Oleh Adam Shepherd
Kisah bagaimana 12 penggodam didakwa merosakkan demokrasi paling kuat di dunia untuk meletakkan Donald Trump di puncak
Setelah lebih dari dua tahun tuduhan, tuduhan balas, penolakan dan spekulasi, siasatan peguam khas Robert Mueller mengenai kemungkinan gangguan dalam pemilihan presiden AS 2016 telah membawanya ke Rusia. Sebagai bagian dari penyelidikan luas mengenai pengaruh pelaku negara Rusia terhadap pilihan raya, Departemen Kehakiman secara rasmi telah menuduh 12 anggota perisik tentera Rusia dengan pelbagai kesalahan peretasan.
Presiden Vladimir Putin telah menafikan semua kesalahan untuk pihak Rusia dan ejennya, dan telah disokong secara terbuka oleh Presiden Trump. Walaupun mendapat kecaman dari speaker Dewan Perwakilan AS Paul Ryan, sejumlah tokoh awam dan politik dan juga pengarah perisik nasionalnya sendiri, Trump mengatakan bahawa dia tidak melihat sebab mengapa Rusia akan berusaha mempengaruhi pilihan raya.
Dia kemudian mengundurkan pernyataan itu, dengan menyatakan bahawa dia menerima kesimpulan masyarakat perisik bahawa Rusia campur tangan dalam pilihan raya 2016, tetapi juga mengatakan bahawa mungkin orang lain juga, mengulangi dakwaannya bahawa tidak ada pakatan sama sekali.
Tuduhan itu datang dengan latar belakang peningkatan pencerobohan Rusia di pentas global; negara itu masih menguasai Semenanjung Krimea yang dirampasnya secara paksa pada tahun 2014, terdapat dakwaan bahawa ia mempunyai peranan dalam mengatur kemenangan Vote Leave dalam referendum Brexit, dan Inggeris telah menuduh Rusia meracuni orang di tanah Inggeris menggunakan agen saraf yang mematikan.
Lihat berkaitan Teknik Sepuluh Kata Laluan Keretakan yang Digunakan oleh Peretas
Walaupun terdapat protes Trump, komuniti keselamatan siber dan perisikan hampir sebulat suara bersetuju bahawa Rusia mencuri pilihan raya 2016, menggunakan kempen perang siber dan maklumat yang canggih untuk memastikan hasil yang mereka mahukan.
Tetapi jika demikian, bagaimana mereka melakukannya?
Terima kasih atas dakwaan yang dikeluarkan terhadap pihak berkuasa Rusia, kami sekarang mempunyai idea yang bagus tentang bagaimana peretasan itu diduga dilakukan. Pemfailan Mueller merangkumi perincian seperti tarikh, kaedah dan vektor serangan, yang memungkinkan kita membina garis masa terperinci tentang bagaimana tepatnya 12 lelaki Rusia telah menggagalkan demokrasi paling kuat di dunia. Artikel ini menerangkan bagaimana hal itu dapat terjadi, berdasarkan tuduhan yang digariskan dalam dakwaan Mueller.
BACA SETERUSNYA: Akaun Rusia membelanjakan £ 76k untuk iklan pilihan raya 2016
Sasarannya
Matlamat pemerintah Rusia semasa pilihan raya 2016 nampak jelas: untuk mempermudah mengangkat Donald J Trump ke jawatan Presiden Amerika Syarikat, dengan cara yang diperlukan.
Untuk melakukan itu, Rusia perlu mencari jalan untuk mengeluarkan calon pesaingnya, yang menyebabkan mereka menyasarkan empat parti utama dengan kempen penggodaman yang canggih dan jangka panjang.
DCCC
Jawatankuasa Kempen Kongres Demokratik (atau ‘D-trip’, seperti yang sudah diketahui umum) bertanggung jawab untuk mendapatkan seberapa banyak Demokrat yang terpilih ke Dewan Perwakilan AS sebanyak mungkin, memberikan sokongan, bimbingan dan pendanaan kepada calon yang berpotensi dalam pertandingan kongres.
DNC
Badan pemerintah Parti Demokrat Amerika Syarikat, Jawatankuasa Nasional Demokratik bertanggungjawab mengatur strategi keseluruhan Demokrat, serta mengatur pencalonan dan pengesahan calon presiden parti itu pada setiap pemilihan.
Hillary clinton
Mantan Setiausaha Negara di bawah Obama, Hillary Clinton mengalahkan Bernie Sanders untuk menjadi calon presiden Demokrat pada pilihan raya 2016, membawanya ke persimpangan Donald Trump dan pemerintah Rusia.
John Podesta
Seorang veteran lama politik DC, John Podesta telah berkhidmat di bawah dua presiden Demokrat sebelumnya, sebelum bertindak sebagai ketua kempen presiden Hillary Clinton 2016.
GRU Dua Belas
Kesemua dua belas penggodam yang disyaki bekerja untuk GRU - organisasi perisik asing elit kerajaan Rusia. Semua adalah pegawai tentera dari pelbagai peringkat, dan semuanya adalah bahagian dari unit yang secara khusus ditugaskan untuk merosakkan perjalanan pilihan raya.
Menurut dakwaan Mueller, Unit 26165 bertanggung jawab menggodam DNC, DCCC, dan individu yang berafiliasi dengan kempen Clinton. Unit 74455 nampaknya ditugaskan bertindak sebagai penyebar rahsia, membocorkan dokumen yang dicuri dan menerbitkan kandungan anti-Clinton dan anti-Demokrat melalui pelbagai saluran dalam talian.
Profesional keselamatan mungkin lebih akrab dengan nama kod yang diberikan kepada dua unit ini ketika pertama kali ditemui pada tahun 2016: Cozy Bear dan Fancy Bear.
12 penggodam yang terlibat didakwa sebagai:
| Nama | Peranan | Pangkat |
| Viktor Borisovich Netyksho | Komandan Unit 26165, bertanggungjawab menggodam DNC dan sasaran lain | Tidak diketahui |
| Boris Alekseyevich Antonov | Memantau kempen spearphishing untuk Unit 26165 | Mejar |
| Dmitry Sergeyevich Badin | Penolong Ketua Jabatan kepada Antonov | Tidak diketahui |
| Ivan Sergeyevich Yermakov | Menjalankan operasi penggodaman untuk Unit 26165 | Tidak diketahui |
| Aleksey Viktorovich Lukashev | Melakukan serangan spearphishing untuk Unit 26165 | Leftenan ke-2 |
| Sergey Aleksandrovich Morgachev | Mengawasi pengembangan dan pengurusan malware untuk Unit 26165 | Leftenan Kolonel |
| Nikolay Yuryevich Kozachek | Membangunkan perisian hasad untuk Unit 26165 | Leftenan Kapten |
| Pavel Vyacheslavovich Yershov | Perisian hasad yang diuji untuk Unit 26165 | Tidak diketahui |
| Artem Andreyevich Malyshev | Perisian malware yang dipantau untuk Unit 26165 | Leftenan ke-2 |
| Aleksandr Vladimirovich Osadchuk | Komandan Unit 74455, bertanggungjawab untuk membocorkan dokumen yang dicuri | Kolonel |
| Aleksey Aleksandrovich Potemkin | Penyeliaan infrastruktur IT yang diselia | Tidak diketahui |
| Anatoliy Sergeyevich Kovalev | Menjalankan operasi penggodaman untuk Unit 74455 | Tidak diketahui |
BACA SETERUSNYA: Syarikat teknologi mengungkapkan data anda kepada pemerintah
Bagaimana peretasan itu dirancang
Kunci bagi setiap serangan siber yang berjaya adalah merancang dan mengintai, jadi tugas pertama bagi koperasi Unit 26165 adalah untuk mengenal pasti titik kelemahan infrastruktur kempen Clinton - kelemahan yang kemudian dapat dimanfaatkan.
15 Mac:
Ivan Yermakov mula mengimbas infrastruktur DNC untuk mengenal pasti peranti yang disambungkan. Dia juga mulai melakukan penyelidikan ke dalam jaringan DNC, serta penyelidikan terhadap Clinton dan Demokrat pada umumnya.
19 Mac:
John Podesta meminta e-mel spearphishing yang didakwa dibuat oleh Aleksey Lukashev dan menyamar sebagai amaran keselamatan Google, yang memberi orang Rusia akses ke akaun e-mel peribadinya. Pada hari yang sama, Lukashev menggunakan serangan spearphishing untuk mensasarkan pegawai kanan kempen lain, termasuk pengurus kempen Robby Mook.
21 Mac:
Akaun e-mel peribadi Podesta dibersihkan oleh Lukashev dan Yermakov; mereka menghasilkan lebih dari 50,000 mesej secara keseluruhan.
28 Mac:
Kempen spearphishing Lukashev yang berjaya membawa kepada pencurian bukti masuk e-mel dan beribu-ribu mesej dari pelbagai orang yang berkaitan dengan kempen Clinton.
6 April:
Orang Rusia membuat alamat e-mel palsu untuk tokoh terkenal di kem Clinton, dengan perbezaan hanya satu huruf dari nama orang itu. Alamat e-mel ini kemudian digunakan oleh Lukashev untuk menerokai phish sekurang-kurangnya 30 kakitangan kempen yang berbeza, dan seorang pekerja DCCC ditipu untuk menyerahkan bukti masuknya.
BACA SETERUSNYA: Bagaimana Google menggali bukti campur tangan pilihan raya AS AS
Bagaimana DNC dilanggar
Kerja persiapan awal sekarang sudah selesai, orang Rusia mempunyai pijakan kuat dalam jaringan Demokrat berkat kempen spearphishing yang sangat berkesan. Langkah seterusnya adalah memanfaatkan pijakan itu untuk mendapatkan akses lebih jauh.
7 April:
Seperti pengintaian awal pada bulan Mac, Yermakov meneliti peranti yang disambungkan di rangkaian DCCC.
12 April:
Dengan menggunakan bukti kelayakan yang dicuri dari pekerja DCCC yang tidak disengajakan, orang Rusia mendapat akses ke rangkaian dalaman DCCC. Antara bulan April dan Jun, mereka memasang pelbagai versi perisian hasad bernama ‘X-Agent’ - yang membolehkan penggunaan keylogging jarak jauh dan tangkapan skrin peranti yang dijangkiti - di sekurang-kurangnya sepuluh komputer DCCC.
Malware ini menghantar data dari komputer yang terjejas ke pelayan Arizona yang disewa oleh orang Rusia, yang mereka sebut sebagai panel AMS. Dari panel ini, mereka dapat memantau dan mengurus malware mereka dari jauh.
14 April:
Selama tempoh lapan jam, orang Rusia menggunakan X-Agent untuk mencuri kata laluan untuk penggalangan dana DCCC dan program jangkauan pemilih, tuntutan dakwaan Mueller, serta pemantauan komunikasi antara pekerja DCCC yang merangkumi maklumat peribadi dan perincian perbankan. Perbualan juga merangkumi maklumat mengenai kewangan DCCC.
15 April:
Orang Rusia mencari salah satu PC DCCC yang diretas untuk pelbagai istilah penting, termasuk ‘Hillary’, ‘Cruz’ dan ‘Trump’. Mereka juga menyalin folder utama, seperti yang berlabel 'Penyiasatan Benghazi'.
18 April:
windows 10 tidak dapat membuka menu windows
Rangkaian DNC dilanggar oleh orang Rusia, yang mendapat akses dengan menggunakan tauliah staf DCCC dengan izin untuk mengakses sistem DNC.
19 April:
Yershov dan Nikolay Kozachek nampaknya menyiapkan komputer ketiga di luar AS, untuk bertindak sebagai penyampai antara panel AMS yang berpusat di Arizona dan malware X-Agent untuk menyamarkan hubungan antara keduanya.
22 April:
Beberapa gigabait data yang dicuri dari PC DNC dimampatkan ke dalam arkib. Data ini merangkumi penyelidikan pembangkang dan rancangan untuk operasi lapangan. Sepanjang minggu berikutnya, orang Rusia menggunakan perisian hasad lain - ‘X-Tunnel’ - untuk mengasingkan data ini dari rangkaian DNC ke mesin lain yang disewa di Illinois, melalui sambungan yang disulitkan.
13 Mei:
Pada suatu ketika selama bulan Mei, kedua DNC dan DCCC menjadi sadar bahawa mereka telah dikompromikan. Organisasi tersebut mengupah firma keselamatan siber CrowdStrike untuk membasmi penggodam dari sistem mereka, sementara pihak Rusia mula mengambil langkah untuk menyembunyikan kegiatan mereka, seperti membersihkan log peristiwa dari mesin DNC tertentu.
25 Mei:
Selama seminggu, orang Rusia diduga mencuri ribuan e-mel dari akaun kerja pekerja DNC setelah meretas Microsoft Exchange Server DNC, sementara Yermakov meneliti perintah PowerShell untuk mengakses dan menjalankan Exchange Server.
31 Mei:
Yermakov mula melakukan penyelidikan mengenai CrowdStrike dan penyiasatannya terhadap X-Agent dan X-Tunnel, mungkin dalam usaha untuk melihat sejauh mana syarikat mengetahui.
1 Jun:
Keesokan harinya, orang Rusia berusaha menggunakan CCleaner - alat perisian percuma yang direka untuk mengosongkan ruang cakera keras - untuk memusnahkan bukti aktiviti mereka di rangkaian DCCC.
BACA SETERUSNYA: Adakah Rusia berada di belakang kempen penggodaman global dalam usaha untuk mencuri rahsia rasmi?
Kelahiran Guccifer 2.0
Orang Rusia sekarang telah mengeluarkan sejumlah besar data dari DNC. Maklumat ini, digabungkan dengan harta karun dari e-mel peribadi Podesta, memberi mereka semua peluru yang mereka perlukan untuk menyerang kempen Clinton
8 Jun:
DCLeaks.com dilancarkan, diduga oleh orang Rusia, bersama dengan halaman Facebook dan akaun Twitter yang sepadan, sebagai cara untuk menyebarkan bahan yang mereka curi dari Podesta dan DNC. Laman web ini mendakwa bahawa ia dikendalikan oleh hacktivists Amerika, tetapi dakwaan Mueller berpendapat bahawa ini adalah pembohongan.
14 Jun:
CrowdStrike dan DNC mendedahkan bahawa organisasi itu telah diretas, dan secara terbuka menuduh pemerintah Rusia. Rusia menafikan semua pembabitan dengan serangan itu. Sepanjang bulan Jun, CrowdStrike mula mengambil tindakan untuk mengurangkan peretasan.
15 Jun:
Sebagai tindak balas terhadap tuduhan CrowdStrike, orang Rusia menjadikan watak Guccifer 2.0 sebagai skrin merokok, kata Mueller, yang bertujuan untuk menimbulkan keraguan mengenai penglibatan Rusia dalam peretasan tersebut. Berpasukan sebagai penggodam tunggal Romania, pasukan Rusia mendapat penghargaan atas serangan itu.
Siapa Guccifer?
Walaupun Guccifer 2.0 adalah persona rekaan yang dibuat oleh koperasi Rusia, ia sebenarnya berdasarkan pada orang yang sebenar. Guccifer yang asli adalah penggodam Romania yang tulen yang terkenal di tahun 2013 setelah mengeluarkan foto George W. Bush yang telah diretas dari akaun AOL adiknya. Nama itu, katanya, adalah pelabuhan 'Gucci' dan 'Lucifer'.
Dia akhirnya ditangkap kerana disyaki menggodam sejumlah pegawai Romania dan diekstradisi ke AS. Orang Rusia mungkin berharap pegawai akan menganggap dia juga berada di belakang tindakan Guccifer 2.0, walaupun pada hakikatnya dia telah mengaku bersalah atas tuduhan persekutuan pada bulan Mei.
20 Jun:
Pada tahap ini, Rusia telah mendapat akses ke 33 titik akhir DNC. Sementara itu, CrowdStrike telah menghilangkan semua kejadian X-Agent dari rangkaian DCCC - walaupun sekurang-kurangnya satu versi X-Agent akan tetap aktif dalam sistem DNC hingga Oktober.
Orang Rusia menghabiskan lebih dari tujuh jam dengan tidak berjaya untuk menyambung ke contoh X-Agent mereka dengan rangkaian DCCC, dan juga berusaha menggunakan bukti kelayakan yang dicuri sebelumnya untuk mengaksesnya. Mereka juga membersihkan log aktiviti panel AMS, termasuk semua sejarah log masuk dan data penggunaan.
22 Jun:
WikiLeaks didakwa mengirim pesanan peribadi kepada Guccifer 2.0 yang meminta mereka mengirimkan apa-apa bahan baru yang berkaitan dengan Clinton dan Demokrat, dengan menyatakan bahawa ia akan memberi kesan yang jauh lebih tinggi daripada apa yang anda lakukan.
18 Julai:
WikiLeaks mengesahkan penerimaan arkib 1GB data DNC yang dicuri dan menyatakan bahawa ia akan dikeluarkan dalam seminggu.
22 Julai:
Sesuai dengan kata-katanya, WikiLeaks mengeluarkan lebih daripada 20,000 e-mel dan dokumen yang dicuri dari DNC, hanya dua hari sebelum Konvensyen Nasional Demokratik. E-mel terbaru yang dikeluarkan oleh WikiLeaks bertarikh 25 Mei - kira-kira pada hari yang sama dengan Exchange Server DNC diretas.
BACA SETERUSNYA: WikiLeaks mengatakan CIA dapat menggunakan TV pintar untuk mengintip pemiliknya
27 Julai:
Semasa sidang media, calon presiden Donald Trump secara langsung dan khusus meminta agar kerajaan Rusia mencari sebahagian e-mel peribadi Clinton.
Pada hari yang sama, orang Rusia mensasarkan akaun e-mel yang digunakan oleh pejabat peribadi Clinton dan dihoskan oleh penyedia pihak ketiga.
15 Ogos:
Sebagai tambahan kepada WikiLeaks, Guccifer 2.0 juga membekalkan sejumlah maklumat yang dicuri kepada beberapa penerima lain. Ini nampaknya merangkumi calon kongres AS, yang meminta maklumat yang berkaitan dengan lawan mereka. Dalam tempoh ini, Rusia juga menggunakan Guccifer 2.0 untuk berkomunikasi dengan individu yang selalu berhubungan dengan anggota tertinggi kempen Trump.
22 Ogos:
Guccifer 2.0 menghantar 2.5GB data curi (termasuk rekod penderma dan maklumat peribadi dari lebih daripada 2,000 penderma Demokrat) kepada pelobi negara yang terdaftar dan sumber berita politik dalam talian.
Tujuh:
Pada suatu ketika pada bulan September, orang Rusia mendapat akses ke perkhidmatan cloud yang berisi aplikasi ujian untuk analisis data DNC. Dengan menggunakan alat bawaan perkhidmatan awan itu sendiri, mereka membuat tangkapan sistem, kemudian memindahkannya ke akaun yang mereka kendalikan.
7 Okt:
WikiLeaks melepaskan kumpulan pertama e-mel Podesta, mencetuskan kontroversi dan kegemparan di media. Pada bulan berikutnya, organisasi itu akan melepaskan semua 50,000 e-mel yang didakwa dicuri dari akaunnya oleh Lukashev.
28 Okt:
Kovalev dan rakan-rakannya mensasarkan pejabat negeri dan daerah yang bertanggungjawab untuk menguruskan pilihan raya di negara-negara utama termasuk Florida, Georgia dan Iowa, negara dakwaan Mueller.
Nov:
Pada minggu pertama bulan November, tepat sebelum pilihan raya, Kovalev menggunakan akaun e-mel palsu untuk pancingan lembing melebihi 100 sasaran yang terlibat dalam mentadbir dan mengawasi pilihan raya di Florida - di mana Trump menang sebanyak 1.2%. E-mel dirancang untuk kelihatan seperti berasal dari vendor perisian yang menyediakan sistem pengesahan pemilih, sebuah syarikat yang Kovalev diretas pada bulan Ogos, Mueller berpendapat.
8 Nov:
Bertentangan dengan ramalan pakar dan pengundi, bintang TV realiti Donald Trump memenangi pilihan raya dan menjadi Presiden Amerika Syarikat.
BACA SETERUSNYA: 16 kali di mana warganegara Trump membakar Presiden Trump
Apa yang berlaku sekarang?
Walaupun ini tidak diragukan lagi merupakan momen penting dalam geopolitik global dan keselamatan siber, banyak pakar menyatakan bahawa dakwaan 12 ejen GRU adalah isyarat yang hampir sepenuhnya simbolik, dan tidak mungkin menyebabkan penangkapan.
Rusia tidak memiliki perjanjian ekstradisi dengan AS, jadi tidak berkewajiban untuk menyerahkan orang-orang yang dituduh ke Mueller. Ini, secara kebetulan, adalah alasan yang sama bahawa pemberi maklumat NSA Edward Snowden telah berada di Rusia selama beberapa tahun terakhir.
Tujuannya, beberapa sumber menyatakan, adalah dakwaan ini untuk bertindak sebagai peringatan, membiarkan Rusia (dan dunia) tahu bahawa AS terus maju dengan penyelidikannya.
Dengan mendakwa, pihak pendakwaan dapat memasukkan ke dalam domain awam fakta dan / atau tuduhan yang dijumpai oleh juri agung, kata peguam bela jenayah Jean-Jacques Cabou Ars Technica . Di sini, orang ramai pada umumnya dapat menjadi penonton yang dituju. Tetapi pihak pendakwa juga melepaskan dakwaan untuk menghantar mesej ke sasaran lain.
Siasatan Mueller dijangka akan berlanjutan.
