Hackerii care au speriat America, deconspirați de o pizza și de Facebook. Cum i-au prins agenții Secret Service pe Eveline Cismaru și Alexandru Isvanca
- Ionu ţMure şan
- 26 martie 2019, 01:45
Hackerii Eveline Cismaru și Alexandru Ișvanca au compromis 123 de computere ale Poliției metropolitane din Washington cu câteva zile înainte de învestirea președintelui Donald Trump, în scopul de a distribui mesaje de tip ransomware – un virus care blochează calculatoarele celor infectați și cere bani pentru a le debloca. EVZ prezintă în exclusivitate rechizitoriul întocmit de un agent al US Secret Service celor doi români, unde se arată cum au acționat, ce doreau să obțină și unde au greșit Eveline Cismaru și Alexandru Ișvanca.
Toate informațiile sunt prezentate în rechizitoriul celor doi, întocmit de un agent al Secret Service, James Graham. Înainte de toate, documentul în sine merită prezentat: actul are 20 de pagini, în care este descrisă activitatea infracțională, strutcturată concis pe capitole și subcapitole. Cel care l-a întocmit, agentul special James Graham, își prezintă activitatea în primele două pagini ale rechizitoriului: a terminat cursurile University College London, iar apoi s-a specializat în domeniul apărării cibernetuice.
„Am fost antrenat în a analiza o imagine pentru a descoperi informații relevante pentru anchetă, am studiat pas cu pas atacurile asupra unei rețele pentru a stabili etapele unei investigații având ca obiect infracțiunile cibernatice”, arată James Graham. Din documentul citat rezultă că una dintre modalitățile în care se antrenează agenții Secret Service este să execute atacuri cibernetice asupra unei rețele de calculatoare special create în acest scop, apoi să analizeze atacul din punct de vedere criminalistic.
În rechizitioriu, agentul special arată că Eveline Cismaru și Alexandru Ișvanca au coordonat un atac informatic în care compromiterea sistemului de supraveghere video din Washington era prima etapă. A doua consta în a trimite mesaje de tip ransomware în numele Poliției Metropolitate, de pe platforma informatică a autorităților.
Ce înseamnă malware
Pentru a înțelege mijloacele folosite de cei doi este necesar a explica scopul: într-un final, Eveline Cismaru și Alexandru Ișvanca voiau să obțină bani de la persoanele ale căror calculatoare le infectau, în scopul deblocării acestora. Victima unui atac cibernetic tip ransomeware se trezește cu calculatorul blocat după ce a descărcat virusul. În schimbul deblocării, atacatorii îi cer acestuia o sumă de bani, de cele mai multe ori în monedă virtuală – cea mai cunoscută fiind Bitcoin. Pentru a-l convinge, atacatorii se dau drept reprezentanți ai unei autorități, de cele mai multe ori este vorba de un serviciu secret.
Mesajul este însoțit de imagini și informa ți i foarte convingătoare, despre care cel atacat crede că vin din partea anchetatorilor: capturi de ecran realizate cu scurt timp înainte de atac, poziția reală pe GPS a victimei, date cu privire la adresa de IP, seria, numărul computerului – informații pe care de cele mai multe ori victima nu le stăpânește sau nu le înțelege suficient. Astfel, victima este convinsă că a comis o faptă ilegală, că a accesat informații secrete, iar de aceea trebuie să plătească o „amendă” pentru a redobândi accesul la propriul computer.
Virușii Cerber și Dharma
În acest context trebuie înțeles și demersul celor doi hackeri de a virusa rețeaua de camere de supraveghere din Whashington. În rechizitoriu se arată că fiecare cameră de supravehgere video din capitala SUA are un computer dedicat, care poate fi accesat de la distanță de oamenii legii, printr-un protocol de securitate. Odată compromis acest protocol, hackerii au pus mâna pe întreaga rețea de supraveghere din oraș. Nu a trecut mult până când oamenii legii au realizat că altcineva le folosește calculatoarele: ele rulau un program care nu fusese instalat de Poliția Metropolitană și care executa aplicațiile virușilor Cerber și Dharma pentru 179.616 adrese de email.
Anchetatorii au descoperit că rețeaua Poliției Metropolitane era folosită ca infrastructură de o serie de adrese de expediție a mesajelor, printre care david.andrews2005@gmail.com, anonimano027@gmail.com și vand.suflete@gmail.com (n.r. – pe care ameicanii au și tradus-o în rechizitoriu, selling souls), pentru a colporta virușii mai departe către sute de mii de destinatari. Adresele de e-mail sunt importante, deoarece ele i-au dat de gol în cele din urmă ce Eveline Cismaru și Alexandru Isvanca.
Hackerii testau victimele
Eveline Cismaru și Alexandru Ișvaca au folosit o bază de date comercială, care îngloba sute de mii de adrese de e-mail. Desigur, nu toate aveau în spate utilizatori reali, astfel că nu toate le erau hackerilor de folos. De aceea, virușii Cerber și Dharma au fost proiectați în așa fel încât primul mesaj pe care îl trimiteau era unul de test, urmat de cel de-al doilea numai în situația în care primul mesaj era accesat. Este neclar dacă românii au proiectat ei înșiși codul informatic pentru cei doi viruși sau dacă l-au luat de-a gata de la alți infractori. Cert este că în felul acesta, hackerii se asigurau că adresele de e-mail erau folosite de personae reale și scăpau de cele învechite, pe care proprietarii, din diverse motive, nu le mai foloseau.
Documente Secret Service: Ce au găsit agenții în arhiva Google
Agenții Secret Service au accesat baza de date Google și au mers din aproape în aproape: adresa vand.suflete@gmail.com conținea fișiere PDF care, odată executate, infectau calculatoarele cu virusul descris mai sus. Altă adresă, anonimano027@gmail.com, fusese folosită pentru înregistrare pe un forum de hackeri, de către o femeie născută în 1989 – s-a dovedit ulterior că Eveline Cismaru folosise date reale de înregistrare pentru identitatea de pe acel forum și redirecționase mesaje către adresa ei reală, eveline.cismaru@ gmail.com. Greșeala hackeriței a fost că a direcționat către această adresă care îi dezvăluia numele și prenumele toate datele care o legau de activitatea infracțională, inclusiv adresele de IP, conturile și parolele de la 94 de computere ale Poliției Metropolitane. Cu numele și prenumele făptuitorului, a fost o chestiune de timp până când americanii au găsit-o pe Eveline Cismaru, pe adresele căreia se aflau datele „la cheie” pentru mii de carduri bancare.
Activi pe rețelele de socializare
S-a dovedit că și Alexandru Ișvanca folosea anonimano027@gmail.com, deoarece contul era asociat cu o adresă de rezervă, amisvanca@gmail.com, acronimul de la numele și prenumele acestuia, Alexandru Mihai Isvanca. Greșeala lui majoră a fost că a comandat pizza la domiciliu de pe una din adresele folosite în atacul informatic, respectiv david.andrews2005@gmail.com. Comanda a fost plasată pentru „Mihai Alexandru”, aflat la o adresă din București, iar agenții Secret Service au descoperit acest detaliu tot în baza de date a Google. După ce au descoperit numele și datele de identificare reale ale celor doi, agenții americani au apelat la polițiștii români în baza tratatului internațional de cooperare. Fotografiile celor doi din baza de date a Poliției, precum și pozele de pe conturile lor de Facebook, au dus la identificarea acestora.
În cazul Evelinei Cismaru, acesta a utilizat pentru înregistrarea pe rețeaua de socializare contul folosit în atacul cibernetic. Pe aceeași adresă de e-mail Cismaru primea și mesajele de pe YouTube, unde aceasta avea un canal de video-blog. Faptul că Eveline distribuia pe Facebook materialele postate pe YouTube le-a făcut misiunea mai ușoară agenților Secret Service.