Biały Wywiad . Atak hakerów na Bundestag.
Niemieccy prokuratorzy uważali, że atak hakerski w 2015 r. na Bundestag, został przeprowadzony przez tego samego rosyjskiego agenta, który rok później przeprowadził atak hakerski na kampanię prezydencką kandydatki z ramienia Partii Demokratycznej , senator Hillary Clinton, włamując się do jej serwerów ,skrzynki pocztowej i wykradając e-maile.
W dniu 13 lipca 2018 r. wielka ława przysięgłych federalna zasiadająca w Dystrykcie Kolumbii zwróciła akt oskarżenia przeciwko 12 oficerom rosyjskiego wywiadu wojskowego za ich rzekomą rolę w ingerowaniu w wybory w Stanach Zjednoczonych (USA). Akt oskarżenia oskarża 11 oskarżonych, Dmitrij Siergiejewicz Badin, Borys Aleksiejewicz Antonow, Iwan Siergiejewicz Yermakow, Aleksiej Wiktorowicz Łukaszew, Siergiej Aleksandrowicz Morgachew, Nikołaj Jurijewicz Kozachek, Pavel Wyacheslavovich Yershov, Artem Andreyevich Malyshev, Aleksandr Vladimirovich Osadchuk, Aleksey Aleksandrowicz Potemkin i Wiktor Bijaszowicz / grupa STRONTIUM / którzy przeprowadzili atak hakerski polegający na uzyskaniu nieautoryzowanego dostępu do komputerów amerykańskich osób i podmiotów zaangażowanych w 2016 r. w Stanach Zjednoczonych w wybory prezydenckie, kradzież dokumentów z tych komputerów i publikacja skradzionych dokumentów w celu ingerowania w wybory prezydenckie w USA w 2016 roku. Akt oskarżenia oskarża również tych hakerów o kradzież tożsamości, fałszywą rejestrację nazwy domeny i spisek w celu popełnienia prania pieniędzy. Dwóch oskarżonych, Aleksandr Władimirowicz Osadchuk i Anatolij SiergiejEwicz Kowaliow są oskarżeni o odrębny spisek w celu popełnienia przestępstw komputerowych, związanych z włamaniem do komputerów amerykańskich osób i podmiotów odpowiedzialnych za administrację wyborów w USA w 2016 roku, takich jak państwowe komisje wyborcze, sekretarze stanu i amerykańskie firmy, które dostarczały oprogramowanie i inne technologie związane z administracją wyborów w USA. Sąd Okręgowy Stanów Zjednoczonych dla Dystryktu Kolumbii w Waszyngtonie wydał federalny nakaz aresztowania Dmitrija Siergiejewicza Badina .
Dodatkowo, 3 października 2018 r., federalna wielka ława przysięgłych zasiadająca w zachodnim dystrykcie Pensylwanii zwróciła akt oskarżenia przeciwko 7 rosyjskim osobom za ich role w hakowaniu i związanych z nimi działaniach związanych z wpływami i dezinformacją skierowanych między innymi do międzynarodowych agencji antydopingowych, federacji sportowych i urzędników antydopingowych. Akt oskarżenia oskarża Dmitrija Siergiejewicza Badina, Aleksiej Siergiejewicz Morenets, Jewgienij Michajłowicz Serebriakow, Ivan Siergiejewicz Yermakow, Artem Andreyevich Malyshev, Oleg Michajił Sotnikovi Aleksiej Valerevich Minin że działalnością hakerską od 2014 do maja 2018 przeprowadzili włamania komputerowe do Amerykańskiej Agencji Antydopingowej (USADA), Światowej Agencji Antydopingowej (WADA) i innych podmiotów będących ofiarami podczas Letnich Igrzysk Olimpijskich i Paraolimpijskich w 2016 r. i później. Akt oskarżenia oskarża tych oskarżonych o spisek w celu popełnienia oszustwa komputerowego, spisek w celu popełnienia oszustwa, oszustwa, kradzież tożsamości i spisek w celu popełnienia prania pieniędzy. Sąd Okręgowy Stanów Zjednoczonych dla Zachodniego Dystryktu Pensylwanii w Pittsburghu w Pensylwanii wydał federalny nakaz aresztowania każdego z tych oskarżonych po powrocie aktu oskarżenia przez wielką ławę przysięgłych.
Niemiecki Bundestag odkrył, że jego systemy zostały podzielone w maju 2015 r. i stwierdził, że włamania trwają co najmniej od początku tego roku. Nie można było ustalić, jakie informacje zostały skradzione.
5 maja 2020 r.
Autor Christo Grozev.
5 maja 2020 r. niemieckie media podały, że niemiecka prokuratura federalna wydała nakaz aresztowania dla obywatela Rosji Dmitrija Badina, głównego podejrzanego w sprawie włamania do niemieckiego Bundestagu w 2015 roku.
W kwietniu 2015 r. posłowie do niemieckiego parlamentu, a także członkowie biura Kanclerz Angeli Merkel w Bundestagu, otrzymali e-mail, który rzekomo pochodzi od Organizacji Narodów Zjednoczonych, w oparciu o jej widoczną nazwę domeny „@un.org”. Mail nosił tytuł „Konflikt Ukrainy z Rosją pozostawia gospodarkę w ruinie„.
Wiadomość e-mail nosiła złośliwy kod wykonywalny, który zainstalował się na komputerze ofiary.
W ciągu następnych kilku tygodni złośliwe oprogramowanie , które zaczęło kraść hasła i rozprzestrzeniać się w wewnętrznych sieciach lokalnych , przejęło niestety całą infrastrukturę INFORMATYCZNĄ Bundestagu, czyniąc z niej niedostępne usługi online i zewnętrzną stronę internetową. W tle dzienniki później pokazały, że ponad 16 gigabajtów danych zostało zasysane przez zagranicznego hakera. Obejmowały one kompletne skrzynki pocztowe niemieckich parlamentarzystów. Według doniesień medialnych doszło również do naruszenia skrzynek pocztowych biura poselskiego Kanclerz Angeli Merkel.
![\"Angela](\"https://i.guim.co.uk/img/media/0d81fcb2117932e20b2e58d9cbc304da6ccb18a0/0_346_5184_3110/master/5184.jpg?width=300&quality=85&auto=format&fit=max&s=d5267bfc8bdbfc62054ad543b36a56ec\")
Kanclerz Angela Merkel powiedziała, że rosyjskie ataki hakerskie na Bundestagu, w których jej e-maile zostały przejęte, zaszkodziły wysiłkom na rzecz budowania ufnych stosunków z Moskwą.
Merkel powiedziała w środę niemieckiemu parlamentowi, że z bólem dowiedziała się o włamaniu do włamania w 2015 roku i sprawcy.
Magazyn \”Der Spiegel\” podał w zeszłym tygodniu, że dochodzenie prowadzone przez niemieckie służby wywiadowcze wykazało, że agenci rosyjskiej służby wywiadu wojskowego GRU przeprowadzili atak. Moskwa zaprzeczyła wszelkim zarzutom, jakoby zhakowała obce rządy.
Merkel odpowiedziała na pytanie Tabei Rößner, posłanki opozycyjnej partii Zielonych, o jej poglądy na temat wyniku dochodzenia. Merkel powiedziała, że jest zadowolona, że śledczy dowiedzieli się, kto jest odpowiedzialny za atak i starają się dokonać aresztowań.
\”Potraktuję to bardzo poważnie\”, powiedziała Merkel. \”Mogę bardzo szczerze powiedzieć, że mnie to boli. Z jednej strony codziennie staram się mieć lepsze stosunki z Rosją .Ale kiedy widzisz z drugiej strony, że istnieją twarde dowody na to, że rosyjskie mocarstwa zachowują się w ten sposób, to oczywiście jest to obszar napięcia. że pozostaje we mnie. To jest nieprzyjemne.\”
Zapytana przez Manuela Höferlina z probiznesowych Wolnych Demokratów o wyjaśnienie, że używanie przez nią słowa nieprzyjemne, które , jak powiedział, było niewystarczające, odpowiedziała: \”Nieprzyjemne jest tylko jedna część, ale uważam to również za skandaliczne. Oczywiście szkodzi to wszelkiemu zaufaniu do współpracy.\”
Powiedziała, że inni koledzy z parlamentu również zostali dotknięci tym, że ich e-maile zostały zhakowane w ataku, a także uznaliby to za skandaliczne.
Powiedziała, że to, co nazwała wojną hybrydową Rosji, było \”strategią których musimy mieć oko i których nie możemy tłumić\”.
Zawsze podejrzewano, że atak hakerski sprzed pięciu lat, który sparaliżował niemiecki parlament na kilka dni, został wykorzystany do pozyskania poufnych danych, które później wykorzystano w celu destabilizacji systemu politycznego w okresie poprzedzającym wybory federalne w 2017 roku.
Eksperci IT z FBI i niemieckich organów wywiadowczych zebrali dowody wskazujące, że atak został przeprowadzony przez hakerów zbiorowego APT28, znany również jako Fancy Bear, pracujący dla GRU. Uważa się, że ta sama grupa stoi za atakiem hakerskim na Partię Demokratyczną przed wyborami prezydenckimi w USA w 2016 roku.
Szczególny nacisk na atak skupia się teraz na Dimitri Badinie, agencie GRU , którego uważa się, że prowadził operację szpiegostwa. Niemiecki prokurator generalny wydał nakaz aresztowania.
Merkel powiedziała, że Niemcy podejmą odpowiednie środki, tak jak miało to miejsca w przypadku wprowadzenia sankcji wobec rosyjskich dyplomatów po zabójstwie latem ubiegłego roku w berlińskim parku Tiergarten byłego czeczeńskiego powstańca, co zdaniem Niemiec było zabójstwem w imieniu państwa rosyjskiego.
Kim jest Dmitry Badin?
Niemieckie media donoszą, że niemiecka policja federalna była w stanie połączyć kampanię phishingową w 2015 r., a następnie kradzież danych z Dmitrijem Badinem, członkiem elitarnej jednostki hakerskiej GRU 26165, lepiej znanej wśród analityków bezpieczeństwa cybernetycznego jako APT28 / szerzej pisałem o tej jednostce w blogu BIAŁY WYWIAD. GRU. /
https://wordpress.com/block-editor/post/mirekszczerba.com/95
Powiązanie operacji z nim zostało podobno oparte na analizie dzienników i „informacjach z usług partnerskich”; nie upubliczniono jednak jeszcze żadnych konkretnych dowodów na to, w jaki sposób dokonano przypisania.
Dmitry Badin był już na liście poszukiwanych przez FBI w związku z jego rzekomym zaangażowaniem w kilka operacji hakerskich przypisywanych jednostce APT28 GRU. Wśród tych operacji był atak hakerski na organizację antydopingową WADA, podczas gdy badał program administracji dopingu, jak również Hack DNC w przededniu wyborów prezydenckich w USA.
![\"\"](\"https://i1.wp.com/017qndpynh-flywheel.netdna-ssl.com/wp-content/uploads/2020/05/badin_fbi.png?ssl=1\")
Dokumenty FBI opisują Dmitrija Badina jako „rzekomo rosyjskiego oficera wywiadu wojskowego, przydzielonego do jednostki 26165”, urodzonego w Kursku 15 listopada 1990 roku. Jego zdjęcie paszportowe zostało opublikowane jako część jego pakietu Wanted.
Na podstawie analizy danych z głównie otwartych źródeł / open source /, możemy potwierdzić, że Dmitry Badin, urodzony 15 listopada 1990 r., rzeczywiście pracuje dla jednostki GRU 26165.
![\"\"](\"https://i0.wp.com/017qndpynh-flywheel.netdna-ssl.com/wp-content/uploads/2020/05/comparison.png?resize=580%2C316&ssl=1\")
Poszukiwanie pełnego imienia i nazwiska Badina oraz datę urodzenia w ujawnionych wcześniej moskiewskich bazach danych rejestracyjnych samochodów stanowiło mecz: Dmitry Sergeevich Badin, urodzony 15 listopada 1990 roku, kupił samochód KIA PS w czerwcu 2018 roku. Rejestracja samochodu zawierała numer paszportu właściciela i miejsce wydania (Petersburg), a także jego zarejestrowany adres. Adresem zarejestrowanym Badin, na 1 czerwca 2018 r., był Komsomolsky Prospect 20.
![\"\"](\"https://i2.wp.com/017qndpynh-flywheel.netdna-ssl.com/wp-content/uploads/2020/05/car_reg.png?resize=580%2C309&ssl=1\")
Jest to adres jednostki wojskowej GRU 26165, jak widać z publicznie dostępnych rosyjskich rejestrów korporacyjnych. Jednostka 26165 jest również znana jako 85-te Główne Centrum GRU, specjalizujące się w kryptografii. Centrum po raz pierwszy zyskało rozgłos opinii publicznej w 2017 roku, kiedy rosyjski partner śledczy The Insider , odkrył że oficer z tej jednostki nieumyślnie pozostawił swoje osobiste metadane w dokumencie wyciekłym w ramach tak zwanych Wycieków Macrona.
![\"\"](\"https://i0.wp.com/017qndpynh-flywheel.netdna-ssl.com/wp-content/uploads/2020/05/koms20.png?resize=580%2C59&ssl=1\")
Wcześniej stwierdzono naruszenie bezpieczeństwa operacyjnego rosyjskiego wywiadu wojskowego, które pozwoliło na identyfikację co najmniej 305 oficerów, którzy zarejestrowali swoje samochody pod tym samym adresem. Dmitry Badin nie był na liście 305 funkcjonariuszy, których zidentyfikowano ze względu na fakt, że kupił swój samochód po tym, jak baza danych rejestracji samochodów, z którą konsultowano się w październiku 2018 r., została publicznie ujawniona.
Obecnie nie ma wiedzy o tym, jak niemieccy śledczy byli w stanie połączyć Dmitrija Badina z atakiem hakerskim na Bundestag. Jednak dowody open-source, które odkryto, mogą wskazywać na jego rolę w wielu więcej niż trzech operacjach hakerskich, z którymi jego nazwisko zostało powiązane.
Korzystając z numeru rejestracyjnego samochodu Badina, przeszukano wyciekłą bazę danych moskiewskiej bazy parkingowej i okazało się, że często parkował swój samochód w pobliżu akademika Rosyjskiej Akademii Wojskowej, przy Bolshaya Pirogovskaya 51.
Dzienniki parkingowe zawierały również dwa numery telefonów, których używał do płatności mobilnych za swoje sesje parkingowe. Następnie wyszukano oba te numery w różnych komunikatorach telefonicznych i bazach danych telefonów do wyszukiwania wstecznego.
Jeden z numerów pojawił się w aplikacji Viber Messenger pod oczywiście przybranym nazwiskiem Gregor Eisenhorn, postacią z gry fantasy Warhammer 40,000 .
Drugi numer pojawił się w dwóch różnych aplikacjach wyszukiwania numerów telefonów, zarówno pod jego prawdziwym nazwiskiem, jak i pod tym, co później wydawało się być jego ulubionym aliasem: „Nicola Tesla”.
![\"\"](\"https://i1.wp.com/017qndpynh-flywheel.netdna-ssl.com/wp-content/uploads/2020/05/tesla_num2.png?resize=580%2C112&ssl=1\")
Następnie sprawdzono, czy numer ten był powiązany z kontem w mediach społecznościowych w Rosji i odkryto, że został on połączony z usuniętym kontem na portalu VKontakte (VK). Przeszukując zarchiwizowanych kopii tego konta, odkryto, że od 2016 roku był on używany pod nazwą Dmitry Makarov. Jeszcze wcześniej jednak miał nazwę Nicola Tesla, a także miał nazwę użytkownika „Scaramouche”.
![\"\"](\"https://i0.wp.com/017qndpynh-flywheel.netdna-ssl.com/wp-content/uploads/2020/05/origin_scaramouche.png?resize=524%2C200&ssl=1\")
W tym okresie którego nie można było dokładnie datować z zarchiwizowanej kopii , użytkownik konta VK miał siedzibę w Kursku, gdzie urodził się Dmitry Badin i gdzie dorastał przed przeprowadzką do Petersburga. Jego okres w Petersburgu który można ustalić zarówno z miejsca wydawania paszportu, jak i ze zdjęć na koncie VK jego żony przed 2014 r , prawdopodobnie wiąże się z jego studiami uniwersyteckimi. Wcześniejsze dochodzenia w sprawie członków zespołu hakerskiego GRU ustaliły, że duża liczba hakerów ukończyła uniwersytety informatyki w Petersburgu.
Dowiedziano się również, że numer telefonu komórkowego Badina jest powiązany z kontem Skype, które, podobnie jak jego nieistniejące już konto VK, jest w nazwie „Nicola Tesla”, ale używa nazwy użytkownika Scaramoush777.
![\"\"](\"https://i1.wp.com/017qndpynh-flywheel.netdna-ssl.com/wp-content/uploads/2020/05/skype.jpg?resize=580%2C185&ssl=1\")
Scaramouche, z włoskiego słowa scaramuccia jest standardem złego charaktera klauna z komedii dell’arte z XVI wieku.
Słowo to jest prawdopodobnie lepiej znane ze znanego recytatora z Queen’s Bohemian Rhapsody. Jednak dla badaczy bezpieczeństwa cybernetycznego badających operacje hakerskie z podmiotami państwowymi, słowo to niesie ze sobą dodatkowy ładunek.
W marcu 2017 r. jednostka zagrożeń cybernetycznych firmy Secure Works opublikowała własną białą księgę atrybucji, uzasadniając swoje wnioski, że hakowanie przez APT28 (do którego Secure Works odnosi się o własnej nazwie kodowej „Iron Twilight” jest operacją sponsorowaną przez rząd, która jest najprawdopodobniej powiązana z rosyjskim wywiadem wojskowym. W swoim raporcie ,firma Secure Works wymienia zarówno cele, które zidentyfikował APT 28 jako zaatakowane, jak i zestaw narzędzi używanych przez tę mroczną grupę hakerów.
Zestaw punktów końcowych używany przez APT28 do wykonywania zrzutów ekranu i kradzieży poświadczeń celów, nosi nazwę Scaramouche. Ten konkretny zestaw złośliwego oprogramowania otrzymał swoją nazwę od SecureWorks Cyber Threats Unit, który nazwał go, własnymi słowami,„po utracie nazwy użytkownika Scaramouche znalezionej w ścieżce PDB obu narzędzi”.
![\"\"](\"https://mirekszczerbacom.wpcomstaging.com/wp-content/uploads/2020/07/unnamed.jpg?w=900\")
Biorąc pod uwagę, że Dmitry Badin używał nazwy użytkownika Scaramouche , sądząc po wszystkich dowodach , zanim dołączył do GRU, jest mało prawdopodobne, że uzurpował sobie istniejącą wcześniej nazwę użytkownika dla swoich kont VK i Skype. Jest to jasne, gdy opiera się na byciu częścią zespołu programistów GRU o nazwie „scaramouche”. O wiele bardziej wiarygodnie, nazwa użytkownika „scaramouche” odkryta przez CTU była mianowicie własną nazwą użytkownika Badina. To z kolei oznaczałoby, że zestaw punktów końcowych programu napisany właśnie przez Dmitry Badina ,był kluczowym elementem złośliwego oprogramowania używanego we wszystkich atakach hakerskich przypisywanych APT28. od ataków na rosyjskich opozycjonistów i dziennikarzy po zachodnie organizacje medialne , zespół dochodzeniowo-śledczy MH17, niemiecki Bundestag .
Byłoby rozsądne, aby zapytać: czy jest prawdopodobne, że taki płodny i bystry haker pozostawi takie ślady, które łatwo wplątują go w seryjną cyberprzestępczość? Nie jest tak trudno uwierzyć, biorąc pod uwagę własną nonszalancję ,przekonanie o własnej potędze , hakerów GRU w kierunku zakrywania własnych czynów. Koledzy Badina, którzy zostali przyłapani na próbie włamania się do laboratorium OPCW w Hadze, na przykład, nosili paragony taksówkowe wyraźnie pokazujące trasę z siedziby GRU na lotnisko. Można było wtedy łatwo zidentyfikować tych 305 z nich po prostu przez adres, pod którym zarejestrowali swoje samochody, nie wspominając już o tym, że Badin sam zarejestrował swój pojazd na oficjalny adres jego jednostki GRU. Pisałem o tych praktykach rosyjskich hakerów w innych moich blogach z cyklu BIAŁY WYWIAD.
W 2018 r. duża kolekcja zhakowanych rosyjskich kont pocztowych, w tym nazwa użytkownika i hasła, została wrzucona online. E-mail hakera Dmitrija Badina który ustalono z jego konta Skype, który z kolei uzyskano z jego numeru telefonu, który oczywiście otrzymano z jego rejestracji samochodu , został zhakowany. On najwyraźniej był przy użyciu hasła Badin1990. Po tym, jego poświadczeniu e-mail wyciekły ponownie w ramach większego ataku hakerskiego gdzie zobaczono że zmienił hasło z Badin1990 do znacznie bardziej bezpieczne Badin990.
Dziękując Państwu za uwagę ,zapraszam na kolejny blog z cyklu BIAŁY WYWIAD.
Świętowit.
You must be logged in to post a comment.