Του Γιάννη Γορανίτη
Ρώσοι χάκερ έχουν βάλει στο στόχαστρό τους την προεκλογική καμπάνια του Emmanuel Macron. Η αποκάλυψη έγινε από τους ειδικούς ερευνητές της εταιρείας ασφάλειας Trend Micro.
Σύμφωνα με την ιαπωνική εταιρεία, στο στόχαστρο των hackers βρέθηκαν αρκετά μέλη του επιτελείου του Γάλλου υποψηφίου σε μια συντονισμένη απόπειρα υποκλοπής των στοιχείων σύνδεσης και των κωδικών πρόσβασης σε διάφορα sites και υπηρεσίες. Τα πρώτα δείγματα των επιθέσεων χρονολογούνται από τον Μάρτιο, ενώ συνεχίστηκαν πιο έντονα μετά τις 15 Απριλίου. Νέο κύμα «παρενοχλήσεων» εκδηλώθηκε τις πρώτες ώρες μετά την ανακήρυξη του Macron ως υποψήφιου στις επαναληπτικές εκλογές. Η επίθεση ονομάστηκε «Επιχείρηση Pawn Storm», λόγω της τακτικής των hackers που θυμίζει την έφοδο των στρατιωτών στο σκάκι.
Όπως αποκάλυψε η Trend Micro, οι κακόβουλοι που στοχεύουν την εκστρατεία του υποψηφίου για τη γαλλική προεδρία, είναι οι ίδιοι που επιτέθηκαν διαδικτυακά και στην καμπάνια της Hillary Clinton και στο Δημοκρατικό κόμμα των ΗΠΑ, αλλά και σε αρκετούς άλλους πολιτικούς και μιντιακούς στόχους. Μεταξύ αυτών, το κόμμα της Angela Merkel (CDU), το ΝΑΤΟ, το γερμανικό κοινοβούλιο, η τουρκική κυβέρνηση, πολυάριθμα ολλανδικά υπουργεία, το γαλλικό κανάλι TV5, το αραβικό δίκτυο Al-Jazeera, η WADA (παγκόσμιος οργανισμός για την καταπολέμηση του ντόπινγκ) και πολλοί ακόμη.
Ποιοι κρύβονται πίσω από την επίθεση
Στην αναλυτική έκθεση του Feike Hacquebord, υπεύθυνου ασφαλείας της Trend Micro, ως υπαίτια των επιθέσεων κατονομάζεται η ομάδα Fancy Bear. Η ρωσική ομάδα κυβερνοεπιθέσεων έχει κατά καιρούς χρησιμοποιήσει διαφορετικές ονομασίες (APT28, Pawn Storm, Sofacy Group, Sednit and STRONTIUM) και πληθώρα τακτικών για να επιτεθεί στους προαναφερθέντες, και όχι μόνο, στόχους.
Η δράση τους επεκτείνεται και σε «παραστρατιωτικές» δραστηριότητες και απόπειρες δολιοφθορών, με πιο γνωστή το Android malware που «μόλυνε» τα συστήματα του ουκρανικού στρατού, κατά τη διάρκεια της ρωσικής επέμβασης.
Στην περίπτωση του Macron, οι Ρώσοι hackers επιχείρησαν να υποκλέψουν τα στοιχεία σύνδεσης και άλλα ευαίσθητα προσωπικά δεδομένα μέσω phishing (ηλεκτρονικού «ψαρέματος»). Ουσιαστικά καλούσε μέσω email τους επιτελείς του Γάλλου πολιτικού να επισκεφθούν συγκεκριμένα sites και να συνδεθούν στους λογαριασμούς τους. Τα sites αυτά βέβαια δεν είναι τα αυθεντικά, αλλά πανομοιότυπες παραποιημένες εκδόσεις τους.
Οι hackers αξιοποίησαν μάλιστα το σύστημα OAuth, το οποίο επιτρέπει στους χρήστες να συνδεθούν σε μια υπηρεσία χρησιμοποιώντας τα διαπιστευτήρια που χρησιμοποιούν σε κάποια άλλη. Εφόσον μάλιστα υπέπιπταν στο σφάλμα να συνδεθούν μέσω του OAuth στη συνέχεια δεν θα μπορούσαν να επανακτήσουν πρόσβαση στους λογαριασμούς τους.
Εξάλλου, είχαν κατοχυρώσει διαδικτυακές διευθύνσεις-δολώματα (π.χ. onedrive-en-marche.fr και mail-en-marche.fr), που θυμίζουν το επίσημο site του υποψηφίου, ώστε να μην κινούν υποψίες.
Δείγματα των παραπλανητικών email που στέλνουν οι hackers
Το αναλυτικό post της Trend Micro και ο τρόπος που οι hackers αποπειράθηκαν να πάρουν τον έλεγχο των λογαριασμών των χρηστών εδώ.
Τι λένε οι Γάλλοι
Εκπρόσωπος της γαλλικής εθνικής υπηρεσίας κυβερνοασφάλειας ANSSI, μίλησε στο Reuters για το θέμα και επιβεβαίωσε ότι η υπηρεσία του είχε καταγράψει πληθώρα επιθέσεων εναντίον του προσωπικού και των συστημάτων του Macron. Δεν επιβεβαίωσε πάντως ότι υπεύθυνη για τις επιθέσεις είναι η ρωσική ομάδα.
Το επιτελείο του Macron επιβεβαιώνει επίσης το κύμα των επιθέσεων, δηλώνοντας πάντως ότι κανένα στέλεχος ή εργαζόμενος στην καμπάνια δεν έπεσε τελικά θύμα του phishing. O υπεύθυνος της ψηφιακής καμπάνιας, Mounir Mahjoubi, τόνισε ότι οι επιθέσεις ήταν ιδιαίτερα προηγμένες και ότι ακόμη και υποψιασμένοι χρήστες θα μπορούσαν εύκολα να πέσουν στην παγίδα.
Παρότι ούτε ο Mahjoubi αναφέρθηκε σε σαφείς αποδείξεις για «ρωσικό δάκτυλο», ισχυρίστηκε ότι από τη φύση και την τακτική των επιθέσεων αναδεικνύονται πολλές ομοιότητες με τις επιθέσεις στο επιτελείο της Clinton.
