Lækkede chats viser påstået russisk spion, der søger hacking-værktøjer
Denne tirsdag, 31. juli, 2018-billede viser indgangen til bygningen af den russiske militære efterretningstjeneste, nævnt i Robert Muellers anklageskrift den 13. juli, som hjemsted for GRU Unit 26165 i Moskva, Rusland. Lækket af en påstået russisk hackers samtaler med en sikkerhedsforsker viser mere om den skyggefulde gruppe af 12 russiske spioner, som FBI i sidste måned anklaget for at have målrettet det amerikanske valg i 2016. (AP Photo/Alexander Zemlianichenko)
For seks år siden, en russisktalende cybersikkerhedsforsker modtog en uopfordret e-mail fra Kate S. Milton.
Milton hævdede at arbejde for det Moskva-baserede antivirusfirma Kaspersky. I en udveksling, der begyndte med at stoppe engelsk og hurtigt skiftede til russisk, Milton sagde, at hun var imponeret over forskerens arbejde med udnyttelser - de digitale låsevalg, der blev brugt af hackere til at bryde ind i sårbare systemer - og ønskede at blive kopieret ind på alle nye, som forskeren stødte på.
"Du har næsten altid alle de bedste bedrifter, " sagde Milton, efter at have komplimenteret forskeren for et indlæg på hendes hjemmeside, hvor hun ofte dissekerede skadelig software.
"Så vores kontakt ikke er ensidig, Jeg vil tilbyde dig min hjælp til at analysere ondsindede vira, og efterhånden som jeg får nye prøver, deler jeg, "Forsatte Milton. "Hvad synes du?"
Forskeren – der arbejder som sikkerhedsingeniør og driver malware-delingssiden ved siden af – havde altid en ret god idé om, at Milton ikke var den, hun sagde, hun var. Sidste måned, hun fik bekræftet via en FBI-anklage.
Anklageskriftet, offentliggjort den 13. juli, løftede låget på den russiske hackeroperation, der var rettet mod det amerikanske præsidentvalg i 2016. Den identificerede "Kate S. Milton" som et alias for den militære efterretningsofficer Ivan Yermakov, en af 12 russiske spioner, der er anklaget for at bryde ind i Den Demokratiske Nationalkomité og udgive dens e-mails i et forsøg på at påvirke valget i 2016.
Forskeren, som gav hende udvekslinger med Milton til Associated Press på betingelse af anonymitet, sagde, at hun ikke var glad for at høre, at hun havde korresponderet med en påstået russisk spion. Men hun var heller ikke særlig overrasket.
"Dette forskningsområde er en magnet for mistænkelige mennesker, " hun sagde.
Forskeren og Milton engagerede sig i en håndfuld samtaler mellem april 2011 og marts 2012. Men selv deres sparsomme udvekslinger, sammen med et par digitale brødkrummer efterladt af Yermakov og hans kolleger, give indsigt i mændene bag tastaturerne i Ruslands hovedefterretningsdirektorat, eller GRU.
Denne 14. maj 2018, foto viser en plakat inde i den russiske militærbase i Moskva, navngivet i Robert Muellers anklage mod 12 russiske spioner den 13. juli. Lækket af e-mail-samtaler mellem en sikkerhedsforsker og en af personerne i anklageskriftet, Ivan Yermakov, hvems enhed 26165 var placeret ved basen, afsløre ny indsigt om den skyggefulde gruppe af spioner, der er anklaget for at bryde ind i Den Demokratiske Nationalkomité under valget i 2016. (AP foto)
___
Det er ikke usædvanligt, at beskeder som Miltons kommer ud af det blå, især i den relativt lille verden af uafhængige malware-analytikere.
"Der var ikke noget særligt usædvanligt i hendes tilgang, " sagde forskeren. "Jeg havde meget lignende interaktioner med amatører og professionelle forskere fra forskellige lande."
Parret korresponderede i et stykke tid. Milton delte et stykke ondsindet kode på et tidspunkt og sendte en hacking-relateret YouTube-video på et andet tidspunkt, men kontakten udløb efter et par måneder.
Derefter, det følgende år, Milton kontaktede igen.
"Det har været alt arbejde, arbejde, arbejde, " sagde Milton som en undskyldning, inden man hurtigt kommer til sagen. Hun havde brug for nye låse.
"Jeg ved, at du kan hjælpe, " skrev hun. "Jeg arbejder på et nyt projekt, og jeg har virkelig brug for kontakter, der kan give information eller have kontakter med folk, der har nye bedrifter. Jeg er villig til at betale for dem."
I særdeleshed, Milton sagde, at hun ville have information om en nyligt afsløret sårbarhed med kodenavnet CVE-2012-0002 - en kritisk Microsoft-fejl, der kunne gøre det muligt for hackere at fjernkompromittere nogle Windows-computere. Milton havde hørt, at nogen allerede havde flettet en fungerende bedrift sammen.
"Jeg vil gerne have det, " hun sagde.
På dette filbillede taget i lørdags, 14. juli, 2018, en mand går forbi bygningen af den russiske militære efterretningstjeneste i Moskva, Rusland. Lækket af en påstået russisk hackers samtaler med en sikkerhedsforsker viser mere om den skyggefulde gruppe af 12 russiske spioner, som FBI i sidste måned anklaget for at have målrettet det amerikanske valg i 2016. (AP Photo/Pavel Golovkin, Fil)
Forskeren tøvede. Handel med bedrifter - til brug for spioner, politibetjente, overvågningsselskaber eller kriminelle – kan være en snusket en.
"Jeg plejer at holde mig væk fra eventuelle wannabe købere og sælgere, " fortalte hun til AP.
Hun takkede høfligt nej – og hørte aldrig fra Milton igen.
___
Miltons Twitter-konto - hvis profilbillede viser "Lost"-stjernen Evangeline Lilly - er længe i dvale. De sidste par beskeder bærer presserende, akavet formulerede appeller om udnyttelser eller tips om sårbarheder.
"Hjælp mig med at finde en detaljeret beskrivelse CVE-2011-0978, "en besked lyder, henviser til en fejl i PHP, et kodesprog, der ofte bruges til websteder. "Har brug for en arbejdsudnyttelse, "beskeden fortsætter, slutter med et smiley ansigt.
Det er ikke klart, om Yermakov arbejdede for GRU, da han første gang maskerede sig som Kate S. Milton. Miltons Twitter-tavshed - der startede i 2011 - og henvisningen til et "nyt projekt" i 2012 kan antyde et nyt job.
I hvert fald Yermakov arbejdede ikke for antivirusfirmaet Kaspersky – hverken dengang og aldrig nogensinde, oplyser selskabet i en meddelelse.
"Vi ved ikke, hvorfor han angiveligt præsenterede sig selv som ansat, " sagde erklæringen.
På dette billede taget tirsdag d. 31. juli, 2018, et billede viser en bygning af den russiske militære efterretningstjeneste, beliggende på Kirova Street 22, Khimki, som blev nævnt i et anklageskrift annonceret af en amerikansk føderal jury som led i en undersøgelse af påstået russisk involvering i det amerikanske præsidentvalg i 2016, i Khimki uden for Moskva, Rusland. Lækket af en påstået russisk hackers samtaler med en sikkerhedsforsker viser mere om den skyggefulde gruppe af 12 russiske spioner, som FBI i sidste måned anklaget for at målrette det amerikanske valg i 2016. (AP Photo/Alexander Zemlianichenko)
Beskeder sendt af AP til Kate S. Miltons Gmail-konto blev ikke returneret.
Udvekslingerne mellem Milton (Yermakov) og forskeren kunne læses på forskellige måder.
De kunne vise, at GRU forsøgte at dyrke folk i informationssikkerhedssamfundet med et øje mod at få de seneste udnyttelser så hurtigt som muligt, sagde Cosimo Mortola, en trusselsefterretningsanalytiker hos cybersikkerhedsfirmaet FireEye.
Det er også muligt, at Yermakov oprindeligt kunne have arbejdet som en uafhængig hacker, maser efter spionværktøjer, før de bliver hyret af russisk militær efterretningstjeneste - en teori, der giver mening for forsvars- og udenrigspolitisk analytiker Pavel Felgenhauer.
"For cyber, du skal ansætte drenge, der forstår computere og alt, hvad de gamle spioner på GRU ikke forstår, " sagde Felgenhauer. "Du finder en god hacker, du rekrutterer ham og giver ham noget træning og en rang - en løjtnant eller noget - og så vil han gøre det samme."
___
Lækket af Miltons samtaler viser, hvordan omtalens skær afslører elementer af hackernes metoder – og måske endda antydninger om deres privatliv.
Er det muligt, for eksempel, at Yermakov og mange af hans kolleger pendler til arbejde gennem den buede indgang til Komsomolsky 22, en militærbase i hjertet af Moskva, der tjener som hjemsted for den påståede hackers enhed 26165. Fotos taget indefra viser, at det er et velholdt anlæg, med en facade fra zartiden, velplejede græsplæner, blomsterbede og skyggefulde træer i en central gårdhave.
AP og andre har forsøgt at spore mændenes digitale liv, at finde referencer til nogle af dem, der er anklaget af FBI i akademiske artikler om databehandling og matematik, på russiske cybersikkerhedskonferencedeltagerlister eller - i tilfælde af Cpt. Nikolay Kozachek, kaldet "kazak" - skrevet ind i den ondsindede kode skabt af Fancy Bear, kaldenavnet har længe været brugt på hackergruppen, før deres identitet angiveligt blev afsløret af FBI.
Dette billede er taget i mandags, 14 maj, 2018, en udsigt inde i den russiske militærbase kl. 20, Komsomolsky Prospect, named in Robert Mueller's July 13 indictment. The leak of an alleged Russian hacker's conversations with a security researcher shows how the glare of publicity is the shadowy group indicted by the FBI into focus. (AP foto)
One of Kozachek's other nicknames also appears on a website that allowed users to mine tokens for new weapons to use in the first-person shooter videogame "Counter Strike:Global Offensive"—providing a flavor of the hackers' extracurricular interests.
The AP has also uncovered several social media profiles tied to another of Yermakov's indicted colleagues—Lt. Aleksey Lukashev, allegedly the man behind the successful phishing of the email account belonging to Hillary Clinton's campaign chairman, John Podesta.
Lukashev operated a Twitter account under the alias "Den Katenberg, " according to an analysis of the indictment as well as data supplied by the cybersecurity firm Secureworks and Twitter's "Find My Friends" feature.
A tipster using the Russian facial recognition search engine FindFace recently pointed the AP to a VKontatke account that, while using a different name, appears active and features photos of the same young, Slavic-looking man.
Many of his posts and his friends appear to originate from a district outside Moscow known as Voskresensky. The photos show him cross-country skiing at night, wading in emerald waters somewhere warm and visiting Yaroslavl, an ancient city northwest of Moscow. One video appeared to show Russia's 2017 Spasskaya Tower Festival, a military music festival popular with officers.
The AP could not establish with certainty that the man on the VKontatke account is Lukashev. Several people listed as friends either declined to comment when approached by the AP or said Lukashev's name was unknown to them.
Kort derefter, the profile's owner locked down his account, making his vacation snaps invisible to outsiders.
© 2018 The Associated Press. Alle rettigheder forbeholdes.
Varme artikler
-
Undersøgelse af tendenser inden for kunstig intelligens finder fremskridt i arbejdet med menneskeli…Kredit:CC0 Public Domain I de sidste to år har en Stanford-ledet gruppe har undersøgt udviklingen inden for kunstig intelligensforskning for at holde styr på tendenser inden for det hurtige område -
Cyber of the fittest:Forskere udvikler den første cyberagility-ramme til at måle angrebKredit:CC0 Public Domain I mere end et år, GozNym, en bande på fem russiske cyberkriminelle, stjal loginoplysninger og tømte bankkonti fra uvidende amerikanere. For at opdage og hurtigt reagere på -
Kunstig intelligens til at forudsige proteinstrukturFibronectin spiller en vigtig rolle i sårheling. Figuren viser en vigtig del af proteinet med kontaktpar (kugler af samme farve). Kredit:Ines Reinartz, KIT Proteiner er biologiske højtydende maski -
Facebook skal betale 100 mio. i italiensk skatteaftaleEn aftale på 100 millioner euro mellem Facebook og Italien har til formål at stoppe uenigheden vedrørende skatteundersøgelser foretaget af finanspolitiet (GdF) på foranledning af anklageren i Milano f