ những người khác nhau có liên quan đến chiến dịch của Clinton.
6 tháng 4:
Người Nga tạo một địa chỉ email giả cho một nhân vật nổi tiếng trong trại Clinton, chỉ với một chữ cái khác biệt so với tên của người đó. Địa chỉ email này sau đó được Lukashev sử dụng để lừa đảo ít nhất 30 nhân viên chiến dịch khác nhau và một nhân viên DCCC đã bị lừa giao thông tin đăng nhập của cô ấy.
ĐỌC TIẾP THEO: Cách Google khai quật bằng chứng về việc Nga can thiệp bầu cử Hoa Kỳ
Làm thế nào DNC bị vi phạm
Công việc chuẩn bị ban đầu hiện đã hoàn tất, người Nga đã có một chỗ đứng vững chắc trong mạng lưới của Đảng Dân chủ nhờ vào chiến dịch giáo dục hiệu quả cao. Bước tiếp theo là tận dụng chỗ đứng đó để tiếp cận thêm.
7 tháng 4:
Cũng như lần do thám đầu tiên vào tháng 3, Yermakov nghiên cứu các thiết bị được kết nối trên mạng của DCCC.
12 tháng 4:
Sử dụng thông tin đăng nhập bị đánh cắp từ một nhân viên DCCC không chủ ý, người Nga có quyền truy cập vào các mạng nội bộ của DCCC. Từ tháng 4 đến tháng 6, chúng cài đặt các phiên bản khác nhau của phần mềm độc hại có tên là ‘X-Agent’ - cho phép ghi khóa từ xa và chụp ảnh màn hình các thiết bị bị nhiễm - trên ít nhất mười máy tính DCCC.
Phần mềm độc hại này truyền dữ liệu từ các máy tính bị ảnh hưởng đến một máy chủ Arizona do người Nga thuê, mà họ gọi là bảng điều khiển AMS. Từ bảng điều khiển này, họ có thể theo dõi và quản lý phần mềm độc hại của mình từ xa.
14 tháng 4:
Trong khoảng thời gian tám giờ, người Nga sử dụng X-Agent để đánh cắp mật khẩu cho các chương trình gây quỹ và tiếp cận cử tri của DCCC, cáo trạng của Mueller tuyên bố, cũng như theo dõi liên lạc giữa các nhân viên DCCC bao gồm thông tin cá nhân và chi tiết ngân hàng. Các cuộc trò chuyện cũng bao gồm thông tin về tài chính của DCCC.
15 tháng 4:
Người Nga tìm kiếm một trong những PC DCCC bị tấn công để tìm các thuật ngữ chính khác nhau, bao gồm ‘Hillary’, ‘Cruz’ và ‘Trump’. Họ cũng sao chép các thư mục chính, chẳng hạn như một thư mục có nhãn ‘Điều tra Benghazi’.
18 tháng 4:
làm thế nào để đánh dấu thời gian một liên kết youtube
Mạng của DNC bị người Nga vi phạm, họ có quyền truy cập bằng cách sử dụng thông tin đăng nhập của nhân viên DCCC có quyền truy cập vào hệ thống của DNC.
19 tháng 4:
Yershov và Nikolay Kozachek rõ ràng đã thiết lập một máy tính thứ ba bên ngoài Hoa Kỳ, hoạt động như một thiết bị chuyển tiếp giữa bảng điều khiển AMS có trụ sở tại Arizona và phần mềm độc hại X-Agent nhằm làm xáo trộn kết nối giữa hai người.
22 tháng 4:
Một số gigabyte dữ liệu bị đánh cắp từ các PC DNC được nén vào một kho lưu trữ. Dữ liệu này bao gồm nghiên cứu đối lập và kế hoạch cho các hoạt động thực địa. Trong tuần tới, người Nga sử dụng một phần mềm độc hại tùy chỉnh khác - ‘X-Tunnel’ - để lấy dữ liệu này từ mạng của DNC sang một máy cho thuê khác ở Illinois, thông qua các kết nối được mã hóa.
13 tháng 5:
Vào một thời điểm nào đó trong tháng 5, cả DNC và DCCC đều biết rằng họ đã bị xâm phạm. Các tổ chức thuê công ty an ninh mạng CrowdStrike để loại bỏ tận gốc các tin tặc khỏi hệ thống của họ, trong khi người Nga bắt đầu thực hiện các bước để che giấu hoạt động của họ, chẳng hạn như xóa nhật ký sự kiện khỏi một số máy DNC.
25 tháng 5:
Trong suốt một tuần, người Nga bị cáo buộc đánh cắp hàng nghìn email từ tài khoản công việc của nhân viên DNC sau khi xâm nhập vào Máy chủ Microsoft Exchange của DNC, trong khi Yermakov nghiên cứu các lệnh PowerShell để truy cập và chạy Exchange Server.
31 tháng 5:
Yermakov bắt đầu tiến hành nghiên cứu về CrowdStrike và cuộc điều tra của nó về X-Agent và X-Tunnel, có lẽ là trong một nỗ lực để xem công ty biết được bao nhiêu.
1 tháng 6:
Ngày hôm sau, người Nga cố gắng sử dụng CCleaner - một công cụ phần mềm miễn phí được thiết kế để giải phóng dung lượng ổ cứng - để phá hủy bằng chứng về hoạt động của họ trên mạng của DCCC.
ĐỌC TIẾP: Có phải Nga đứng sau một chiến dịch tấn công toàn cầu nhằm đánh cắp bí mật chính thức không?
Sự ra đời của Guccifer 2.0
Người Nga hiện đã lấy được một lượng dữ liệu đáng kể từ DNC. Thông tin này, kết hợp với kho tàng email cá nhân của Podesta, mang lại cho họ tất cả những thứ họ cần để tấn công chiến dịch của Clinton
8 tháng 6:
DCLeaks.com được người Nga tung ra, cùng với các trang Facebook và tài khoản Twitter trùng khớp, như một cách để phổ biến tài liệu mà họ đã đánh cắp từ Podesta và DNC. Trang web này tuyên bố rằng nó được điều hành bởi những kẻ tấn công người Mỹ, nhưng bản cáo trạng của Mueller cho rằng đây là một lời nói dối.
14 tháng 6:
CrowdStrike và DNC tiết lộ rằng tổ chức này đã bị tấn công và công khai cáo buộc chính phủ Nga. Nga phủ nhận mọi liên quan đến vụ tấn công. Trong suốt tháng 6, CrowdStrike bắt đầu hành động để giảm thiểu vụ hack.
15 tháng 6:
Để đáp lại lời buộc tội của CrowdStrike, người Nga tạo ra đặc điểm của Guccifer 2.0 như một màn khói, Mueller tuyên bố, nhằm mục đích gây nghi ngờ về sự tham gia của Nga trong các vụ hack. Trong vai một hacker người Romania duy nhất, nhóm người Nga nhận công lao về vụ tấn công.
Guccifer là ai?
Mặc dù Guccifer 2.0 là một nhân vật hư cấu được tạo ra bởi các đặc vụ Nga, nhưng nó thực sự dựa trên một người thật. Guccifer ban đầu là một hacker người Romania chính hiệu, người đã trở nên nổi tiếng vào năm 2013 sau khi phát hành các bức ảnh của George W. Bush đã bị tấn công từ tài khoản AOL của chị gái anh ta. Ông nói, cái tên là từ ghép của ‘Gucci’ và ‘Lucifer’.
Cuối cùng anh ta bị bắt vì tình nghi hack một số quan chức Romania và bị dẫn độ sang Mỹ. Người Nga có lẽ hy vọng rằng các quan chức sẽ cho rằng anh ta cũng đứng sau các hành động của Guccifer 2.0, mặc dù thực tế là anh ta đã nhận tội với các cáo buộc liên bang vào tháng Năm.
20 tháng 6:
Đến thời điểm này, người Nga đã có quyền truy cập vào 33 điểm cuối DNC. Trong khi đó, CrowdStrike đã loại bỏ tất cả các phiên bản của X-Agent khỏi mạng của DCCC - mặc dù ít nhất một phiên bản của X-Agent sẽ vẫn hoạt động trong hệ thống của DNC cho đến tháng 10.
Người Nga dành hơn bảy giờ không thành công khi cố gắng kết nối với các phiên bản X-Agent của họ với mạng DCCC, cũng như cố gắng sử dụng các thông tin đăng nhập đã bị đánh cắp trước đó để truy cập vào nó. Họ cũng xóa nhật ký hoạt động của bảng AMS, bao gồm tất cả lịch sử đăng nhập và dữ liệu sử dụng.
22 tháng 6:
WikiLeaks bị cáo buộc đã gửi một tin nhắn riêng đến Guccifer 2.0 yêu cầu họ gửi bất kỳ tài liệu mới nào liên quan đến Clinton và Đảng Dân chủ, nói rằng nó sẽ có tác động cao hơn nhiều so với những gì bạn đang làm.
18 tháng 7:
WikiLeaks xác nhận đã nhận được kho lưu trữ 1GB dữ liệu DNC bị đánh cắp và tuyên bố rằng nó sẽ được phát hành trong tuần.
22 tháng 7:
Đúng như lời của nó, WikiLeaks đã công bố hơn 20.000 email và tài liệu bị đánh cắp từ DNC, chỉ hai ngày trước khi diễn ra Đại hội toàn quốc của đảng Dân chủ. Email gần đây nhất do WikiLeaks phát hành là ngày 25 tháng 5 - gần cùng ngày mà Máy chủ Exchange của DNC bị tấn công.
ĐỌC TIẾP: WikiLeaks cho biết CIA có thể sử dụng TV thông minh để theo dõi chủ sở hữu
27 tháng 7:
Trong một cuộc họp báo, ứng cử viên tổng thống Donald Trump yêu cầu trực tiếp và cụ thể rằng chính phủ Nga xác định vị trí một loạt các email cá nhân của Clinton.
Cùng ngày hôm đó, người Nga nhắm mục tiêu vào các tài khoản email được sử dụng bởi văn phòng cá nhân của Clinton và được lưu trữ bởi một nhà cung cấp bên thứ ba.
15 tháng 8:
Ngoài WikiLeaks, Guccifer 2.0 cũng cung cấp cho một số kẻ lợi dụng thông tin bị đánh cắp khác. Điều này dường như bao gồm một ứng cử viên quốc hội Hoa Kỳ, người yêu cầu thông tin liên quan đến đối thủ của họ. Trong thời kỳ này, người Nga cũng đang sử dụng Guccifer 2.0 để giao tiếp với một cá nhân thường xuyên liên lạc với các thành viên hàng đầu của chiến dịch Trump.
22 tháng 8:
Guccifer 2.0 gửi 2,5GB dữ liệu bị đánh cắp (bao gồm hồ sơ của các nhà tài trợ và thông tin nhận dạng cá nhân của hơn 2.000 nhà tài trợ của Đảng Dân chủ) cho một nhà vận động hành lang của nhà nước đã đăng ký lúc bấy giờ và nguồn tin chính trị trực tuyến.
Bảy:
Vào một thời điểm nào đó trong tháng 9, người Nga có quyền truy cập vào một dịch vụ đám mây chứa các ứng dụng thử nghiệm cho phân tích dữ liệu DNC. Bằng cách sử dụng các công cụ tích hợp riêng của dịch vụ đám mây, họ tạo ảnh chụp nhanh của hệ thống, sau đó chuyển chúng sang tài khoản mà họ kiểm soát.
7 tháng 10:
WikiLeaks phát hành loạt email đầu tiên của Podesta, làm dấy lên tranh cãi và náo động trên các phương tiện truyền thông. Trong tháng tới, tổ chức sẽ phát hành tất cả 50.000 email bị Lukashev cho là đã đánh cắp tài khoản của anh ấy.
28 tháng 10:
Kovalev và các đồng chí của anh ta nhắm mục tiêu vào các văn phòng tiểu bang và quận chịu trách nhiệm điều hành các cuộc bầu cử ở các bang xoay trục chính bao gồm Florida, Georgia và Iowa, các bang theo cáo trạng của Mueller.
Tháng 11:
Vào tuần đầu tiên của tháng 11, ngay trước cuộc bầu cử, Kovalev sử dụng một tài khoản email giả mạo để giáo lừa đảo hơn 100 mục tiêu những người tham gia điều hành và giám sát các cuộc bầu cử ở Florida - nơi Trump thắng 1,2%. Các email được thiết kế để trông giống như chúng đến từ một nhà cung cấp phần mềm cung cấp hệ thống xác minh cử tri, một công ty mà Kovalev đã tấn công hồi tháng 8, Mueller cho rằng.
8 tháng 11:
Trái ngược với dự đoán của các chuyên gia và những người bình chọn, ngôi sao truyền hình thực tế Donald Trump đã thắng cử và trở thành Tổng thống Hoa Kỳ.
ĐỌC TIẾP: 16 lần nơi công dân Trump đốt Tổng thống Trump
Điều gì xảy ra bây giờ?
Mặc dù đây không thể nghi ngờ là một thời điểm mang tính bước ngoặt trong cả địa chính trị toàn cầu và an ninh mạng, nhưng nhiều chuyên gia đã lưu ý rằng bản cáo trạng của 12 đặc vụ GRU là một cử chỉ gần như hoàn toàn mang tính biểu tượng và không có khả năng dẫn đến bắt giữ.
Nga không có hiệp ước dẫn độ với Mỹ, vì vậy không có nghĩa vụ giao những người bị buộc tội cho Mueller. Tình cờ, đây cũng chính là lý do khiến người tố giác NSA Edward Snowden bị giới hạn ở Nga trong vài năm qua.
Theo một số nguồn tin, mục đích của các cáo trạng này là để cảnh báo, cho Nga (và thế giới) biết rằng Mỹ đang thúc đẩy cuộc điều tra của mình.
Bằng cách khai báo, công tố có thể đưa vào phạm vi công cộng các dữ kiện và / hoặc cáo buộc mà đại bồi thẩm đoàn tìm thấy, luật sư biện hộ hình sự Jean-Jacques Cabou nói Ars Technica . Ở đây, công chúng nói chung có thể là một đối tượng dự kiến. Nhưng các công tố viên cũng không công khai các cáo trạng để gửi một thông điệp đến các mục tiêu khác.
Cuộc điều tra của Mueller dự kiến sẽ tiếp tục.
Bài viết này ban đầu xuất hiện trên trang web IT Pro của chị em Alphr.
