Wybory w USA na celowniku

76
ARLINGTON, VA - JULY 25 : A board with the countdown to Election Day is seen as employees work at President Donald J. Trump's 2020 Presidential Campaign headquarters in Northern Virginia on Thursday, July 25, 2019 in Arlington, VA. (Photo by Jabin Botsford/The Washington Post via Getty Images)

Wybory prezydenckie to świetna okazja dla wrogich krajów, by włożyć kij w szprychy tego najbardziej demokratycznego procesu. Od lat nie zmieniają się powody, dla których to robią, ale zmieniają się narzędzia, jakie im do tego służą. Rosja, Chiny i Iran to trzy państwa, które już zaczęły swój udział w amerykańskich wyborach prezydenckich.

W ostatnich tygodniach amerykańska firma Microsoft wykryła cyberataki wymierzone w osoby i organizacje zaangażowane w nadchodzące wybory prezydenckie w USA, w tym nieudane ataki na osoby związane zarówno z kampaniami Donalda Trumpa, jak i Joe Bidena.
Microsoft zapewnia, że każdy kto miał do czynienia z tego typu atakiem, dostaje stosowne powiadomienie ze swojego systemu. „Bronimy i nadal będziemy bronić naszej demokracji przed tymi atakami, wysyłając powiadomienia o takich działaniach skierowane do klientów, których to dotyczy” – piszą przedstawiciele Microsoftu. Według nich, raport „jasno pokazuje, że zagraniczne grupy aktywności zintensyfikowały swoje wysiłki w kierunku wyborów w 2020 r.” i dodają, że dzieje się to „zgodnie z przewidywaniami i z tym, o czym od dawna informuje rząd USA i inni” – piszą przedstawiciele Microsoftu.
Eksperci zauważyli działalność grup z trzech państw. Grupa Strontium, działająca z Rosji, zaatakowała ponad 200 organizacji, w tym członków kampanii wyborczych, zespoły wsparcia, partie i konsultantów politycznych. Działająca z Chin grupa Cyrkon zaatakowała znane osoby związane z wyborami, w tym ludzi powiązanych z kampanią Joe Bidena oraz czołowych przywódców społeczności międzynarodowej. Działająca z Iranu grupa Phosphorus atakuje z kolei osobiste konta osób związanych z kampanią prezydencką Donalda J. Trumpa.
Większość tych ataków została wykryta i zatrzymana przez narzędzia bezpieczeństwa wbudowane w produkty Microsoftu, a użytkownicy zostali bezpośrednio powiadomieni, aby mogli podjąć działania w celu swojej ochrony. W ostatnich dniach Microsoft udostępnił więcej szczegółów na temat ataków, dodając w niektórych przypadkach, kto konkretnie padł celem poszczególnych grup.

Rosjanie polują na demokratów
Strontium to działająca w Rosji grupa, której działalność Microsoft śledził i podejmował działania mające na celu zakłócenie jej aktywności przy kilku wcześniejszych okazjach. W raporcie Muellera zidentyfikowano ją również jako główną organizację odpowiedzialną za ataki na demokratyczną kampanię prezydencką w 2016 r. Centrum analizy zagrożeń firmy Microsoft (MSTIC) zaobserwowało serię ataków przeprowadzonych przez Strontium począwszy od września 2019 r. aż do dziś. Działania są podobne do tych sprzed czterech lat.
Strontium uruchamia kampanie mające na celu zbieranie danych logowania ludzi lub naruszanie ich kont, prawdopodobnie w celu pomocy w gromadzeniu danych wywiadowczych lub zakłócania niektórych operacji. Wiele celów Strontium w tej kampanii, która dotknęła łącznie ponad 200 organizacji, jest bezpośrednio lub pośrednio powiązanych z nadchodzącymi wyborami w USA, a także z organizacjami politycznymi w USA i w Europie. Cele te obejmują konsultantów na terenie USA, obsługujących zarówno republikanów, jak i demokratów; think tanki, takie jak The German Marshall Fund of the United States i organizacje wspierające; krajowe i stanowe organizacje partyjne w USA, a także poza Stanami – Europejską Partię Ludową oraz partie polityczne w Wielkiej Brytanii.
Inne cele, na które ostatnio swoje ataki skierował Strontium, obejmują przedsiębiorstwa z branży rozrywkowej, hotelarskiej, produkcyjnej, usług finansowych i bezpieczeństwa fizycznego. Firma Microsoft od kilku miesięcy monitoruje te ataki i powiadamia docelowych klientów, ale dopiero niedawno osiągnęła punkt w dochodzeniu, w którym może z dużą pewnością przypisać tę aktywność właśnie tej grupie. Śledztwo MSTIC ujawniło, że Strontium rozwinęło swoją taktykę od wyborów w 2016 r., uwzględniając nowe narzędzia rozpoznawcze i nowe techniki ukrywania swoich operacji. W 2016 roku grupa polegała głównie na spearphishingu, po to, by przechwytywać dane uwierzytelniające poszczególne osoby. W ostatnich miesiącach grupa zaangażowała się w ataki z dużo większą siłą poprzez masowe autouzupełnianie haseł, co pozwoliło im zautomatyzować operacje.
Jednocześnie Strontium ukryło swoje ataki, dokonując ich przy pomocy 1000 stale zmieniających się adresów IP, z których wiele jest związanych z usługą anonimizującą o nazwie TOR. Mało tego, by jeszcze bardziej zamaskować swoją działalność, codziennie grupa dodawała i usuwała 20 adresów IP, co miało zmylić systemy bezpieczeństwa.
Raport Microsoftu o działalności Rosji na terenie USA potwierdzają słowa dyrektora FBI Christophera Wraya, który niedawno ostrzegł, że Rosja po raz kolejny stara się wpłynąć na wynik wyborów prezydenckich w Stanach Zjednoczonych. Podczas przesłuchań w Kongresie Christopher Wray ocenił, że Moskwa prowadzi aktywną kampanię dezinformacji, wymierzoną w kandydata Demokratów Joe Bidena. Jej celem jest również pogłębienie podziałów w społeczeństwie amerykańskim.
Szef FBI powiedział, że amerykańskie służby wywiadowcze są zgodne, iż Moskwa ingeruje w wybory prezydenckie w Stanach Zjednoczonych. „Z całą pewnością widzimy bardzo dużą aktywność Rosji, by wpłynąć na wynik wyborów 2020 roku” – mówił Christopher Wray podczas przesłuchań w komisji do spraw wywiadu Izby Reprezentantów. Szef FBI stwierdził, że nie zaobserwowano na razie ataków na infrastrukturę wyborczą. Według niego Rosja prowadzi natomiast kampanię dezinformacji w mediach społecznościowych i w internecie. Christopher Wray określił te działania mianem wrogiej aktywności. „Społeczność wywiadowcza stwierdziła publicznie, że celem tych działań jest oczernianie wiceprezydenta Bidena, który jest postrzegany przez Rosjan jako przedstawiciel antyrosyjskiego establishmentu” – tłumaczył dyrektor FBI. Oświadczył, że jego służbom udało się doprowadzić do likwidacji części fałszywych kont na Facebooku i Twitterze, zaangażowanych w kampanię dezinformacji.

Chiny celują w naukowców
Działająca z Chin grupa Cyrkon podjęła z kolei próbę zdobycia informacji na temat organizacji związanych z przygotowaniem wyborów prezydenckich i ich dyskredytacji. „Wykryliśmy tysiące ataków grupy Cyrkon między marcem 2020 r. a wrześniem 2020 r., które spowodowały prawie 150 działań dyskredytujących” – piszą eksperci Microsoft. Według nich, celem były i nadal są osoby w dwóch kategoriach. Po pierwsze, grupa kieruje swoje ataki do osób ściśle związanych z kampaniami prezydenckimi w USA i samymi kandydatami. Robiła to między innymi podszywając się pod osoby związane z kampanią Joe Bidena, kierując fałszywy przekaz z fałszywych adresów. W podobny sposób chińska grupa wykorzystała także prominentną osobę związaną wcześniej z administracją Donalda Trumpa.
Po drugie, grupa swoje ataki przeprowadza wobec wybitnych osobistości z dziedziny spraw międzynarodowych, w tym naukowców z ponad 15 uniwersytetów oraz kont osób powiązanych z organizacji zajmujących się sprawami międzynarodowymi i polityką, w tym z organizacji Atlantic Council i Stimson Center. Grupa Cyrkon używa tak zwanych błędów internetowych lub sygnałów nawigacyjnych w sieci Web, powiązanych z domeną, którą wcześniej kupili i zapełnili treścią. Następnie wysyłają powiązany adres URL w treści wiadomości e-mail lub w załączniku na docelowe konto. Chociaż sama domena może nie zawierać złośliwej zawartości, to błąd, który ukazuje się po kliknięciu użytkownika, umożliwia chińskim hakerom sprawdzenie, czy użytkownik próbował uzyskać dostęp do witryny. To z kolei pozwala im ustalić, czy dane konto jest ważne i czy użytkownik jest aktywny. Mając taką wiedzę dokonują podstępnych ataków, które mają pozwolić im na wyłudzenie informacji.

Iran celuje w Trumpa
Phosphorus to działająca z Iranu grupa hakerów, którą MSTIC intensywnie śledził od kilku lat. Grupa prowadziła kampanie szpiegowskie skierowane do wielu różnych organizacji tradycyjnie związanych z interesami geopolitycznymi, gospodarczymi lub prawami człowieka na Bliskim Wschodzie. Jej zainteresowaniu nie umknęły także wybory w USA. Firma Microsoft podjęła już nawet kroki prawne przeciwko infrastrukturze Phosphorus pod koniec ubiegłego roku.
W zeszłym miesiącu, w ramach dalszych wysiłków zmierzających do zakłócenia działalności Phosphorus, sąd federalny w Waszyngtonie ponownie udzielił firmie Microsoft pozwolenia na przejęcie kontroli nad 25 nowymi domenami internetowymi używanymi przez Phosphorus. „Do tej pory wykorzystaliśmy tę metodę do przejęcia kontroli nad 155 domenami. Od czasu naszego ostatniego ujawnienia, firma Phosphorus usiłowała uzyskać dostęp do kont osobistych lub służbowych osób zaangażowanych bezpośrednio lub pośrednio w wybory prezydenckie w USA. Od maja do czerwca 2020 roku Phosphorus bezskutecznie próbował zalogować się na konta urzędników administracji i Donalda J. Trumpa oraz do pracowników kampanii prezydenta” – napisali eksperci z Microsoftu.


Wszystkie trzy grupy hakerskie starają się docierać do ważnych osób związanych z kampaniami, czasem podszywając się pod ich konta, a czasem serwując im nieprawdziwe informacje. W większości grupy hakerskie pomijają bezpośrednio przeciętnych obywateli, ale liczą, że kłamliwy przekaz, który powielą wiarygodne organizacje i osoby, dotrze także i do nas. Dożyliśmy czasów, w których wpływanie na wynik wyborów to nie podrabianie kart wyborczych, a wpłynięcie na umysły wyborców poprzez serwowanie im kłamliwych informacji podanych na tacy przed nos. Obyśmy byli na tyle mądrzy, by tego zgniłego jaja nie zjeść. Bądźmy czujni.