Stopa ruských hackerů v amerických volbách 2016

Robert ŠefrAmerické prezidentské volby 2016

Prezidentské volby v USA byly doprovázeny mnoha incidenty spojovanými s hackingem. Napadeny byly servery demokratů i republikánů, zveřejněny ovšem pouze e-maily Clintonové. Volby tak možná poprvé v historii ovlivnil zdokumentovaný kybernetický útok cizí mocnosti.

[fb_button]

Volby nebyly ovlivněny přímo útokem na hlasovací zařízení (i když i taková podezření existovala), ale byly určitě ovlivněny několika nepřímými útoky hackerů. Jedním z nich byl útok na soukromou poštu Hillary Clintonové, ve které byly nalezeny utajované informace z doby, kdy byla Clintonová ministryní zahraničí. FBI se nejprve rozhodla incident nevyšetřovat, ale 11 dní před volbami nakonec oznámila zahájení vyšetřování, což samozřejmě ovlivnilo důvěryhodnost Clintonové během probíhajícího předčasného hlasování, ve kterém svůj hlas odevzdaly desítky milionů lidí.

Dalším incidentem byly kybernetické útoky na volební štáby obou stran, resp. zveřejnění informací získaných neautorizovaným přístupem k e-mailové komunikaci Democratic National Committee (DNC) na serveru WikiLeaks. Zveřejněné e-maily (necelých 30 000 zpráv) obsahovaly obrovské množství informací, ale medializovány byly zejména urážky uvnitř DNC směřující proti vlastnímu kandidátovi Berniemu Sandersovi.

To samozřejmě velmi těžce nesli jeho fanoušci a byla to živá voda pro jeho kritiku establishmentu. Další oblastí byly informace o sponzorech DNC a plány na jejich odměňování formou přidělení postů v představenstvech a různých komisích. Tím ovšem problémy neskončily – kromě výše zmíněného bylo zveřejněno také více než padesát tisíc e-mailů ze soukromé schránky vedoucího kampaně demokratické kandidátky Johna Podesty (opět na serveru WikiLeaks).

Útočníci zvolili přímočarou cestu, tzv. „spear phishing“, aktuálně nejoblíbenější metodu cílených útoků. Jednalo se o podvodné e-maily, které obsahovaly odkaz na webovou stránku s připravenou infekcí. Ta umožnila útočníkům převzít kompletní kontrolu nad počítačem uživatele. Další alternativou útoku byl e-mail s odkazem na web, který připomínal webový přístup k e-mailu a požadoval po uživateli změnu hesla. Takto útočníci získali přístup k mnoha e-mailovým schránkám.

V případě „spear phishingu“ je obsah e-mailu připraven cíleně pro adresáta tak, aby si získal dostatečnou pozornost a důvěru. Tím se liší od plošného „phishingu“, který v e-mailech volí univerzální témata (např. podvrženou informaci o odeslání poštovní zásilky). Ubránit se spear phishingu v prostředí, kde uživatel vyřizuje velké množství e-mailů včetně těch od externích subjektů, je velmi obtížné.

Podle analýzy sítě DNC zveřejněné společností CrowdStrike si útočníci udržovali přístup k počítačům více než rok a takto nerušeně operovali a získávali data (CrowdStrike.com 2016). V analýzách je často uváděno, že cílem útoků nebylo pouze DNC, ale i organizace a štáby kandidátů za republikány. Vzhledem k sofistikovanosti útočníků je prakticky nemožné, aby se ostatní subjekty útokům ubránily.

S největší pravděpodobností byly cílené štáby napadeny úspěšně, ale přesto došlo ke zveřejnění pouze vybraných informací od demokratů (!). O kvalitě spear phishinových e-mailů svědčí i případ Johna Podesty. Ten podvodný e-mail přeposlal na kontrolu na IT oddělení, protože se mu zdál podezřelý. Odpověď ale byla, že e-mail je v pořádku a heslo si má opravdu změnit (TheGuardian.com 2016c). Zároveň s Podestou bylo cílem stejného útoku dalších sto členů volebního štábu demokratů.

Server WikiLeaks přiznává, že informace obdržel od třetí strany, ale neupřesňuje od koho. Poté, co byly během první analýzy počítačů DNC za útočníky označeny skupiny ruských hackerů „Cozy Bear“ a „Fancy Bear“, se k útoku přihlásil hacker nebo skupina hackerů pod označením „Guccifer 2.0“ s prohlášením, že není/nejsou nijak napojen/i na Rusko. Od první analýzy společnosti CrowdStrike bylo ale stále jako původce útoků zmiňováno Rusko. Společnost CrowdStrike popisuje nalezený malware a spojuje ho se jmenovanými hackerskými skupinami, které kód použily opakovaně.

Tajné služby USA na Rusko ukázaly také a dokonce opakovaně i na prezidenta Putina, vládu a ruské tajné služby (DNI.gov 2017). Donald Trump a někteří analytici účast Ruska buď přímo zpochybňovali, nebo upozorňovali na to, že ukázat prstem na konkrétního viníka je téměř nemožné, protože stopy hackerských útoků lze teoreticky falšovat.

Falšování je ale považováno za velmi obtížné, protože hackerské skupiny dlouhodobě využívají své vlastní nástroje, které dokáží obměňovat pouze částečně. Právě na základě podobnosti použitých technik a nástrojů jsou útoky jednotlivým skupinám přisuzovány (CCC.de 2016).

Člen Trumpova týmu James Woolsey, bývalý ředitel CIA, jako jeden z mála účast Ruska připustil. Zároveň dodal, že nepředpokládá útoky pouze ze strany Ruska, ale také z Číny a Íránu. Zmínil, že tyto útoky nejsou jednou organizovanou akcí, ale mnoha nezávislými, souběžnými a vytrvalými pokusy o prolomení ochrany systémů a získání dat. Nezávislých hackerských skupin je více a mohou mít různé motivace (CNN.com 2017b).

Uznávaný publicista v oblasti kyber-kriminálního undergroundu postsovětských států, Brian Krebs, ukázal na změny postupů ruských tajných služeb. Podle Krebse GRU operace často neprovádí vlastními silami, ale rekrutuje nebo objednává hackery z kriminálního prostředí a přivírá oči nad jejich soukromými aktivitami, dokud plní zadané úkoly (KrebsOnSecurity.com 2017).

Tito útočníci tak nejsou motivováni své aktivity příliš maskovat a jdou k cíli nejjednodušší cestou i za cenu toho, že jsou s nimi útoky později spojeny. Postupy mohou být sice imitovány jinou skupinou hackerů a jiným státem, ale úsilí věnované takové imitaci by bylo enormní a pravděpodobně by selhalo v útocích takto velkého rozsahu.

Krebs tedy naznačil, že k útokům došlo pravděpodobně skrze nezávislé skupiny, které byly najaty ruskými bezpečnostními službami. Po schůzce se zástupci tajných služeb USA na začátku ledna již zapojení Ruska nezpochybňoval ani Donald Trump (CNN.com 2017a).

[fb_button]

[divider scroll_text=“zdroje“]

  • CrowdStrike.com. 2016. Bears in the Midst: Intrusion into the Democratic National Committee. (cit. 2016-05-15). (https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee)
  • TheGuardian.com. 2016c. Top Democrat’s emails hacked by Russia after aide made typo, investigation finds. (cit. 2016-12-14). (https://www.theguardian.com/us-news/2016/dec/14/dnc-hillary-clinton-emails-hacked-russia-aide-typo-investigation-finds)
  • DNI.gov. 2017. Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution. (cit. 2017-01-06). (https://www.dni.gov/files/documents/ICA_2017_01.pdf)
  • CCC.de. 2016. Visiting The Bear Den. (cit. 2016-12-28). (https://media.ccc.de/v/33c3-8094-visiting_the_bear_den)
  • KrebsOnSecurity.com. 2017. The Download on the DNC Hack. (cit. 2017-01-03). (https://krebsonsecurity.com/2017/01/the-download-on-the-dnc-hack)
  • CNN.com. 2017. Adviser contradicts Trump: Russians hacked the US. (cit. 2017-01-03). (http://edition.cnn.com/2017/01/02/politics/digital-fingerprints-russia-hacking)
  • CNN.com. 2017b. Adviser contradicts Trump: Russians hacked the US. (cit. 2017-01-03). (http://edition.cnn.com/2017/01/02/politics/digital-fingerprints-russia-hacking)