Гугл перевод

Ключевые моменты

  • Документы, украденные у известного журналиста и критики российского правительства были подтасованы, а затем выпустили в качестве «утечки», чтобы дискредитировать отечественные и зарубежные критик правительства. Мы называем эту технику «испорченные утечки.»
  • Операция против журналиста привела нас к открытию более крупной операции фишинга, с более чем 200 уникальными целями, охватывающие 39 стран (в том числе членов 28 государств). В список вошли бывший российский премьер-министр, члены кабинетов из Европы и Евразии, послов, высокопоставленных военных должностных лиц, руководителей энергетических компаний, а также представителей гражданского общества.
  • После того, как правительственные цели, второй по величине набора (21%) являются членами гражданского общества, в том числе ученых, активистов, журналистов и представителей неправительственных организаций.
  • У нас нет убедительных доказательств того, что связывает эти операции для конкретного российского государственного органа; Однако, существует явное перекрывание между нашими доказательствами и, что представлена ​​многочисленными отраслевыми и правительственных отчетами, касающихся российскими аффилированными актерами угроз.

Резюме

Этот отчет описывает обширную Россию-связанный фишинг и кампанию дезинформации. Это свидетельствует о том, как документы, украденные у известного журналиста и критика России подделаны, а затем «утечка» для достижения конкретных пропаганды целей. Мы называем эту технику «испорченные утечки». В докладе показано, как близнецы стратегии фишинга и испорченные утечки иногда используются в сочетании внедриться целей гражданского общества, а также посеять недоверие и дезинформацию. Он также показывает, как внутренние соображения, в частности, касается о безопасности режима, могут мотивировать шпионские операции, особенно направленный гражданское общество. Доклад состоит из четырех частей, описанных ниже:

ЧАСТЬ 1: КАК Tainted ПРОТЕЧКИ ИЗГОТАВЛИВАЮТСЯ описывает успешную кампанию против фишинга Дэвида Саттера, громких журналистов. Мы показываемкак материалполученныйходе этой кампании был селективно освобожден с фальсификациями для достижения пропагандистских целей. Затем выделить подобный случайвытекающий из операции против международного фонда грантодающего,штабомквартирой в Соединенных Штатах Америки, в котором их внутренние документы были выборочно выпущенной с модификациями для достижения конца дезинформации. Эти «испорченные утечки» были продемонстрированы путем сравнения оригиналов документов и электронных писем счто Россия-сшитыми группы позже опубликована. Мы пришливыводучто загрязненность вероятноимеет корни в российских внутренних проблем политики,частностивокруг компенсируя и дискредитациичто воспринимается как «снаружи» или «чужой» попытки дестабилизировать или подорвать режим Путина.

ЧАСТЬ 2: крошечная DISCOVERY описываеткак операция против Саттер привела нас к открытию более крупной операции фишинга, с более чем 200 уникальными объектами. Мы определили эти цели, исследуя ссылкисозданныепомощью операторовиспользующих услугу ссылки укорочения Tiny.cc. После выделения сходства между этой кампанией и документированным предыдущими исследованиями, мы закруглить картину о России-связанных операциях, показываякак связанные кампании , которые привлекли недавнее внимание средств массовой информации для проведения операций в течение 2016 США президентских выборов также целевые журналистов, оппозиционные группы, и гражданское общество.

ЧАСТЬ 3: ПОДКЛЮЧЕНИЕ К ОБЩЕСТВЕННОСТИ СООБЩЕННЫХ ОПЕРАЦИЙ очерчивает связи между кампаниями мы документированные и предыдущей публичной отчетностью о России-связанных операциях. После описания дублирования среди различных технических показателей, мы обсудим нюансы и проблемыокружающие атрибуции в отношении операций с российским связующим.

ЧАСТЬ 4: ОБСУЖДЕНИЕ исследуеткак фишинг операциисочетании с затемненными утечки были соединены для контроля, семена дезинформации и подрывают довериерамках гражданского общества. Мы обсудим последствие загрязненности утечки и подчеркнутькак это создает уникальные и сложные угрозы для гражданского общества. Затем обратиться к часто пропускаемый компонент гражданского общества в национально-государственных операций кибершпионажа.

Введение: Tainted Утечки и цели гражданского общества

Россия-сшитый кибер-шпионаж кампанию, особенно связанному с нацеливанием вокруг выборов в США в 2016 году, а совсем недавно в 2017 году французских выборов, доминировали в СМИ в последние месяцы. Как серьезно, как эти события, часто забывают в обоих средствах массовой информации и индустрии отчетов о кибер-шпионаже является одним из важнейшей и упорной группы жертвы: глобальное гражданское общество.

Здоровый, полностью функционирующий и активное гражданское общество является противоположностью недемократической власти, и, как следствие, мощные элиты угрожают их действия обычно направляют свои мощные Шпионаж аппараты в сторону гражданского общества пропитать, предвидеть и даже нейтрализовать их деятельность , В отличие от промышленности и правительства, однако, группы гражданского общества, как правило, не хватает ресурсов, институциональное глубину и способность справиться с этими нападениями. По разным причинам, они редко учитывают в угрозе промышленности отчетность или политик правительства вокруг кибер-шпионажа, и могут быть молчаливыми, упускать из вида жертв.

Как сообщает предыдущий Citizen Lab, этот доклад является еще одним доказательством «тихой эпидемии» целевые цифровых атак на гражданском обществе, в данном случае с участием широко освещались российскими аффилированными операции шпионского кибера. Наш доклад подчеркивает внутренние корни этих зарубежных операций, и как озабоченность по поводу безопасности режима и внутренней легитимности может фактор в российское моделировании угроз и шпионское прицеливание, как дома, так и за рубежом.

Нулевой пациент для исследования: Дэвид Саттер

Наше расследование началось с одной жертвы: Дэвид Саттер, громких журналист, стипендиата Родса, и критика Кремля. В 2013 году Саттер был запрещен из России, якобы за «вопиющие нарушения» законов визы, но которые наиболее атрибут к его расследованиями по российскому самодержавию. Саттер известен своей книге Тьма на рассвете , которая расследовала возможный 1999 заговор с участием российской Федеральной службы безопасности (ФСБ) в серии взрывов российских жилых домов , которые использовались в качестве оправдания для второй чеченской войны , и что способствовало приход к власти Владимира Путина.

7 октября, 2016 Саттер стал жертвой целенаправленной фишинг кампании, и по ошибке ввел свой пароль на сайте верительных уборки. электронные письма SATTER были украдены, а затем опубликованы выборочно, и преднамеренными фальсификациями, как мы будем описывать в этом отчете. В то время как мы не можем окончательно отнести кражу писем SATTER к одной конкретной угрозе актера, и у нас нет конкретных деталей процесса, в ходе которого его украденные письма были фальсифицированы и сделали свой путь в общественное достояние, мы раскрываем и проанализировать несколько кусков доказательств в помочь контекстуализировать испорченную утечку, в то же время связывая инфильтрацию его электронной почты для более широкой кибер-шпионажа кампании, которая имеет русский нексус.

Зараженные Утечки: Дезинформация 2,0

После компрометации своего счета, украденные электронные письма SATTER были выборочно модифицированы, а затем «утечка» на блоге Киберберчет, самоописанную пророссийский Hacktivist группы. Данный отчет представляет термин « испорченную утечку » , чтобы описать преднамеренный посев ложной информации в большем наборе Достоверно украденные данных.

Мы подробно рассмотрим , как отчет направляется в Национальный фонд за демократию (NED) о Радио Свобода российского расследовательского проекте отчетности «(с содержащимся в письмах , украденных из Саттеров) был тщательно модифицирован с ложной информацией до освобождения. Мы покажем , как эта манипуляция создается ложное впечатление , что видные российские деятели по борьбе с коррупцией, в том числе Алексей Навални, получали зарубежное финансирование их деятельности. ( Алексей Навальный является известным русским антикоррупционным активистом и оппозиционным деятель). Отмечу также , как документ был использован в попытке дискредитировать конкретные сообщения о коррупции среди близких соратников президента России Владимира Путина.

Кроме того, тот, кто запятнан документ также сделал ссылку на статью, которая еще не была опубликована в то время этот документ был «просочилась». Это время сильно предполагает предварительное знание о публикации предстоящей части журналистского расследования в отношении высокопоставленных российских чиновников и бизнесмены. Такая информация может быть чувствительным, и не были бы широко известны. Это может свидетельствовать о том, что операторы имели доступ к другим, текущим операциям наблюдения.

После того , как испорченная утечка была выпущена, российские государственные средства массовой информации и другие сообщили , что документ показал поддержанное ЦРУ заговора , чтобы начать «цветную революцию» в России. 1испорченная утечка также сообщались , как доказательство того, что отчеты о коррупции в узком круге Путины представлена часть целенаправленной кампании дезинформации от имени зарубежных интересов.

Сроки и содержание загрязненности совпадают с сообщенными страхами среди Путина и его ближайшего окружения , что откровения об их богатстве и его источниках могут спровоцировать протесты и бунты в России, как и те , под руководство Навального в последние месяцы и лет.

Зараженные утечки создают сложные проблемы для жертв нарушений, а также представляющие мощный и тревожного метод дезинформации. Часть 1 описывает загрязненность утечки более подробно, и часть 4: Обсуждение содержит анализ рисков , связанных с тактикой.

Пандоры Un-Укорочение: High Value Цели Возникают

При исследовании подозрительных сообщений , отправленных в Саттер, мы определили , что Tiny.cc службы канального укорочения используется операторами для фишинга учетных данных, была предсказуемые особенности , которые позволили нам обнаружить некоторые другие ссылки , вероятно , используется одними и теми же операторами. Мы разработали методику , чтобы обнаружить некоторые из этих ссылок, и в конечном счете собраны 223 вредоносных ссылок , представляющих 218 уникальных целей. 2 Мы смогли определить реальную идентичность около 85% от плановых показателей. Из множества мы идентифицированные, мы нашли цели , по крайней мере , 39 стран.

Одна нити, которая связывает цель является то, что их профессиональная деятельность подключить их к вопросам, где правительство России имеет подтвержденный интерес. В некоторых случаях эти цели не являются русские, начиная с экс-премьер-министра, для журналистов, которые расследуют коррупцию, политическим активистам. Многие другие цели от, размещены, или участвовать в добывающей промышленности в странах и районах, где правительство России имеет экономический и стратегический интерес, например, стран бывшего Советского Союза. Третьи, скорее всего, будет работать по вопросам, с другой стороны за стол переговоров с Россией, будь то в рамках операций Организации Объединенных Наций, НАТО или гражданской службы. Возможно, не удивительно, одна из самых больших групп целей являются высокопоставленные военные и государственных служащих и выборных должностных лиц в Украине.

Рисунок 1: Карта , показывающая страны, мишенями фишинг — кампании связаны с [ нажмите для Hi-Res ]

В других случаях, например, жена военного атташе, люди, кажется, мишенью из-за их близости к высоким целям значения. В других, мы определили большое количество людей, которые, как представляется, будет направлена, потому что они получили поддержку в виде стипендий, от конкретной американской грантодателя.

Некоторые известные целевые категории включают в себя:

  • Политики, государственные служащие и правительственные чиновники из Афганистана, Армении, Австрии, Камбоджи, Египта, Грузии, Казахстана, Кыргызстана, Латвии, Перу, России, Словакии, Словении, Судана, Таиланда, Турции, Украины, Узбекистана и Вьетнама
  • Дипломатические кадры из многочисленных посольств, вплоть до и включая уровень посла, а также членов их семей
  • представителей гражданского общества, включая очень высокие критики профильными российского президента, а также журналистов и ученых
  • Старшие члены нефтяной, газовой, горнодобывающей промышленности и финансов отраслей промышленности стран бывшего Советского Союза
  • должностные лица Организации Объединенных Наций
  • Военнослужащие из Албании, Армении, Азербайджана, Грузии, Греции, Латвии, Черногории, Мозамбика, Пакистана, Саудовской Аравии, Швеции, Турции, Украины и Соединенных Штатов, а также представители НАТО

Открытие многих других целей дают нам окно в структуру кампании, и цели ( Часть 2 описывает , как мы обнаружили , цели). После того, как правительственные цели, второй по величине набора (21%) являются членами гражданского общества , как ученые, активисты, журналисты и представители неправительственных организаций.

Рисунок 2: Некоторые цели высокой ценности, которые получили фишинг

Важность Цели гражданского общества

Данные, представленные на рисунке 3, подчеркивают, насколько группы гражданского общества становятся мишенью в цифрах, эквивалентных тем, которые видели с более классическим «кибер-шпионажа» сектора выровнены целей, таких как военные, правительства и промышленности.

Среди целей гражданского общества, более половина из них были журналистами, многие из которых являются выдающимся вкладом в российские информагентство языка массовой информации, такие как Ведомости, Slon / Республике, Новая газета, и Русская служба BBC.

Обеспечивая детальный анализ целей гражданского общества или план их областей деятельности, несомненно, ставят под угрозу их личную жизнь, мы можем смело отражать на двух известных моделей, которые возникают из такого анализа.

Первый заключается в том, как наш первый предмет Дэвид Саттер, несколько человек из целевого списка были известны их общественных усилий, направленных на сияющий свет на российское правительство и его деятельности. Из публикации статей, которые определяют мошенничества и коррупции, общей активности в поддержку реформы избирательной системы, многие из гражданского общества цели, кажется, были выделены для восприятия, что их действия могут представлять угрозу режиму Путина.

Рисунок 3: Распределение обнаруженных целей в широкие категории

Другая примечательная Общность обнаружено в ходе анализа целей гражданского общества этих кампаний является почти идеальной согласованностью между их областями деятельности и геополитическими конфликтами , в которых Россия является известной или подозреваются воинственная, или сторона в конфликт. В частности, основные области целевых ориентиров гражданского общества охватывают географические границы, включая районы конфликтов , такие как Сирия, Афганистан, Украина и другие.

Мы также обнаружили , что несколько десятков конкретных лиц были как нить в общем , что они получили стипендию от одного финансирующих сосредоточен на регионе.

уведомление

Большая и разнообразная целевая группа представила проблемы уведомления. Наш процесс уведомления потенциальных жертв участвуют следующие соображения и шаги:

  • Для целей, связанных с правительствами или государственными аффилированными организациями (такими как НАТО или ООН), или бизнесом в той или иной стране, мы передали информацию об именах целевых объектов и адресах электронной почте в Группу соответствующих Computer Emergency Response (CERT)
  • Если многие цели разделяют организационную принадлежность, но ни одного работодателя, мы связались с этой организацией и работали с ними, чтобы уведомить лица
  • Мы также предоставили полный список целей для электронной почты поставщика Мишени.

Часть 1: Как Tainted Утечки Сделаны

Мы рассмотрим, как украденные материалы из почтового ящика SATTER были превращены в инфицированные протечки и выпущенный Киберберкут, а затем изучить подобную операцию против Фондов Открытого Общества.

Для того, чтобы сделать чистое сравнение между реальным и подделкой, и показывает , как именно происходит по умолчанию разрушение, мы получили оригинальные, подлинные документы и электронные письма от Дэвида Саттера, жертвой нарушения, и сравнили их с испорченными версиями. Затем мы описываем перед случай испорченных утечки: внутренние документы , принадлежащие к Фондов Открытого Общества были украдены, а потом выпустили с загрязненность похож на Саттер, также по Киберберкут. 3

В обеих случаях потерпевшие нарушения договора работал с организациями, базирующимися в США, которые имели программы, специализирующиеся в России. Загрязненность появилась иметь две цели: вызвать программы появляются более губительной Россия, чем они были, и дискредитировать конкретные оппозиции отдельных лиц и группы, критикующих президента России Владимира Путина и его приближенных.

Дело Дэвид Саттер

5 октября 2016 года, фишинг письмо было отправлено на адрес Gmail Дэвид Саттер (См: Пациент Зеро: Дэвид Саттер ). Это фишинг — письма был выстроен с определенной хитростью разработан , чтобы выглядеть как предупреждение безопасности от Google, предлагая получателю , что неизвестный третьей стороной получившее свой Gmail пароль учетной записи (рисунок 4).

Рисунок 4: Фишинг Email 1, имитируя подлинное сообщение от Google

Фишинг электронной почты предназначен , чтобы обмануть получателя в нажав на кнопку «Изменить пароль». При нажатии на эту ссылку будет направлять веб — браузер жертвы на ссылку размещенную на службе URL укорочение Tiny.cc. Оператор замаскированной связи с использованием открытой переадресации , организованной Google. Это открытое перенаправление позволило операторам создать URL , что внешне, как представляется , будет организовано Google:

https://www.google.com/amp/tiny.cc/(redacted)

К сожалению, конечный пункт назначение этого укороченного URL было изменено на веб — страницу доброкачественной , прежде чем мы смогли изучить это мошенническое письмо. Однако, как мы обрисовать в части 2 настоящего доклада, есть достаточно доказательств, свидетельствующей о первоначальном пункте назначения.

Анализ заголовков сообщений электронной почты показал , что сообщение было отправлено с российской службой электронной почты Яндексом, используя учетную запись электронной почты g.mail2017 [@] yandex.com .

A Second Фишинг Email

Два дня спустя, 7 октября 2016 года, Саттер получил второе письмо, которое используется идентичный обман с первой попыткой подробно выше.

Как с электронной почтой 1, google.com/amp/ редирект указал на URL , организованном Tiny.cc. Еще раз, похоже на электронную почту 1, Citizen Lab обнаружили , что изначально настроен целевой адрес для этой ссылки были удалены.

Анализ заголовков сообщений электронной почты в этом втором фишинг попытка показать , что сообщение отправлено с веб-службы электронной почты «mail.com», с помощью учетной записи электронной почты annaablony [@] mail.com .

Рисунок 5: 2 Фишинг E-mail

Не авторизованный доступ

7 октября 2016 года, вскоре после получения электронной почты, Саттер сообщает щелкнув на ссылку для изменения пароля в электронной почте 2, и вспоминает перенаправлены на то, что он теперь понимает, в действительности учетных данных фишинг-страница, которая оказалась легитимной Google, войдите в стр. К сожалению, Саттер временно отключить проверку подлинности 2-фактора на его счете, делая компромисс возможен.

Вскоре после ввода его учетных данных, Gmail Саттер в счете активность страница записывается несанкционированное событие входа в системе . Данные , регистрируемые Google показал , что сеанс Логин возник из IP — адреса в Румынии (рисунок 6). В части 2 мы покажем , что сервер , связанный с этим IP — адресом был также хостинг поддельной страницы входа в Google , где Саттер представил свои учетные данные. Таким образом , вполне вероятно , что этот вредоносный сервер был настроен для автоматической загрузки содержимого электронной почты из любых взломанных учетных записей (см рисунок 7).

Рисунок 6: захват экрана со страницы учетной записи активности Google

В части 2 настоящего доклад мы очертить как фишинговые ссылки , присылаемые Саттер привели нас к открытию гораздо более широкой кампании , которая включала 218 различных целей от правительства, промышленности, военных и гражданского общества. В следующем разделе мы контекст относительно дезинформации кампании , которая велась вокруг материала , украденный из учетной записи электронной почты Саттера и опубликовано на блоге Киберберчет, про-русского Hacktivist коллектива.

Рисунок 7: Как фишинг кампания против Саттеров стала испорченной операцией утечки

Анализируя Tainted Течь

В этом разделе сравниваются оригинальный документ, полученный Citizen Lab с испорченной документ, опубликованный в Интернете, и используется как часть кампании дезинформации. Опишем загрязненность подробно и проанализировать вероятные цели.

Несколько документов из писем SATTER были размещены на Киберберкут в то же время без заметных манипуляций. Тем не менее, один документ показал многочисленные свидетельства загрязненности. Испорченная утечка была докладом, автор которого Саттер описания российского журналистских расследований проекта Радио Свободы. Документ был изменен, чтобы сделать Саттер по всей видимости, будет платить российские журналист и активист по борьбе с коррупцией, чтобы писать рассказы с критикой российского правительства. Важно отметить, что мы не знаем, процесс, посредством которого похищенный документ сделал свой путь из почтового ящика SATTER к освобождению Киберберкут. В версии Киберберчет, документ размещен в качестве экрана-захватов, и, таким образом, не хватает метаданных.

Рисунок 8: Киберберчет сообщение от 22 октября 2016 , показывающим описательным сопровождающего испорченной документ утечки (выделенная стрелкой). [ Архивная копия ]

Оригинальный документ перечисляет ряд статей из Радио Свободы исключительно , которые являются частью проекта. Статьи касаются целый ряд вопросов: истории, экономики и политики. Радио Свобода является правительство США международная вещательная компания , основанная в 1951 году для трансляции новостей и информации в Советском Союзе. Она объединилась с Радио Свободная Европа в 1976 году, который в настоящее время вместе включены как 501 (с) (3), финансируемой и под контролем радиовещательной совета Соединенных Штатов управляющих.

Испорченный документ изменяет текст , как представляется, отчет о гораздо большем (nonexistant) проекта для оплаты статей ряда авторов, которые впоследствии будут опубликованы целым рядом средств массовой информации . В обманчиво вставленных статьях, почти все из которых являются подлинными публикациями, сосредоточить внимание на коррупции в друзьях Путины и внутренний круг. Работа Алексей Навални, известного критика Путина, неоднократно подчеркивал. Полный испорченный документ находится в Приложении А .

Порча 1: Создание отчетов взгляд как секретная операция влияния

Операторы модифицирована объем документа в попытке создать видимость широкомасштабной информационной кампании. Они сделали это путем удаления или модификации упоминания Радио Свобода по всему документу.

Рисунок 9: Текст в красном был удален, создавая впечатление широкой кампании в СМИ, а не программирование определенного источника новостей.

Другое содержание, например, обсуждение конкретных переводчиков , работающих на Радио Свобода аналогичным образом удалены , чтобы сохранить фикцию.

Рисунок 10: Этот документ был дополнительно переделан, чтобы создать впечатление большей кампании. Примечание о переводчику был также удален, поскольку это противоречило бы впечатление

Мы считаем , что удаление конкретных ссылок на Радио Свобода , преступники стремятся создать впечатление более широкой подрывной кампании не ограничивается одной организации новостей. Это позволяет виновникам ложно ассоциированные организации , финансируемые неамериканских, такие как независимое НПО, по всей видимости, связанно как часть этого увеличения, фиктивной программы.

Рисунок 11: Кроме того, чтобы удалить по умолчанию разрушение упоминает Радио Свобода

Наконец, пункт удаляются в конце документа о рисках написания «без защиты полного рабочего дня» (Рисунок 11). Это удаление может просто быть tainters удаление неудобное предложение , которое ссылается на Радио Свобода , но это также может быть попытка сделать деятельность выглядеть более «плаща и кинжала».

Порча 2: дискредитация конкретные журналисты и критики Кремля

Исходный документ включал в себя список из 14 статей, опубликованных в рамках российского Следственного проекта на Радио Свобода. Испорченный документ включает в себя 24. Операторы не только добавлены в список, но и отлажены статьи Радио Свобода в дальнейшем впечатление большой кампании.

Рисунок 12: Шесть из десяти добавленных статей. Все синий текст был добавлен в оригинал как часть загрязненности. Цель состоит в том, чтобы сделать эти отчеты, по всей видимости, были поддержаны проектом.

Были добавлены десять дополнительных статей. Хотя первоначальный список публикаций охватывает различные темы, добавленный набор в основном сосредоточены на вопросах коррупции, и богатство тех , кто в окружении Путина. Статьи, написанные для ряда публикаций, все разделяют тему: коррупция и личное обогащение приближенных к Путину и Правительства Российской Федерации (см Приложение А ).

Рисунок 13: Люди и тема статей , добавленных в загрязненности. Изображения: Википедия, Радио Свободная Европа, Reuters [ нажмите для Hi-Res ]

Особый интерес представляют Вставки Алексей Навални, известного российского антикоррупционный активист и оппозиционный деятель, чья работа, и Фонд по борьбе с коррупцией, получает широкое внутреннее и международное внимание. При повторном добавлении его отчетности в документе, загрязненность создает видимость «чужого» финансирования для его работы. Эта тема также фигурировала в кампании дезинформации, окружающей оригинальную публикацию, 22 октября 2016 года, из испорченного документа Киберберчет (См: Дезинформация кампании Ближайшего Tainted документа).

Порча 3: Заявленное предвидение

В статье России журналиста Елены Виноградовой , описывающие вопросы , связанные с «высокопоставленными российскими чиновниками и бизнесмен» , также была добавлена как часть загрязненности, которая продолжает утверждать , что она будет опубликована службой новостей на русском языке Ведомостей 24–25 октября. 4

Рисунок 14: загрязненность, что предполагает операторы продвинулся знания о репортаже

Это время является существенным, как оригинальная Киберберчет публикация испорченного документа произошла 22 октября 2016 года, незадолго до этой даты.

Кажущаяся предвидение предполагает , что лица , ответственные за загрязненность было заранее известно содержание и дата публикации кусочка журналистскими расследованиями, что может означать , что операторы имели доступ к разведки или наблюдения сообщений о деятельности Елены Виноградовой.

Мы определили, по крайней мере одного человека среди множества мишеней фишинга кампании, счет которого мог бы обеспечить эту информацию, однако мы не смогли подтвердить компромисс.

Важно отметить, что мы не смогли найти конкретные доказательства публикации статьи сопрягая описание добавляемого в загрязненности. Вполне возможно, что существование этой статьи было сфабриковано, или результат неуместных спекуляций со стороны лиц, ответственными за загрязненность.

Порча 4: Изменение временных рамок и вспомогательные детали

Сроки и количество публикаций увеличилось, возможно , чтобы дать впечатление более и более интенсивной кампании. Изменения также сделаны для широкого спектра изделий не опубликованных Радио Свобода , но другими сторонами.

Рисунок 15: Даты и цифры изменились, чтобы вместить больше десяти статей

Текст, который упоминает конкретные даты в исходном документе, который бы не разместить статьи, которые были ошибочно добавлены также изменен, чтобы поддержать новую фантастику.

Дезинформация кампания Ближайшего Tainted документа

Испорченная версия украденного документа была выпущена в Интернете, Киберберчет, который представляет себя как группу пророссийский хактивистов. Киберберку при условии , что обрамление описательного для испорченного документа в должности 22 октября 2016 : они выпускали документ представить доказательства того, что Соединенные Штаты пытаются поддержать «цветную революцию» в России. В описательном Киберберчет, Дэвид Саттер был агентом направление публикации критических статей российского правительства.

Рисунок 16: РИА Новости , российский государственный работают информационное агентство, сообщая об освобождении Киберберчет по испорченным утечкам

Российская государственная работает информационное агентство РИА Новости , а также Спутника радио , поднял повествование, и озвучила ряд источников , которые утверждали , что «утечка» свидетельствует о том , что Центральное разведывательное управление США (ЦРУ) пытается разжигать «цветная революция». документ был приведен в РИА докладе , как предоставление доказательств «более 20» отчетов , предназначенных для дискредитации российского президента и его окружения. «Цветная революция» описательной вторил в этом SM News докладе , и Vesti.lv , среди других.

В то же время, другие источники на русском языке , утверждал , что документ дискредитировал фонд по борьбе с коррупцией Навальному, показывая , что его статьи были на самом деле заказал Дэвид Саттер .

Open Society Foundations Case

В 2015 году фонды открытого общества (OSF) испытал нарушение конфиденциальных данных. Материалы этого нарушения были выпущены Киберберчет в ноябре 2015 года, а гораздо позже, на «утечку» фирменных сайт Утечки DC, наряду с широким спектром материалов , украденных из других организаций. DC Утечки работал непосредственно с некоторыми интернет — точек, и при условии , монопольный доступ к своим материалам в некоторых , а также достижение существенного влияния средств массовой информации.

Избыточные расцепители позволяют сравнение документов между двумя протечками с использованием общественных материалов. DC Утечка свалка включена выпуск неоскверненных украденных документов , которые ранее были выпущены как часть испорченной утечки по Киберберчете. Статья в Foreign Policy используется этот дамп , чтобы определить несколько случаев загрязненности утечки. Мы были в состоянии проверить каждый из своих наблюдений, а также определение дополнительных элементов загрязненности.

Затем мы связались ИТ-персонал OSF в, который предоставил нам с оригинальными подлинными документами, которые мы имели возможность использовать в качестве основы для дальнейших сравнений, а для проверки подлинности документов, размещенных на утечках тока. Взятые вместе, загрязненность кажется разработан, чтобы создать впечатление, что несколько групп и средств массовой информации, в том числе фонда Алексей Навални по борьбе с коррупцией, которые поддерживаются OSF.

Как и в случае Сэттера, загрязненность , кажется, есть , прежде всего , внутренний фокус, и быть направлены на де-легитимизации фигуры , как Навальным, делая вид , что они являются получателями незаконных, зарубежное финансирование. Это мнение , что Навальные, одна из целей загрязненности, также выразил внешнюю политику .

Бюджетный документ

Во- первых, Киберберкут выпустила испорченный бюджетный документ , чтобы сделать его как будто OSF финансирует Фонд Алексей Навални по борьбе с коррупцией.

Рисунок 17: Tainted Бюджет документ: вторая строка была добавлена, чтобы сделать вид, как будто OSF финансирует Фонд Навального по борьбе с коррупцией

В tainters, возможно, работает быстро, что приводит к небольшой погрешности, в которой сумма в долларах была заменена на «Approved Даты.»

Предлагаемый документ Стратегии

Во- вторых, предлагаемый документ стратегии финансирования аналогичным образом изменен , чтобы включить в Фонд по борьбе с коррупцией в списке групп получить поддержку OSF.

Рисунок 18: Предлагаемая стратегия документ с указанием места, где испорченный документ модифицирован, чтобы включить упоминание о Фонде по борьбе с коррупцией

Загрязненность возобновлена позднее в документе, когда несколько СМИ ( Эхо Москва , РосБизнесКонсалтинг и ведомость ) были добавлены к документу, по- видимому , чтобы создать впечатление , что они получили поддержку OSF.

Рисунок 19: Вторая секция в том же документе, показывая еще раз, как несколько СМИ, в том числе Эхо Москвы, РосБизнесКонсалтинг и ведомости были добавлены.

Второй экземпляр загрязненность в стратегическом документе также вводится небольшое грамматическую ошибку, когда tainters пренебречь, чтобы удалить «в» перед изменением «новости сайта» в множественном числе «новостных сайтов.»

Документ Решение Закон об НПО

Наконец, в документе адресации грантополучателей и закон об НПО России , заражая снова выполняются для добавления Фонда Навального по борьбе с коррупцией . Загрязненность также якобы , чтобы показать основание получать деньги через Яндекс, российской платформе широко используется предлагающей сервис онлайн — оплаты.

Рисунок 20: Tainted документ, еще раз показывая добавление фонда Навального по борьбе с коррупцией

Взятые вместе, как испорченный документ украден от Дэвида Саттера, и испорченные OSF документы рисуют картину компетентного противника , работающим для достижения нескольких целей, в том числе дискредитации отечественных критиков правительства и президент России, одновременно пытаясь смутить иностранные грантодатель с деятельностью в Россия. В части 4 мы обсудим значение испорченных утечек как методики дезинформации.

Часть 2: Крошечный Discovery

Начиная с укороченным ссылку , отправленную Дэвид Саттер, мы определили предсказуемые особенность в том , как ссылка Shortener (Tiny.cc) сгенерировал сокращенные URL. Это позволило нам определить более 200 дополнительных целей той же операции , описанной в части 1 . В этом разделе описывается процесс , используемый для перечисления этих целей, и далее описывает связь между этой операцией и другими публично сообщенных российскими связями фишинговых кампаний.

В сентябре 2016 года, ThreatConnect опубликовал в блоге пост задокументировать попытки фишинга в отношении плательщиков на сайт гражданской журналистики Bellingcat и его основателя Элиот Хиггинс. Целевыми вкладчики активно участвуют в отчетности по российскому участию в 17 июля 2014 сбивание Malaysia Airlines Flight 17. ThreatConnect приписывали эти попытки вторжения на Fancy Медведь (ака APT28 ), угрозу актер широко распространено мнение, напрямую связана с русским правительство. В обновлении октября на этот пост, ThreatConnect документально дополнительная попытка фишинга против вкладчика Bellingcat.

Эта последняя попытка фишинга учетных данных во многом похож на первый отправленном Дэвид Саттер (см часть 1 , случай Дэвид Саттер). Оба письма были отправлены в 10:59 утра EST , используя тот же адрес отправителя: g.mail2017 [@] yandex.com . Кроме того, как общее поддельный колонтитул Gmail , которая была отчетливо измененным из оригинального колонтитула Gmail.

Рисунок 21: Footer от фишинговых писем, отправленных в Bellingcat и Дэвид Саттер, показывая отличительные опечатками (возможно, чтобы избежать фильтрации спама)

В обеих случаях вредоносные ссылки , встроенные в этих фишинговых письмах были настроены для перенаправления целей по адресам , размещенных на службе URL укорочения Tiny.cc . Как показал ThreatConnect, ссылка Tiny.cc используется против вкладчика Bellingcat фактически перенаправлена жертва другому укороченной URL, этой обслуживаемого другим сервис укорачивания: tinyurl.com. В конечном счете, эта серия ссылок перенаправлений привела к злонамеренным верительной странице фишинга размещенной по следующему адресу:

hxxp: //myaccount.google.com-changepassword-securitypagesettingmyaccountgooglepagelogin.id833 га [.]

Таблица 1: Домен хостинг учетных данных фишинг страницы

Используя PassiveTotal , мы исследовали данные исторические разрешения DNS для этого домена. Результаты показали , что во время этих попыток фишинга, домен id833 га [.] Решил IP адрес 89.40.181 119 [.] — тот же румынский IP — адрес , используемый для доступа к учетной записи электронной почты Дэвид Саттер на 7 октября (см часть 1 , Дело Дэвид Саттер).

Эти данные показывают, что вклад Bellingcat и Дэвид Саттер оба были направлены на ту же фишинг кампанию; эта связь будет дополнительно изучена в следующем разделе.

Tiny.cc Перечень

При рассмотрении Tiny.cc сокращенные URL-адреса, найденные в фишинг письма, отправленные Дэвид Саттер, мы стали любопытно, как к структуре, как были построены такие ссылки.

Tiny.cc предоставляет услугу укорочения, которая позволяет пользователям создавать емкие URL, которые перенаправляют на какое-то определенное, как правило, длинные, адрес веб-сайта. В качестве примера, мы создали укороченный URL Tiny.cc, который перенаправляет на недавний доклад Citizen Lab:

http://tiny.cc/bj87iy -> https://citizenlab.org/2017/02/bittersweet-nso-mexico-spyware/

В этом примере, шорткод Tiny.cc будет bj87iy . В серверной базе данных приложения Tiny.cc, этот хэш однозначно решает целевой адрес:

https://citizenlab.org/2017/02/bittersweet-nso-mexico-spyware/

После проведения испытаний, мы установили, что эти шорткоды присваиваются в последовательном порядке. Например, с помощью API вызова Tiny.cc для создания укороченного URL, мы программно генерируемся 8 ссылки с одним-секундной задержкой между каждым вызовом. Полученные шорткоды генерируемые (в порядке) были следующими:

63q6iy 
73q6iy 
93q6iy 
e4q6iy 
p4q6iy 
r4q6iy 
t4q6iy 
24q6iy

После проведения многочисленных подобных тестов, мы определили, что шорткоды построенных в небольших временных окнах будут лексический близко в смысле следующей последовательности «base36» алфавита:

а, б, в, г, д, е, ж, з, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Y, г, 0,1,2,3,4,5,6,7,8,9

Последовательные шорткоды построены итерируя крайний левый символ через этот base36 алфавит. После того, как все 36 символов были исчерпаны, это крайний левый символ возвращается к исходному значению «а», с второй символ, то итерация одну позицию в соответствии с тем же алфавитом. Этот итерационный процесс продолжается для каждой позиции шорткодом (см рисунок 22), что позволяет нам рассматривать шорткоды как своего рода base36 «счетчик».

Рисунок 22: Перечисляя base36 шорткоды используется tiny.cc

Учитывая это понимание конструкции SHORTCODE, мы можем измерить условное «расстояние» между любой парой коротких номерами . Например, расстояние между Шорткодами bj87iy и cj87iy будет 1, а расстояние между bj87iy и bk87iy бы 36.

Это измерение расстояния дает представление о том, как близко два шорткодах являются, и, таким образом, путем расширения, как близко по времени они были произведены. Мы вернемся к этому понятию расстояния ниже.

Используя этот дизайн знание, мы рассмотрели шорткоды Tiny.cc найден в 5 октября и 7 фишинговых письмах, посланных Дэвид Саттер. Используя их в качестве отправной точки, мы перечислили около 4000 смежных шорткодов для каждого, а затем исследовались целевую веб-адреса, на которые перенаправлены эти короткие ссылки. Из этого большого списка, мы извлекли все связанные назначения ссылки (см рисунок 23), которые перенаправлены к домену злонамеренного фишинг, описанного выше в таблице 1.

Рисунок 23: Некоторые из фишинговых ссылок, обнаруженных при перечислении Tiny.cc коротких номеров

Это перечисление привело нас к открытию доказательств того, что Дэвид Саттер и безымянный Bellingcat журналист был лишь две целей гораздо большей верительного фишинг кампании. Следует отметить, что, как указано выше в части 1 : второй Фишинг электронной почты , когда мы проверили конкретный Tiny.cc шорткод полученного Саттера, то unshortened ссылка на страницу фишинга была заменена доброкачественной URL: [.] Myaccount.google ком.

Мы не смогли окончательно определить причину этой замены. Одна из теорий предполагает, что операторы кампании ошибочно укоротить неправильные URL-адреса назначения, а другой утверждает, что после того, как операторы успешно взломанные учетную запись цели, они прививают ссылку Tiny.cc представленную в фишинг электронной почте. Действительно, в одной и ту же партии, перечисленные из коротких номеров кампании октября, мы обнаружили четыре дополнительных шорткодов, которые также указывали на myaccount.google [.] Ком.

Декодирование целей

Мы изучили «unshortened» URL из которые были короткие номера рядом с одним посланного к Саттер, и обнаружили 25 различных адресов назначения вида:

https://www.google.com/amp/tinyurl.com/(redacted)

Эти адреса были редиректами, которые использовали ранее, Google размещаемый, открытое перенаправление (google.com/amp/), чтобы отправить пользователь ссылку на сервисе укорачивания tinyurl.com. В любом случае, эти ссылки tinyurl.com были каждый из которых предназначены для отправки своих предполагаемых жертв в адаптированную версию ниже, поддельной, Gmail страницы входа в системе:

hxxp: [.] //myaccount.google.com-changepassword-securitypagesettingmyaccountgooglepagelogin.id833 га / безопасность / signinoptions / пароль

Этот домен, обсуждалось выше и указано в таблице 1, в то время фишинговые письма были отправлены, разрешен к румынскому IP-адрес, используемый для доступа к учетной записи Gmail Саттер (см часть 1).

Для того, чтобы поддержать социальный инженерный аспект этой поддельной Gmail страницы входа, оператор использовал ряд значений параметров URL в кодировке base64 для отображения адреса электронной почты цели, а в некоторых случаях имя и профиль Google изображение цели, в соответствующие поля на поддельной странице входа.

Рисунок 24: TinyURL Предварительный просмотр второго уровня редиректа звена фишинг

Следующий пример URL-иллюстрирует использование этих параметров (рисунок 25):

Рисунок 25: URL-параметр декодирования с помощью ссылки фишинговом

В силу этого шаблона параметров URL, мы смогли определить точную цель каждого из фишинговых ссылок , которые мы обнаружили во время нашего процесса перечисления. Значение этого шаблона параметров URL будет вновь рассмотрено ниже в части 3 .

Копать глубже

Расширение поиска подозрительных веб — адреса, полностью перечислив все шесть символов пространства последовательности шорткода вышеуказанного способа , оказалось неразрешимыми. 5 Тем не менее, в том же докладе ThreatConnect говорилось выше , также задокументированы ранее APT28-приписывали попытку фишинга против Bellingcat журналиста Арик Толер. 16 июня 2016 года, Toler был послан поразительно похожим Google тематики фишингового , содержащим шорткод Tiny.cc. Следуя тот же процесс , описанный выше, мы перечислили шорткоды примыкающих к одному опубликованной ThreatConnect.

При этом, мы обнаружили еще одну группу целей — 198 целевых адресов электронной почты в целом . В этой ранней кампании, unshortened URL , прямо указал на вероятную фишинговой страницы (Рисунок 26):

Рисунок 26: Параметры URL в кампании против июня Арик Толер

Примечательно, что эти ссылки отображаются быть размещены на службе Google Blogger, и в то время как эти страницы уже были приняты в автономном режиме, когда мы пытались исследовать их, можно наблюдать ту же характеристики URL параметризации.

Краткий анализ целевого списка , связанного с этими двумя кампаниями предусмотрено выше (см Пандоры Un укорачиванию: Гражданское общество Цели всплывать ).

Тестирование прикорм

Мы измерили расстояние между последовательным злонамеренным Tiny.cc видел короткие номера в походах июня и октября (рис 27). При этом, мы наблюдали довольно последовательные расстояния между короткими номерами, возможно, свидетельствует о том, что операторы генерировали эти ссылки через автоматизированный процесс. Тем не менее, один шорткод выделялся, и мы подозревали, что это, возможно, был ручной тест оператора.

Рисунок 27: Аномальное расстояние 305 сразу выделялся из среднего 8.2, обратив внимание на укороченной ссылке

В соответствии с параметрами, полученных из URL фишинга, связанный с аномальным шорткодом, мы были в состоянии расшифровать учетную запись Gmail целенаправленной по этой ссылке фишинга:

параметрРезультат после декодированияАдрес электронной почтыmyprimaryreger [@] gmail.comПолное имяАлена خسرويПрофиль Google+ Фото

Таблица 2: Параметр URL-значение декодируется

Эта учетная запись Google, myprimaryreger [@] gmail.com , также был использован при регистрации по меньшей мере одного другого доменного имени , которое было связано с предварительного исследования по известной или предполагаемой APT28 деятельности. Такие соединения, в то время как косвенные, далее поддерживать связь с субъектами угрозы России на основе.

В Приложении B мы приводим краткое описание того , почему мы считаем , что учетная запись используется оператором, и как учетная запись использует сообщения Google Plus , чтобы вставлять изображения в фишинговых сообщений электронной почты.

Часть 3: Подключение к Публично сообщенным операциям

В этом разделе описывается соединения и перекрытия между операцией, описанной в настоящем докладе, и другой, публично сообщенного российско-аффилированной кибер-шпионаже кампании.

Тест оператора непокрытый во время нашего перечисления Tiny.cc (коротких номера см Тестирования прикорма выше), обеспечивает связь с косвенной APT28, однако есть и другие потенциальные связи. В этом разделе мы опишем другие сравнения между этой кампанией и другими публично сообщенными операциями , которые имеют российский нексус. Мы идентифицируем отмеченные общие черты коллекции фишинговых ссылок в настоящее время отнесено к одной из самых общедоступных информационных операций в недавней истории: адресность в 2016 году президентской кампании в США.

Немного больше о нарушениях

В фишинговых URL-адреса в этой кампании были закодированы с отличным набором параметров с помощью base64. При нажатии ссылки при условии, ключевой информации о цели на сайт фишинга. Идентичный подход к параметрам и кодирования (см рисунок 28 ниже) было замечено раньше: в фишинг-кампании в марте 2016 года, которая предназначалась президентскую кампанию Хиллари Клинтон и Национального комитета Демократической партии. Это сходство предполагает возможный код повторного использования: две операций могут использовать один и тот же фишинг «комплект».

Кампания , которая направлена на DNC также включены тот же Google безопасности тематикой фишинг уловку, и злоупотребляют другой сервис укорочение URL, bit.ly. В июне 2016 года Dell SecureWorks опубликовала отчет приписывая операцию на APT28, угроза актер обычно связанный с российским правительством.

Исследователи SecureWorks смогли перечислить и проанализировать цели этой кампании, что позволяет им описать виктимологии:

«Люди в России и странах бывшего СССР, бывших и нынешних военных и государственных служащих в США и Европе, людей, работающих в области обороны и снабжения правительства цепи, а также авторы и журналисты — но также включены учетные записи электронной почты, связанные с ноября 2016 года Соединенные Штаты Америки выборы президента”

Это виктимология поражает сразу же параллельно целевой список, мы обнаружили в нашем перечислении Tiny.cc URL.

Рисунок 28: Bitly ссылка и окончательный адрес фишинг страницы отправлен Джон Подеста, бывший председатель президентской кампании Хиллари Клинтон, в марте 2016 года

Доменные схемы Общность

Мы нашли общие черты в области нейминга и поддомены структуры, между этой кампанией и операциями, связанной с APT28.

Домен , используемый в кампании с таргетингом Саттер был id833 [.] Га . Во время кампании, это доменное имя было указано на сервер в IP — адрес 89.40.181 [.] 119 . Используя PassiveTotal, мы наблюдали другие доменные имена , разделяющих подобную схему именования также направленную на этом IP: [.] Id834 га, и id9954 GQ [.] . В то время как мы не наблюдали каких — либо фишинговые ссылки на эти альтернативные домены, были одинаковые подобласти зарегистрированные для обоих:

ДоменСуб-доменid833 [.] гаmyaccount.google.com-ChangePassword-securitypagesettingmyaccountgooglepageloginid834 [.] гаmyaccount.google.com-ChangePassword-securitypagesettingmyaccountgooglepageloginid9954 [.] GQmyaccount.google.com-ChangePassword-securitypagesettingmyaccountgooglepagelogin

Этот домен / поддомен схема присвоения имен также очень близко к одному признакам в 2017 году Mandiant в M-тенденции отчета, в операции фишинга, связанной с APT28, что целевой OAuth маркеры в попытке получить постоянный доступ к учетной записи Google жертвы, и обойти безопасность двухфакторной аутентификации.

Домен связан с этой кампанией: 
myaccount.google.com-Changepassword-securitypagesettingmyaccountgooglepage login.id833 га [.] 
Домен упомянутой Mandiant, связанного с APT28: myaccount.google.com-Changepassword-securitypagesettingmyaccountgooglepage [.] .id4242 га

Сходство имен и структуры подобласти сразу очевидны. Эти две области ( id833 [.] Га и id4242 [.] Га ) также имеют общий сервер имен. Тем не менее, мы не смогли найти конкретную регистрация перекрывается между доменами и серверами.

Кроме того, в течение периода кампании, домен идентифицируется Mandiant, id4242 [.] Га разрешен к 89.32.40 [.] 238 . Этот IP также решает ряд других подозрительных областей с весьма похожими схемами именования, подсоединенными к инфраструктуре , используемой против Саттер. 
Ссылка используется для фишинга Джон Подеста, как показано выше, также разделяет различные именовании и поддоменов сходство с доменами , связанных с операцией фишинг против Саттер (см рисунок 28):

Домен таргетинга Подеста, связанный с APT28: hxxp: [.] //myaccount.google.com-securitysettingpage тк

Во время кампании в марте 2016 года, этот домен был размещен на IP — адрес 80.255.12 [.] 237

Публикации из многочисленных частных промышленных групп атрибутов 89.32.40 [.] 238 и 80.255.12 [.] 237 (а также связанные с ними домены) в APT28. В то время как мы можем указать на то , что существует значительные общности в области нейминга и структуре подобласти между кампанией таргетингом Саттера и доменами , связанные с этим IP — адресом, мы не могут сделать более убедительную техническую ссылку APT28.

В то время как промышленные группы, а также правительство США уже публично связано APT28 с российскими государственными структурами, мы не можем использовать анализ инфраструктуры в одиночку окончательно соединить операцию против Саттер к конкретному государственному спонсору. Подключение этой инфраструктуры к конкретному правительству потребуется дополнительные доказательства , которые не являются, по нашим сведениям, имеющиеся в свободном доступе.

Вызов Attribution

В то время как порядок событий, связанных с фишингом, кражи учетных данных, и в конечном итоге утечки испорченных документов, принадлежащих Дэвид Саттер, казалось бы, указывают на Киберберкут, характеристики российских информационных операций делают задачу присвоения государству спонсором сложной. Как следствие, нет «дымящегося пистолета», соединяющего доказательство, которые мы собрали для конкретного российского государственного агентства, несмотря на пересечения между нашими доказательствами и что представлена ​​многочисленными отраслевыми и правительственных отчетами, касающихся российскими аффилированными актерами угроз.

Обращаясь к теме атрибуции требует нюанса и признания уникального характера российского кибершпионажа: преднамеренность культивирование организованных преступных групп в качестве прокси — операторов , а также большое число независимо работающих, перекрывающих друг друга, а иногда конкурирующих шпионских агентств и служб безопасности , все из которых работать в рамках широкой культуры едва скрытой коррупции. В качестве одного исследования по России примечаний, многие агентства безопасности России « предоставляются значительная свобода в своих методах, не ограничивая себя проблемами дипломатов или контроля законодателей.»

Подход России к использованию прокси — актеров в преступном мире , в частности , информируется очень сложной стратегии вокруг информационных операций и контроля. Хотя эта стратегия имеет корни , которые идут вглубь советские (и еще более ранние русские) истории, она была более полно разработана в качестве компонента гибридной войны, также известной как доктрины Герасимова или « нелинейной война » , и проникнута глубокими ресурсы после «цветных революций» в 2011 году в Москве протестов, и при отражении событий арабской весны. Общий подход России был описан как форма «партизанской геополитики» , в котором «Потенциальном большую власть, понимая , что его амбицию опережать свои военные ресурсы, стремится использовать методологии повстанца , чтобы максимизировать свои возможности.» Культивирование организовало преступные группы являются одним из основных компонентов этого подхода, о чем свидетельствуют в аннексии Крыма , которая была предпринята в сотрудничестве с криминальными элементами , которые обеспечили «политическую и военную мощь.» офицеры России безопасности также известны обычно балуются доходы от преступного мира преступных операций для незаконного дохода своих собственных, и в результате может даже приоритизации преступника над интересами национальной безопасности.

В цифровой арене, эта доктрина проявляется в культивировании интернет-ориентированных организованных преступных групп , которые работают частично от имени или в поддержку режима Путина, и частично ориентированных вокруг собственной денежной прибыли в онлайн — финансового мошенничества и других схем . Существует доказательство российских хакеры даются широкие возможности для осуществления преступной деятельности до тех пор , как она соответствует пожеланиям российских силовых структур. Несколько российских аффилированные операторы могут поставить под угрозу ту же цель , невольно и без кажущейся координации. Это «влезает» вокруг цели дополнительно затрудняет атрибуцию. Этот комплекс прокси — стратегии, а также многочисленные, конкурирующие агентства позади прокси, часто теряется или забывают , когда компании и правительственные учреждения прыгать быстро правка вокруг российского кибер — шпионажа.

Хотя вполне возможно, что прокси-сервер актер осуществляет сбор компонент переднего конца фишинга кампании мы описываем, масштаб адресности также предлагает хорошо обеспеченные ресурсы актера, такие как национальное государство. Нить, связывающая все целей является их связью с вопросами о том, что правительство России заботится о. Мишени люди, чьи позиции или мероприятия дают им доступ, или влияние на чувствительную информацию особого интереса для России. Это связывает иначе чрезвычайно разнообразный целевой набор, который колеблется от отечественных критиков и журналистов Кремля, следователи по борьбе с коррупцией, иностранным государственными служащими и бизнесменами.

Данные , собранные от такой кампании придет в более чем десяти языках, и озабоченность широкий спектр политических, военных и политических вопросов , по крайней мере , 39 стран и 28 правительств. Кроме того, такая кампания была бы , скорее всего, генерировать большие объемы данных. По этой причине, профессионализация, хорошо обеспеченные ресурсов оператор будет необходим для любого эффективного анализа после сбора украденных данных. Еще большие ресурсы будут необходимы для анализа, а в некоторых случаях тщательно изменить в короткие сроки, содержание украденных учетных записей электронной почты и облачных хранилищ для целей засева дезинформации через испорченных утечек.

Разнообразие и предполагаемая стоимость анализа украденных данных наряду с четким российскими связующим для целей только косвенных доказательства российской связи. Это следует оценивать в контексте других косвенных доказательств мы представляем, в том числе наложений в тактике с известными Россией-сцепленными актерами и заметной ролью Киберберчет.

Часть 4: Обсуждение

В этом разделе мы рассмотрим тревожную связь между шпионажем и дезинформации, особенно в своем последнем цифровом проявлении, и более подробную информацию о том, как гражданское общество, особенно подвержены риску таких новой тактики.

Tainted Утечки: Новый Trend

Недавняя кража и раскрытие документов (заклеймен как «утечка») из президентской кампании Эммануэль Макрон самый высокий профиль случай , в котором оказывается , что фальсифицированные документы были вставлены среди реальных, украденных документов. Документы ошибочно предполагали ряд неправомерных или сомнительных действий. Ложные истории подразумеваемых этих документы были затем выделены в кампаниях продвигаемых с щебетом ботами и другими методами. Выпуск течи под маркой последовал выпуск, несколько дней назад, из быстро-развенчано истории , при поддержке фальсифицированных документов, утверждая , что Macron провели иностранные банковские счета.

В случае выпусков герметичных заклеймили в течение 2016 года президентских выборов в США, публично-доступные данные подключения этих релизов с российско-аффилированного кибернетическими операциями в основном косвенный, но убедительная. Сообщается, и весьма вероятно, что сильнее доказательства доступны в секретных местах . Основываясь на первоначальных докладах Trend Micro , что кампания Macron была мишенью APT28 ,»последующие доклады указуют на причастность России в нарушении , и испорченные утечки.

Дело Macron продолжает развиваться, и многие элементы все еще остаются неопределенные, в том числе , была ли кампания Macron сознательно высева своих связей с поддельными документами, предназначенных для замедления анализа трубопровода операторов . Однако, это не первый случай , в котором доказательство или претензия испорченных утечки всплыла.

Документы , похищенные из Фондов Открытого Общества, который является жертвой нарушения, были изменены , а затем выпустили в испорченных утечках по Киберберчешь в должности от 21 ноября 2015 . Загрязненность включены тщательные изменения, такие как изменение бюджетных документов, чтобы создать впечатление , что некоторые российские группы гражданского общества получали иностранное финансирование. Случай стал общедоступен , потому что элементы одного и того же украденного набора были переизданы на герметичности под маркой сайта «Утечки DC,» без загрязненности.

В случае Дэвид Саттер, чья личная электронная почта счета были аналогичным образом были нарушены, а затем испорченный, материалы отредактированы, сращивания и удаляется, а новый текст был добавлен. Fiction был добавлен в том , чтобы создать гибрид «испорченную утечку.» Испорченная утечка сообщила ряду новых, ложные историй, предназначенный не только для дискредитации Саттера, но для поддержки отечественных описательных знакома многие россиян: иностранного вмешательства, и иностранные руки из- за критики в адрес правительства.

Ложь в лесу Фактов

Последние утечки на подлинных осведомителей, а также «утечка» -Фирменные выпуски материалов, украденных операций шпионской кибер (например, «DC Утечки» или «Macron Утечки») являются привлекательными, поскольку они появляются, чтобы обеспечить не-фильтруется взглянуть на людей, говорящих в частном порядке , Как перехваченного разговора, они чувствуют себя ближе к «истине», и действительно может выявить Неподготовленный истины о людях и учреждениях. Трудно не быть любопытным о том, что непристойные детали могут содержаться в них. В 2016 году США президентских выборов, было очевидно, что выпуск, хотя явно намеревался повлиять на выборах, рассматривались большинство медиа-организаций, имеющие внутреннюю важность вопроса, и, таким образом, содержание утечек часто быстро усиливается и повторяются.

Потенциал утечки, чтобы привлечь внимание делает большие дампы украденных материалов плодородной почвы для загрязненности. Тщательно построенная испорченная утечка включены в наборе реального украденного материала окружена документами, которые, по сопоставлению, косвенно сигнализировать, что он является законным. Это может помочь испорченной утечка выжить первоначального контроля со стороны репортеров и других ищущих подтверждения. В сочетании с медиа-стратегией или кампанией усиления социально-СМИ, которые избирательно выделяют подделку или рассказ о том, что поддельные опоры, утечка создает по умолчанию разрушение серьезной проблемы как жертвы нарушения, а тот, кто причастен к дезинформации.

Распространение дезинформации может внести свой вклад в цинизм о средствах массовой информации и учреждениях в целом как ненадежные и ненадежными, и может развивать усталость среди населения о расшифровке , что это правда или нет. По распространяющихся лжи, цель не обязательно , чтобы убедить население , что ложь является правдой (хотя результат желательно), а иметь их под сомнение целостность всех средств массовой информации в равной степени ненадежны, и при этом « способствовать такой политике паралич «.

Tainted Утечки Поместите Unique Burden на нарушении жертв

Должен ли испорченный документ набирать обороты, есть нагрузка на жертве дезинформации, чтобы доказать, что течи не являются подлинными. Эта задача может быть затруднена. Жертвы нарушений могут быть не в состоянии, не желая, или запрещено выпускать оригиналы документов. Кроме того, они могут не захотеть быть втянутой проверка факта своих украденных данных. Эта проблема может быть особенно актуально, если операторы, стоящие за испорченную утечкой выбрали документы, которые сами по себе чувствительны.

России по борьбе с коррупцией активист, чье имя было высевают в такие чувствительные отчеты не может быть в состоянии убедить первоначальную жертву нарушения, чтобы освободить подлинный документ. Действительно, такой человек не может даже быть в состоянии точно определить, какие части документа являются реальными, и которые являются поддельными, за то, что они знают, чтобы быть правдой о себе.

Между тем, представители общественности не имеет возможность тщательно проверить целостность таких свалок, либо в целом, либо конкретные документы в них. Действительно, даже журналисты, сообщающие о обвинениях или обманах могут быть не в состоянии получить явное подтверждение которых был подделать точный материал. Если испорченный документ тщательно выстроенные из реальных, поддающихся проверки элементов, это может быть особенно трудно идентифицировать как подделку. Даже если журналисты делают жесткое копание и анализ, они могут быть не в состоянии опубликовать свои результаты в достаточно своевременно к материи. К тому времени их работа завершена, ложная информация может быть встроена в себя коллективное сознание.

Дезинформация может сохраняться и распространяться , если согласованные меры не будут приняты для борьбы с ним. Еще более коварным является тот факт , что исследования показали , что попытки «подавить слухи путем прямого опровержения может облегчить их распространение путем повышения беглости.» Другими словами, попытки исправить неправды может иронически способствовать их дальнейшему распространению и даже принятия.

Не все испорченные утечки работать как задумано , чтобы нанести максимальный вред. Почти сразу же после «MACRON Утечки,» кампания Macron быстро отреагировала, и заявила , что в «утечке» включена подделки . В стремительном среде СМИ в дни перед голосованием, этот шаг , возможно, привел к неопределенности относительно фактического характера освобождения в сознании многих журналистов, затемнение энтузиазма быстро сообщить «находкам». Усиление из «утечек» дополнительно заблокировано « рекомендация к средствам массовой информации » французскому избирательному орган не «релейным» утечки. Орган указал на наличие подделок, и предупреждает о возможных юридических последствиях для представления истории.

По результатам голосования, сотрудники кампании Macron заявили в СМИ , что украденные документы также , вероятно , содержали фальшивки , созданные кампании, призванных тратить время злоумышленников. Это утверждение также бросают дальнейшие сомнения в правдивости каких — либо документов , содержащихся в «утечек» .

Зараженные Утечки: старые методы, новые тактики

Кража цифровой информации для целей разведки является хорошо известной и широко практикуется тактика используется государствами. Тем не менее, уникальный аспект российского кибершпионажа отличающего его от других правительств является публичным релизом exfiltrated данных, предназначенных для смущать или дискредитировать противник. Известный как «компромата», этот вид деятельности распространен в России, и ранее был использован в Советском Союзе, и очевидно, в публикации писем на Wikileaks, связанных с официальными лицами Соединенных Штатов, участвующих в США президентской избирательной кампании 2016 года.

Освобождение электронной почты SATTER могла бы быть примерно описан как компромат. Тем не менее, с его сотрудничества мы смогли определить вторую особенность выпуска: преднамеренное вмешательство в содержание его сообщений. Это смешение факта и лжи, таким образом, также стратегия дезинформации.

В российской / советской военной доктрине, практика намеренно распространяющиеся поддельные документов и дезинформации известна как « дезинформационный », ссылаясь на манипуляцию информации в службе распространения лжи. Хотя на практике в течение многих десятилетий России и Советского Союза, использование дезинформационной в связи с кибер — шпионажа является новым и хлопотно границей в структурированной цифровой дезинформации.

Почему Target гражданское общество?

Наше исследование определены цели гражданского общества в России и за рубежом. Это нацеливание согласуется с общим согласием относительно того, как считает , что русский режим: лечится ли отечественное или иностранное гражданское общество как угроза режима, выдвинутая клептократия и суверенитет страны.

Есть по крайней мере две причин, по которым гражданскому обществу факторы высоко в российское восприятие угроз. Во-первых, независимые группы гражданского общества могут создавать трудности для режима от высвечивая коррупции и злоупотребления властью, свободно говоря о проблемах, правительство предпочитает держать в тени, и мобилизации людей в организованной оппозиции.

Те , кто не знаком с российским опытом могут не заметить вторую мотивацию, которая обращается с большей русской описательной унижения и поражения в руках Соединенных Штатов и их союзников в конце холодной войны. Некоторые российские лидеры, особенно привязан к старой советской системе, возмущаться США триумфализма и увидеть местное гражданское общество в качестве инструментов США и западного вмешательства в российской внутренней политике (для тех , кто под их непосредственным контролем , за исключение). Например, Путин использовал термин «активные меры» , чтобы описать действия тогдашнего госсекретаря США Хиллари Клинтон в 2011 в Москве демонстрацию. Это рассказ о России как « осажденной крепости » используется в качестве оправдания для подавления и ориентации групп гражданского общества как внутри самой России, в бывших советских пространствах, так и за рубежом.

Хотя часто забывают западными СМИ и политиками, эта модель угроз переводит на практике в целевые операции цифрового видеонаблюдения на гражданском обществе, как внутри страны, так и за рубежом. Особая озабоченность правительства являются НПО, журналисты и активисты, которые рассматриваются как имеющие ссылки на Запад и / или финансируются западными правительствами. Многие из целей этой кампании связаны в какой-то степени в США на основе аналитических центров и стипендиям.

В равной степени относятся к правительству, однако, действия национальных НПО и частных лиц. В нашем докладе показана, основная мотивация для нацеливания Дэвида Саттера и загрязненности утечек, полученных из материалов, украденных у него была ложно изображают местные российские группы, имеющие филиалы и даже финансирование связей с западными организациями и правительства США.

Вывод

Tainted утечек растет, и особенно хлопотно дополнение к тактике дезинформации, и в текущей цифровой среде, вероятно, станут более распространенными. В 2017 году президентских выборов во Франции, испорченные утечки, по всей видимости, были использованы в попытке дискредитировать политическую партию и кандидата на выборах непосредственно. Цель загрязненность была примерно та же сущность, что пострадали нарушения. В случаях, проанализированных нами, однако, испорченные утечки были использованы для дискредитации третьих лиц, которые не были жертвами первоначального нарушения. Это различие подчеркивает еще один аспект растущей тенденции утечки фирменных релизов, и проблемы, которые они создают.

Зараженная теча-фальшивка в лесе фактов, проверить пределы того, как средства массовой информации, гражданская журналистика, и пользователи социальных медиа обрабатывать проверки фактов и усиление заманчиво, но сомнительную информацию. Как тактика, испорченные Утечки эволюция гораздо более старых стратегий для дезинформации, и как эти ранних стратегии, представляют явную угрозу для общественного доверия к целостности информации. Интересно, что в то время как загрязненность мы опишем, как представляется, имеет в основном внутреннюю цель, чтобы дискредитировать элементы российской оппозиции, легко применяются во всем мире.

В докладе определен фишинг кампания с более чем 200 уникальными целями из 39 стран. Мы не окончательно отнести технические элементы этой кампании для конкретного спонсора, но есть многочисленные элементы общих между кампанией мы анализировали и то, что было публично сообщили промышленные группы как принадлежащие угрозы субъектов, связанные с Россией.

Учитывая хорошо известный в России предпочтение для использования прокси-актеров, было бы весьма маловероятно, что такая группа, как наша, которая опирается на информацию с открытым исходным кодом, сможет обнаружить неоспоримое звено в таком случае, как это. Тем не менее, стоит повторить, что ресурсы правительства, вероятно, будет необходимо управлять такой большой и амбициозной кампании, учитывая количество языков, на которых говорят цели, и области их работы. В состав группы входят бывший российский премьер-министр, глобальный список министров, послов, военных и государственных служащих, руководителей нефтяных компаний, а также представителей гражданского общества из более чем трех десятков стран.

Цели, которые мы нашли подключены, или иметь доступ к вопросам информации в отношении, в которых правительство России имеет подтвержденный интерес. Эти вопросы варьируются от исследований людей, близких к президенту России, к, зарубежных аналитических центров Украины, НАТО, работающих по России и Крыму, грантодателей поддержку прав человека и свободы слова в России, а также энергетического сектора на Кавказе.

Учитывая этот основной российский фокус, а также технические доказательства, указывающие на наложения и стилистические сходства с группами, приписанных к российскому правительству, мы считаем, что существует сильная косвенная, но не является окончательной очевидность для российского правительства спонсорства фишинга кампании и испорченных утечки.

Цели гражданского общества этой операции заслуживают особого внимания. По крайней мере, 21% мишеней из нашего набора были журналисты, активисты, ученые и другие члены гражданского общества. Слишком часто, угрозы в отношении групп гражданского общества, получают второе биллинга в индустрии отчетности и освещении в средствах массовой информации, связанные с правительством операций.

Тем не менее, в этом случае, члены гражданского общества были и целью дезинформации в виде испорченных утечек, и представляла собой значительную долю подмененных целей. В поучительной ноте для грантодателей, несколько десятков целей все придерживались того же общения, с одной и той же организации. Эта общая принадлежность предполагает, что они могут быть направлены из-за их отношения с грантодателя.

Мы надеемся, что этот доклад будет стимулировать другие к участию в дальнейших исследованиях методов, используемых для распространения испорченных утечек, а также служить в качестве напоминания о часто занижено присутствии целей гражданского общества среди связанных с государством фишинговых и вредоносных операций.

Подтверждения

Особая благодарность Дэвиду Саттер, Рафаэль Саттер и Фондов Открытого Общества для сотрудничества и предоставляя нам материалы, необходимые для проведения расследования.

Благодаря команде Citizen Lab, которые представили обзор и помощь, особенно Билл Маркзак, Масаси Крит-Nishihata, Этьен Мейньер, Адам Сенфт, Айрин Поетранто и Амитпал Сингх

Мы хотели бы поблагодарить дополнительные исследователь для комментариев и обратной связи, включая Джен Уидон, Альберто~d Fittarelli, требовательный Буревестник и ПНП.

Поддержка исследований Citizen Lab на целевых угроз исходит от Джона Д. и Кэтрин Т. Макартуров, Фондов Открытого общества, Oak Foundation, Сигрид Раузинг Trust и Фонда Форда.

Приложение A: загрязненность

Рисунок 29: Полный текст испорченной утечки выпущенной Киберберкут показывая загрязненность

Добавленные статьи и их содержание

СтатьяавтортемаИнформационная Начинка: Что известно о каждом

Президент Сергей Ролдугин

Elizaveta SurnachyovaОбсуждает отношения между Путиным и Сергеем Ролдугиным (виолончелистом и финансовым сподвижником Путина). Ролдугин дружит со многими инсайдерами Путин, и имеет 3,2% акций банка Rossiya. Кроме того, он ранее провел два медиа-группы и одну нефтяную компанию. Бюджет Фонда Кэтрин Тихоновой в

Вырос в два раза

Вячеслав Козлов и Иван ТкачёвInnopraktika, фонд под управлением дочери Путина, увидели очень большое увеличение финансирования.Игорь Шувалов Царь-квартира стоимость в 600 раз, как обычные квартиры посмеялисьАлексей НавальныйЧасть серии на подставных компаниях, используемых Игорь Шувалов и его приобретение щедрой и чрезвычайно дорогой квартиры.Изображая Благодетеля: «Кто платит за проекты, связанные с ПутинымИсследует процессы, посредством которых олигархи погашать президента России, внося деньги на «благотворительные» и проекты для домашних животных. К ним относятся средства, управляемые Тихоновой и Ролдугин.Журналисты Нашли аналоги кооператива Озера по всем Центральной РоссииSlonОтносится к Transparency International и Meduza.io расследованию документирующих репликаций в Озере Cooperative (дача организация Путины) по всей России. Этот кооператив включает в себя частную даче (коттедж) община, в которых политика, государственные служащие и предприниматели живут в непосредственной близости, что позволяет им проводить неформальные встречи.Там, за 6-метровую высоту «падения Дачи Медведева»Алексей НавальныйОбсуждает 80 га (официально только 2 га) имущество, принадлежащее к Медведеву, и заплатил за олигархами за счет взносов, внесенных в «благотворительные фонды».Он Путина Кук. Он Troll Путина. Он миллиардерАлексей НавальныйВзгляд на Дмитрия Рогозина, который управляет «троллей завод» на Савушкина улице в Санкт-Петербурге. Он также контролирует ряд связанных между собой компаний, предоставляющих все от питания для очистки услуг распределения электроэнергии, которые приносят пользу от правительственных контрактов.Квартира стоит больше, чем полмиллиарда

Был найден в путинской Экс-Телохранитель Samename [так в оригинале]

Мария Жолобова и Мария Борзуновабывший телохранитель Путина и теперь губернатор Тульской области Алексея Дюмин, зарегистрирован как обладание квартиры стоимости от 500–700 млн рублей. Любопытно, что квартира была приобретена в то время как Дюмин служил в Министерстве обороны РФ. ,Samolet развития готов к IPOИрина Грузинова, Иван Васильев, Ирина Скрынник«Samolot Developments» является девелоперская фирма строительных кондоминиумы. Компания была приобретена Invest AG. Samolot Developments удалось разработать землю и получить разрешение, где другие не могли, учитывая его тесные связи с губернатором Московской области Андрей Воробьев. Его брат, Максим, является одним из основателей Samolot в.Как Фонд Кэтрин Тихоновой является DoingАлексей НавальныйВ настоящем докладе описывается долларовые контракты многомиллионных из государственных предприятий с научно-техническим фондом под управлением дочери Путины. Фонд также получил «анонимные пожертвования» на общую сумму примерно половину своего бюджета, что привело к 2015 году доходы 877 миллионов рублей. Включает в себя цитату из неясных и нелепых описаний проектов, используемых для обоснования выплат.

Приложение B: Счет испытания

Рассматривая страницу Google+ для myprimaryreger [@] gmail.com счет показывает подозрительную серию сообщений:

Рисунок 30 В: Профиль Google+ страницу для myprimaryreger [@] gmail.com

Каждый из постов профиля Google+ от этого пользователя содержит изображения, которые обычно наблюдаются в законной предупредительных сообщениях электронной почты безопасности, отправленных в Google. После того, как файл изображение загружается в профиле запись Google+, он копируется на сервера Google и может быть получен с использованием ассоциированной Perma-ссылки.

Мы подозреваем , что цель этих должностей , чтобы позволить оператору вставлять ссылки на Google-конкретные образы в их фишинговых писем в надежде , что ссылки на изображения , размещенных на серверах Google будет каким — то образом помешать Gmail управления обнаружения вредоносных электронной почты.

Приложение C: Показатели Компромисс

Доменные именаIP-адресАдрес электронной почтыid833 [.] га89.40.181.119 g.mail2017 [@] yandex.comid834 [.] га89.32.40.238 annaablony [@] mail.comid9954 [.] GQ80.255.12.237myprimaryreger [@] gmail.comid4242 [.] гапочты Google-login.blogspot [.] комком-securitysettingpage [.] тк

Сноски

1 «цветная революция» это термин , который широко используется для описания протестов продемократических и социальных движений , которые произошли в начале 2000 — х годов на всей территории бывшего Советского Союза.
2 Несколько людей были направлены в обеих из двух различных кампаний мы анализировали.
3 Гражданин Lab получает финансовую поддержку своих исследований от ряда финансирующих организаций, в том числе Фондов Открытого Общества. См https://citizenlab.org/about/
4 «Ведомость» является ежедневной службой новостей на русском языке связан с The Moscow Times (и в котором The Financial Times и Dow Jones не имели доли до 2015 года, когда Ведомость и The Moscow Times были выкуплена российскими деловыми интересами).
5 Последовательность base36 пространство шести символов содержит более 2,1 миллиард комбинаций. Проверка каждого из них с одной секундной задержкой (так, чтобы не злоупотреблять веб — сервис Tiny.cc) займет примерно 66 лет.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.