Russische hackers deden het oldskool
Uit de details die speciaal aanklager Robert Mueller achterhaalde, blijkt dat de Russische hackers verbazend makkelijk binnendrongen in de Democratische Partij. Klassieke phishingtrucs deden de Amerikanen de das om.
Robert Mueller maakte vrijdag een nieuwe reeks aanklachten bekend in zijn onderzoek naar Russische inmenging in de Amerikaanse verkiezingen. Uit die aanklacht, tegen twaalf Russische agenten, blijkt alweer hoe nauwgezet de speciaal aanklager te werk gaat. Stap voor stap kunnen we volgen hoe de twaalf tientallen medewerkers van de Democratische Partij bestoken met phishingmails. Zo dringen ze geleidelijk door tot in het hart van het netwerk van de partij, waar ze documenten stelen. Die worden vervolgens op een weloverwogen manier en op het juiste moment gepubliceerd.
De hackers maakten deel uit van ‘Eenheid 26165’, een onderdeel van de militaire inlichtingendienst GRU. Aan het hoofd stond Viktor Netyksjo, maar de operatie tegen Hillary Clinton werd geleid door majoor Boris Antonov. Het verspreiden van de gestolen documenten gebeurde door een andere groep, ‘Eenheid 74455’.
Misleidende mail op maat
Hoe ging Eenheid 26165 te werk? Veel hightech spionagewerk kwam er niet aan te pas, wel simpele, beproefde ‘spear phishing’technieken. Dat is misschien wel de meest onthutsende conclusie van de Amerikaanse aanklacht. Het zijn dezelfde technieken waarmee oplichters ook in België proberen ons wachtwoorden en, indien mogelijk, geld afhandig te maken.
Een beetje terminologie: bij phishing sturen booswichten vaak duizenden mails tegelijk uit naar willekeurige slachtoffers, in de hoop bijvoorbeeld wachtwoorden buit te maken of pc’s te besmetten met malware. ‘Spear phishing’ is gericht op een bepaalde persoon of organisatie, met misleidende mails die op maat gemaakt zijn.
Kent u die mails waarin u wordt gemeld dat er een beveiligingsprobleem is, bijvoorbeeld met uw Googleaccount? John Podesta, de voorzitter van Hillary Clintons verkiezingscampagne, kreeg er zo een op 19 maart 2016. De mail vroeg hem om een link te volgen, om daar zijn wachtwoord te veranderen. De link was gecamoufleerd via een URLafkorter, zodat het niet meteen opviel dat hij leidde naar een valse website van de GRU. Podesta tikte zijn wachtwoord in op een site die eruitzag als Gmail. Twee dagen later werden 50.000 van zijn emails geroofd. (Die mails werden in oktober 2016, in de onmiddellijke aanloop naar de verkiezingen, gelekt via Wikileaks).
De Russen van Eenheid 26165 stuurden gelijkaardige mails naar andere toplui van de Clintoncampagne, en minstens twee van hen hapten toe. Op 6 april 2016 creëerden de Russen een emailadres dat leek op dat van een medewerker van Clinton – er was maar één letter verschil. Ook dat is een beproefde spear phishingtruc: de phishingmail ziet eruit alsof hij komt van iemand die je vertrouwt. Vanuit dat onverdachte adres stuurden ze mails naar meer dan dertig campagnemedewerkers. De mail bevatte een link naar wat een peiling over Clinton leek te zijn: het rekenblad ‘hillaryclintonfavorablerating.xlsx’. De link leidde, opnieuw, naar een website van de Russen.
XAgent
Op 12 april kreeg ook een werknemer van het Democratic Congressional Campaign Committee (DCCC), een deelorganisatie van de Democratische Partij, een phishingmail. Ze klikte op de link, vulde haar wachtwoord in en hop – de Russen hadden nu toegang tot het netwerk van het DCCC. Dat werd hun springplank naar het netwerk van de Democratische Partij zelf, het Democratic National Committee (DNC).
Tussen april en juni slaagden de Russen erin om minstens tien computers op het
Veel hightech spionagewerk kwam er niet aan te pas, wel simpele technieken, waarmee oplichters ook in België proberen onze wachtwoorden te achterhalen
DCCCnetwerk te besmetten met door henzelf ontwikkelde malware, XAgent. Die malware hield nauwlettend in de gaten wat DCCCwerknemers op hun eigen computer deden, inclusief de wachtwoorden die ze intikten. XAgent stuurde al die gegevens door naar een server van de GRU in Arizona. Een van die werknemers had een wachtwoord om toegang te krijgen tot het netwerk van het DNC zelf. Bingo! Op 18 april was Eenheid 26165 ook tot het DNCnetwerk doorgedrongen.
Leegroven & lekken
Ook het DNCnetwerk werd besmet met XAgent, dat documenten en andere informatie begon te verzamelen over de campagne van Clinton. Vervolgens werden de gestolen documenten via een versleutelde verbinding doorgestuurd naar een server van de GRU in Illinois. Tussen 25 mei en 1 juni kraakten de Russen de mailserver van het DNC, ze hadden nu ook toegang tot alle mails.
Op 8 juni publiceerden de Russen een lading gestolen emails op de website DCleaks.com, die ze zelf hadden opgericht (zich voordoend als ‘Amerikaanse hacktivisten’). De website werd gepromoot via valse Facebookaccounts. Om hun sporen te verbergen, creëerden de Russen een fictieve Roemeense hacker: Guccifer 2.0. Onder die naam correspondeerden ze onder meer met een politicus, een lobbyist en een journalist (die niet bij naam worden genoemd), en met een persoon die ‘in regelmatig contact’ stond met de campagne van Donald Trump (dat zou Roger Stone zijn).
Op 14 juli stuurde ‘Guccifer 2.0’ een archief van gestolen DNCdocumenten door naar Wikileaks, dat ze op 22 juli publiceerde. Vanaf 7 oktober volgden de eerder gestolen Podestamails. Die bevatten enkele gênante fragmenten uit speeches die Hillary Clinton voor Wall Streetbedrijven gaf. En dat bleek voldoende om de aandacht van de pers af te leiden van de op dezelfde dag gepubliceerde ‘grab ’m by the
pussy’tape van Trump.