13 июля 2018 года Министерство юстиции США вынесло 29-страничное обвинительное заключение против 12 сотрудников ГРУ, российской военной разведки. В этом обвинительном заключении следователи Министерства юстиции США (группа Роберта Мюллера) подробно описывают пошаговую деятельность этих российских хакеров.
Российское агентство интернет-исследований
В этой статье я хотел бы подробно рассказать о методах и инструментах, которые русские использовали для взлома сервера Джона Подесты, Комитета по выборам в Конгресс (DCCC) и Национального комитета Демократической партии (DNC), а также для компрометации президентских выборов в США в 2016 году. Этот тип атак не является новым или уникальным, но он примечателен своим воздействием на единственную в мире сверхдержаву.
Самое важное, что я хочу вам сказать, — это то, что это НЕ была сложная операция. Такие взломы мог бы осуществить любой достаточно подготовленный хакер, имея достаточно времени, упорства и умеренных ресурсов. В большинстве случаев хакеры прибегали к проверенным методам социальной инженерии, чтобы получить логины и пароли, а также установить вредоносное ПО для доступа к серверам.
Прежде чем начать, я должен сделать несколько оговорок для читателя. Прежде всего, я обучил американские военные и разведывательные агентства использовать практически те же методы для взлома компьютерных систем противников США, включая Россию. Я считаю важным, чтобы вы, читатель, знали об этом, потому что: (1) США и другие страны используют эти же методы как против своих друзей, так и против своих противников; (2) вы можете предположить, что я предвзят в своем пересказе этих ключевых событий (на самом деле нет); (3) эти методы не настолько «продвинуты», как их представляют в прессе. Все эти взломы может выполнить достаточно хорошо подготовленный хакер, используя бесплатные инструменты с открытым исходным кодом, при наличии времени и терпения.
Взлом председателя предвыборной кампании Клинтон Джона Подесты
В марте 2016 года Алексей Лукашев, старший лейтенант российской армии и военнослужащий подразделения ГРУ 26165, отправил Джону Подесте, руководителю предвыборной кампании Хиллари Клинтон, письма с целью «спиэрфишинга» (электронные письма, отправляемые конкретным лицам с целью завоевать их доверие и инициировать какое-либо действие). Лукашев разослал аналогичные письма и другим членам предвыборной кампании Клинтон в надежде, что кто-то поддастся соблазну перейти по встроенной ссылке на веб-сайт, выдаваемой за ссылку системы безопасности Google. Ссылка была сокращена и скрыта с помощью сервисов сокращения URL, таких как bit.ly, Goo.gl или TinyURL (вероятно, они использовали Goo.gl, поскольку её легко можно было спутать с Google).
Когда они нажали на ссылку, вместо того, чтобы перенаправить Подесту и остальных на сайт безопасности Google, как они ожидали, она фактически привела их на сайт и сервер, которые, по всей видимости, были сайтом безопасности Google. Затем сайт попросил Подесту сменить пароль (любой сайт легко клонировать с помощью httrack ), и он подчинился. Таким образом, российские хакеры получили контроль над почтовым аккаунтом Подесты и скачали более 50 000 писем. Эти письма в конечном итоге были отправлены Джулиану Ассанжу и WikiLeaks.
Этот же метод использовался для получения доступа к аккаунтам электронной почты многих других соратников Клинтон по предвыборной кампании.
Взлом DCCC и других соратников Клинтона
В марте 2016 года россияне начали разведывательную деятельность в сети Комитета по выборам Демократической партии в Конгресс (DCCC). Вероятно, они использовали такие инструменты, как nmap, hping3 и другие, для сбора информации о конфигурации компьютеров и сети DCCC.
Затем Лукашев и его коллега из ГРУ Иван Ермаков начали отправлять множество писем для целевого фишинга с аккаунта, который, по всей видимости, принадлежал доверенному сотруднику Демократической партии (имя было таким же, только с одной измененной буквой), другим оперативникам, подрядчикам и волонтёрам Демократической партии, которых русские собрали, просматривая сайты социальных сетей ( Maltego отлично подходит для этой цели). Отправляя письма с поддельного аккаунта известного и доверенного сотрудника, они пытались завоевать доверие получателей, что, по-видимому, сработало.
В ходе этих попыток фишинга получателям предлагалось нажать на файл «hillary-favorable-rating.xlsx» (см. «Как взломать практически любую систему Windows »). При нажатии на этот файл они попадали на веб-сайт, созданный российскими хакерами для загрузки вредоносного ПО (X-Agent) на целевые устройства. Исходный код X-Agent можно загрузить здесь . Эта вредоносная программа была установлена как минимум на 10 компьютерах DCCC и позволила российским хакерам устанавливать кейлоггеры, делать снимки экрана и получать доступ к компьютерам DCCC.
Скриншоты в конце статьи наглядно демонстрируют, как даже «неопытный» мог бы выполнить этот взлом, используя набор инструментов социальной инженерии (SET) и функцию Spearfishing.
Взлом DNC
Используя учётные данные подрядчика DCCC, собранные во время подводной рыбалки, россияне смогли получить доступ к серверу и сети Национального комитета Демократической партии. У этого подрядчика DCCC были учётные записи в обеих сетях с одинаковыми учётными данными. Войдя
в систему, они начали искать ключевые слова, включая «хиллари», «круз» и «трамп». Российские хакеры установили программу X-Agent и начали регистрировать нажатия клавиш и делать скриншоты ключевых сотрудников Национального комитета Демократической партии.
Извлечение данных и электронных писем
Российские хакеры создали виртуальный сервер в штате Аризона, оплатив его биткойнами (чтобы сохранить анонимность). На этот виртуальный сервер они отправляли данные о нажатиях клавиш и скриншоты систем DNC и DCCC. Затем, чтобы удалить и вывести огромный объём документов и электронных писем, российские хакеры сжали их в gzip-архив и отправили через зашифрованный туннель с помощью программы X-Tunnel (первоначально разработанной китайскими хакерами, она создаёт зашифрованный туннель типа VPN, используя протокол TCP-over-HTTP, что значительно затрудняет обнаружение).
Заключение
Взлом Джона Подесты, DCCC и DNC, очевидно, был осуществлён сотрудниками российского подразделения военной разведки (ГРУ). Используя доступ к личной электронной почте и документам, россиянин пытался повлиять на президентские выборы в США в 2016 году (и, вероятно, добился этого). Использованные ими методы и инструменты широко распространены среди профессиональных хакеров. Аналогичные атаки совершают американские и другие военные разведывательные организации, такие как АНБ США и Центр правительственной связи Великобритании (GCHQ). Более того, эта атака НЕ была сложной, а основывалась на элементарном подводном поиске и общедоступных инструментах с открытым исходным кодом, которые мог бы воспроизвести любой профессиональный хакер.
Подводная охота для Script-Kiddies
Хотя российские хакеры, скорее всего, не использовали этот метод для целенаправленной атаки на Демократическую партию в 2016 году, я предлагаю вам это базовое руководство, чтобы показать, насколько проста такая атака даже для человека с элементарными навыками.
Загрузите и установите набор инструментов социальной инженерии
Первый шаг — загрузить и установить набор инструментов социальной инженерии (SET). Этот скрипт на Python был разработан специально для проведения атак с использованием социальной инженерии, таких как «русская подводная охота».
kali > git clone https://github.com/trustedsec/social-engineer-toolkit
После загрузки и установки SET запустите его, введя:
кали > набор
При запуске SET вы увидите экран, подобный показанному ниже.
Выберите #1 для атак с использованием социальной инженерии.
Далее выберите #1 для векторов атак при подводной охоте.
Сейчас SET объяснит вам, что такое нападение при подводной охоте и как его проводить.
Российское агентство интернет-исследований
В этой статье я хотел бы подробно рассказать о методах и инструментах, которые русские использовали для взлома сервера Джона Подесты, Комитета по выборам в Конгресс (DCCC) и Национального комитета Демократической партии (DNC), а также для компрометации президентских выборов в США в 2016 году. Этот тип атак не является новым или уникальным, но он примечателен своим воздействием на единственную в мире сверхдержаву.
Самое важное, что я хочу вам сказать, — это то, что это НЕ была сложная операция. Такие взломы мог бы осуществить любой достаточно подготовленный хакер, имея достаточно времени, упорства и умеренных ресурсов. В большинстве случаев хакеры прибегали к проверенным методам социальной инженерии, чтобы получить логины и пароли, а также установить вредоносное ПО для доступа к серверам.
Прежде чем начать, я должен сделать несколько оговорок для читателя. Прежде всего, я обучил американские военные и разведывательные агентства использовать практически те же методы для взлома компьютерных систем противников США, включая Россию. Я считаю важным, чтобы вы, читатель, знали об этом, потому что: (1) США и другие страны используют эти же методы как против своих друзей, так и против своих противников; (2) вы можете предположить, что я предвзят в своем пересказе этих ключевых событий (на самом деле нет); (3) эти методы не настолько «продвинуты», как их представляют в прессе. Все эти взломы может выполнить достаточно хорошо подготовленный хакер, используя бесплатные инструменты с открытым исходным кодом, при наличии времени и терпения.
Взлом председателя предвыборной кампании Клинтон Джона Подесты
В марте 2016 года Алексей Лукашев, старший лейтенант российской армии и военнослужащий подразделения ГРУ 26165, отправил Джону Подесте, руководителю предвыборной кампании Хиллари Клинтон, письма с целью «спиэрфишинга» (электронные письма, отправляемые конкретным лицам с целью завоевать их доверие и инициировать какое-либо действие). Лукашев разослал аналогичные письма и другим членам предвыборной кампании Клинтон в надежде, что кто-то поддастся соблазну перейти по встроенной ссылке на веб-сайт, выдаваемой за ссылку системы безопасности Google. Ссылка была сокращена и скрыта с помощью сервисов сокращения URL, таких как bit.ly, Goo.gl или TinyURL (вероятно, они использовали Goo.gl, поскольку её легко можно было спутать с Google).
Когда они нажали на ссылку, вместо того, чтобы перенаправить Подесту и остальных на сайт безопасности Google, как они ожидали, она фактически привела их на сайт и сервер, которые, по всей видимости, были сайтом безопасности Google. Затем сайт попросил Подесту сменить пароль (любой сайт легко клонировать с помощью httrack ), и он подчинился. Таким образом, российские хакеры получили контроль над почтовым аккаунтом Подесты и скачали более 50 000 писем. Эти письма в конечном итоге были отправлены Джулиану Ассанжу и WikiLeaks.
Этот же метод использовался для получения доступа к аккаунтам электронной почты многих других соратников Клинтон по предвыборной кампании.
Взлом DCCC и других соратников Клинтона
В марте 2016 года россияне начали разведывательную деятельность в сети Комитета по выборам Демократической партии в Конгресс (DCCC). Вероятно, они использовали такие инструменты, как nmap, hping3 и другие, для сбора информации о конфигурации компьютеров и сети DCCC.
Затем Лукашев и его коллега из ГРУ Иван Ермаков начали отправлять множество писем для целевого фишинга с аккаунта, который, по всей видимости, принадлежал доверенному сотруднику Демократической партии (имя было таким же, только с одной измененной буквой), другим оперативникам, подрядчикам и волонтёрам Демократической партии, которых русские собрали, просматривая сайты социальных сетей ( Maltego отлично подходит для этой цели). Отправляя письма с поддельного аккаунта известного и доверенного сотрудника, они пытались завоевать доверие получателей, что, по-видимому, сработало.
В ходе этих попыток фишинга получателям предлагалось нажать на файл «hillary-favorable-rating.xlsx» (см. «Как взломать практически любую систему Windows »). При нажатии на этот файл они попадали на веб-сайт, созданный российскими хакерами для загрузки вредоносного ПО (X-Agent) на целевые устройства. Исходный код X-Agent можно загрузить здесь . Эта вредоносная программа была установлена как минимум на 10 компьютерах DCCC и позволила российским хакерам устанавливать кейлоггеры, делать снимки экрана и получать доступ к компьютерам DCCC.
Скриншоты в конце статьи наглядно демонстрируют, как даже «неопытный» мог бы выполнить этот взлом, используя набор инструментов социальной инженерии (SET) и функцию Spearfishing.
Взлом DNC
Используя учётные данные подрядчика DCCC, собранные во время подводной рыбалки, россияне смогли получить доступ к серверу и сети Национального комитета Демократической партии. У этого подрядчика DCCC были учётные записи в обеих сетях с одинаковыми учётными данными. Войдя
в систему, они начали искать ключевые слова, включая «хиллари», «круз» и «трамп». Российские хакеры установили программу X-Agent и начали регистрировать нажатия клавиш и делать скриншоты ключевых сотрудников Национального комитета Демократической партии.
Извлечение данных и электронных писем
Российские хакеры создали виртуальный сервер в штате Аризона, оплатив его биткойнами (чтобы сохранить анонимность). На этот виртуальный сервер они отправляли данные о нажатиях клавиш и скриншоты систем DNC и DCCC. Затем, чтобы удалить и вывести огромный объём документов и электронных писем, российские хакеры сжали их в gzip-архив и отправили через зашифрованный туннель с помощью программы X-Tunnel (первоначально разработанной китайскими хакерами, она создаёт зашифрованный туннель типа VPN, используя протокол TCP-over-HTTP, что значительно затрудняет обнаружение).
Заключение
Взлом Джона Подесты, DCCC и DNC, очевидно, был осуществлён сотрудниками российского подразделения военной разведки (ГРУ). Используя доступ к личной электронной почте и документам, россиянин пытался повлиять на президентские выборы в США в 2016 году (и, вероятно, добился этого). Использованные ими методы и инструменты широко распространены среди профессиональных хакеров. Аналогичные атаки совершают американские и другие военные разведывательные организации, такие как АНБ США и Центр правительственной связи Великобритании (GCHQ). Более того, эта атака НЕ была сложной, а основывалась на элементарном подводном поиске и общедоступных инструментах с открытым исходным кодом, которые мог бы воспроизвести любой профессиональный хакер.
Подводная охота для Script-Kiddies
Хотя российские хакеры, скорее всего, не использовали этот метод для целенаправленной атаки на Демократическую партию в 2016 году, я предлагаю вам это базовое руководство, чтобы показать, насколько проста такая атака даже для человека с элементарными навыками.
Загрузите и установите набор инструментов социальной инженерии
Первый шаг — загрузить и установить набор инструментов социальной инженерии (SET). Этот скрипт на Python был разработан специально для проведения атак с использованием социальной инженерии, таких как «русская подводная охота».
kali > git clone https://github.com/trustedsec/social-engineer-toolkit
После загрузки и установки SET запустите его, введя:
кали > набор
При запуске SET вы увидите экран, подобный показанному ниже.
Выберите #1 для атак с использованием социальной инженерии.
Далее выберите #1 для векторов атак при подводной охоте.
Сейчас SET объяснит вам, что такое нападение при подводной охоте и как его проводить.
