Close Menu
lördag, juli 5
Cybersecurity

Demokraternas email läcka – är det Ryska statliga hackers?

daniel larssonBy Updated:Inga kommentarer8 Mins Read

En massiv dataläcka kring demokraternas email har läckts till Wikileaks och nu är frågan vem som ligger bakom läckan är det rysk underrättelsetjänst? Robby Mook som är kampanjchef för Clinton var reptilsnabb att anklaga Moskva redan på söndagen att medvetet hjälpa republikanska presidentkandidat Donald Trump. Läckan har gjort intrång och kommit över ungefär 20 000 interna emejl som blivit publicerade på Wikileaks, whistleblower organisationen som är grundad av Julian Assange.

Tidpunkten för läckan är vältajmad med Demokraternas konvent i Philladelphia som är i antågande och man har lyckats splittra demokraterna mellan Hillary Clinton och Bernie Sanders supportrar eftersom demokraternas ledning har gett Hillary fördelar.

Några veckor tidigare i juni har experter sagt att ryska statliga aktörer har brutit sig in i DNC (Democratic National Convent) och hackat deras email men enligt Washington Post har hackers haft tillgång till DNC i över ett års tid.

Ett halvår efter valet i maj 2017 publicerade Washington Post en artikel som handelade  om ett hemligt dokument som spelade en nyckelroll i hur FBI direktören hanterade mejlskandalen. Enligt det falska dokumentet så fanns det ett tyst samförstånd mellan justitiedepartementet och Clinton kampanjen. Dokumentet sammanflätade personer som inte hade haft någon kontakt md varandra och det gjordes även kopplingar till miljardären George Soros som anses som en fiende till Kreml.

Hur har de undersökt läckan?

Demokraterna har anlitat säkerhetsföretaget CrowdStrike som innom 24 timmar hade installerat programvara för att se vem som haft tillgång till systemet. CrowdStrike som är ett molnbaserat företag som är specialiserade på end-point säkerhet identifierade ”två sofistikerade hackergrupper/underrättelsetjänster. Dessa döptes till de ryssklingande namnen Cozy Bear och Fancy Bear – vilket säkerhetsexperterna betraktade som mycket sofistikerade och som tidigare har attackerat myndigheter, försvarsentreprenörer, tech företag och universitet i flera länder. Gissningsvis gör de en forensic analys och undersöker loggfilerna till webbservrar och emailservrar. FBI är också inkopplade och undersöker läckan och varifrån den kommer.

Vilka är Cozy Bear?

Enligt Dmitri Alperovitch som är CTO på Crowdstrike hade Cozy Bear access förra sommaren och de övervakade email och chat. CozyBear har flera namn och kallas enligt vissa industrirapporter för CozyDuke, CozyCar, Cozer eller APT 29.  Cozy Bear har tidigare attackerat Vita huset, utrikesdepartementet (state department) och Joint Chiefs of Staff s e-postsystem 2014. Cozy Bear som är en del av The Dukes har tidigare angripit länder i Västeuropa, Brasilien, Kina, Japan, Mexiko, Nya Zeeland, Sydkorea, Turkiet och länderna i Centralasien.

CozyBear är modulär malware plattform som är skapad kring en bakdörr komponent som kan instrueras av en CC-server att ladda ner och köra valfria moduler.

Tidigare har CozyBear ofta utgått från en spjutfiskekampanjer där man vänder sig till specifika personer och försöker få dem att klicka på webblänkar som i sin tur installerar ett antal sofistikerade verktyg för fjärråtkomst (remote access tools), inklusive AdobeARM, ATI-agent, och MiniDionis. Vid intrånget har de använt SeaDaddy som är utvecklat i Python som bakdörr som gör det möjligt att starta kod med automatik vid en viss tidpunkt.

Crowd Strike tror att gruppen som står bakom Cozy Bear förmodligen är FSB – Rysslands federala säkerhetstjänsten som arbetar med politisk intelligens och underättelseverksamhet.

Mer information om CozyBear
https://www.f-secure.com/documents/996508/%201030745/CozyDuke
https://securelist.com/blog/research/69731/the-cozyduke-apt/

Vilka är Fancy Bear?

Fancy Bear  (även känd som Pawn Storm, Sofacy eller APT 28)
Fancy Bear hade access i april och siktade in sig kring filer som rörde oppositionen. Bland tidigare attacker har de riktats mot flygindustrin, försvar, energi, regeringen och media. Fancy Bear har identifierats i USA, Västeuropa, Brasilien, Kanada, Kina, Georgien, Iran, Japan, Malaysia och Sydkorea.

Fancybear använder ett brett spektrum av verktyg  som har utvecklats under loppet av många år och inkluderar Sofacy, X-Agent, X-tunnel, WinIDS, Foozer och DownRange droppers, och de använder även malware för Linux, OSX, IOS , Android och Windows Phone. Denna grupp är känd för sin teknik för att registrera domäner som påminner om domäner från legitima organisationer som de planerar att attackera.

CrowdStrike tror att Fancy Bear arbetar för GRU, Rysslands militära underrättelsetjänst eftersom attackerna speglar strategiska intressen nära den ryska regeringen. De har utfört riktade intrångskampanjer mot flyg-, försvars-, energi-, regeringen och media.

Även säkerhetsföretaget ThreatConnect har agt fram bevis för att gruppen är placerad i Ryssland. ThreatConnect har kopplat Fancybear till cyberattacker som förebådade Rysslands markanfall på Georgien 2008, när servrarna som användes av den Georgiska presidenten, parlamentet och UD togs ner.

Fancy Bear tros ha stört det brittiska valet

Det har också kommit rapporter om att FancyBear försökt att agera i det brittiska valet. Den brittiska regeringens webbplats och alla större brittiska programföretag, däribland BBC har varit utsatta av Fancy bear med det troliga syftet att orsaka kaos och desinformation. Brittiska underrättelsetjänsten tjänstemän har spekulerat att hacken skulle ha varit en del av en rysk-backed försök att störa 2015 allmänna val.

Gruppen har också förknippats med störningar i det franska TV-nätet TV5-Monde i april förra året där de tog över webbplatser samt Facebook sajter och visade IS (Daesh) propaganda.

Men mailservern verkar även blivit hackad av andra…

Det finns motstridiga uppgifter till att det är den ryska underrättelsetjänsten. En rumänsk hacker Marcel Lehel Lazar med identitieten Moniker Guccifer 2.0 har gjort anspråk på att hacka servrarna. Som bevis släppte Moniker att dokument som heter Donald Trump report och finansiell information på sin wordpress webbplats och Twitter konto. Ser man på vilka han följer på sitt Twitter konto ser det ut att vara en person som följer demokratisk amerikansk politik. Det finns motstridiga upgifter kring att Guccifer överhuvudtaget kan kommunicera på rumänska.

Guccifer 2.0 skrev att de var “very pleased the company appreciated my skills so highly))) But in fact, it was easy, very easy.

Nja smarta människor brukar försöka briljera med att säga att saker är enkla. Så enkelt hack verkar det inte ha varit och på hans WordPress sajt skriver han att DNC hade NGP VAN programvara installerad för fundraising på servern. Han använde en zero-day exploit som fanns på den programvaran och lyckades installera en trojan på windowsservern.

I konservativa nyhetskanalen Fox News säger Lazar att han varit inne på Clintons email server 2 gånger. Det var upp till 10 IP adresser från andra delar av världen vilket visar det att det var fler som har haft tillgång till deras server.

CrowdStrike undersöker ifall det är en del i en desinformationskampanj och står fast vid sin analys att det är ryska hackers enligt ett uttalande på sin webbplats. Enligt Fox News sitter Lazar i fängelse i Virginia och har blivit utlämnad från Rumänien – enligt säkerhetsbolaget TrueConnect använder Guccifer rysk infrastruktur för sin VPN och de har skrivit ett långt blogginlägg att alla spår leder till Ryssland.

Vad skulle det kunna finnas för motiv?

I kretsen kring Trump finns det flera personer med kopplingar till Putin och Ryska intressen som  Paul Manafort som spenderade nästan ett decenium med den Ukrainska ledaren Viktor Yanukovych. Viktor Yanukovych är frontfigur i Ukraina krisen och hade mycket starka band till Vladmir Putin som gav honom ryskt medborgarskap enligt ett ”hemligt avtal”.

Donald trump

På sitt Twitter konto skämtar Trump om att ryssarna skulle ligga bakom hacket – men går det att skämta bort?

Putin har tidigt varit mycket positiv inställd till Trump som president.

Putin och Trump

Trump å andra sidan har varit snabb i sin kärleksförklaring och sagt att han och Putin kommer överrens väldigt bra.

TRUMP: “Putin is not representing us. He is representing Russia. So, I mean, you know, if he can make a deal because we have stupid leadership, I would say it’s the right thing to do for Russia.
The O’Reilly Factor, Fox News, 11/11/15

Från ett säkerhetspolitiskt perspektiv visar Trumps inställning till Nato att han inte kommer ge ovillkorligt stöd till NATO utan ser det som en förhandlingsfråga om Baltikum skulle attackeras. När Trump fick en direkt fråga av en reportrar från The New York Times om de tre baltiska länderna Lettland, Litauen och Estland – och andra Nato-allierade – kan räkna med att USA försvarar dem om Ryssland attackerade (vilket Ryssland har gjort i icke-Natoländer som Georgien och Ukraina), svarade Trump med en motfråga: ”Har de uppfyllt sin skyldighet mot oss?” och därpå förtydliga ”Om de uppfyller sina skyldigheter gentemot oss, är svaret ja.”

Observera att de Baltiska länderna är med i NATO. Med liknande argumentation bör man räkna med att Trump inte direkt kommer stödja länder som inte är med i NATO som Finland, Sverige, Cypern och Österrike. Som amerikansk president kommer han troligtvis ställa sig frågan om länder som valt att inte vara med i NATO uppfyllt sina skyldigheter mot USA? Hur är det med Arktis – där ryssarna har visat starkt intresse de senaste åren.

Men det är inte bara republikanerna som har politiska motiv. Från demokraternas perspektiv finns det rätt många orsaker att skylla på ryssarna istället för enskilda hackers eller dålig intern säkerhet. Då kan de också fortsätta kasta smuts tillbaka på sina politiska motståndare och Trumps kopplingar till Putin.

Vilket dataskydd har Sverige?

Om vi antar att uppgifterna stämmer att Ryssland angriper politiska partier – hur ser säkerheten ut i Sverige och hos de svenska partierna? Man kan fråga sig hur pass säkra de svenska partiernas email och Intranet är. Hur ser det ut på tidningar, televisionen och riksdagen. Om de skulle ha hackat våra politiska interna datasystem så har ryska intressen fingret djupt i ögat på våra politiker och vår demokrati. Om de kan hacka amerikararna kanske det är dags att snäppa upp IT-säkerheten i Sverige?

Källor:

Share.

Daniel Larsson har jobbat med cybersecurity och datasäkerhet med fokus på Internet sedan 1998. Under åren har han marknadsfört scaleup cyberbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken och jobbar till vardags på Expandtalk.

Related Posts

Leave A Reply

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.