FORBES: „Și dacă NU Rusia este în spatele PIRATĂRII lui Macron?”

FORBES: „Și dacă NU Rusia este în spatele PIRATĂRII lui Macron?”

Primele elemente ale anchetei asupra actului de piraterie cibernetică asupra lui Emmanuel Macron arată că lucrurile pot contrazice aparențele.

Seamănă cu Rusia, pare să fie Rusia, așa că trebuie să fie Rusia. Acesta este modul de gândire al comunității de informații care încearcă să descopere cine a furat mulțimea de fișiere de la echipa de campanie a noului președinte al Franței, Emmanuel Macron, se arată într-o analiză a prestigioasei publicații Forbes.

Iată de pildă FireEye, prima companie de ciber-securitate care a i-a identificat pe pirații Comitetului Național al Partidului Democrat din Statele Unite ca aparținând grupării APT 28 supranumite și Fancy Bear, afirmând că a fost vorba de o operațiune a Rusiei.

Tot FireEye afirmă că pirații de la APT 28 sunt și principalii suspecți pentru atacul cibernetic asupra taberei lui Macron și pentru scurgerile de informații cu două zile înainte de turul II al alegerilor prezidențiale din Franța.

FireEye spune că legăturile dintre APT 28 și atacul asupra lui Macron se bazează pe așa-zisele TTP – tactici, tehnici, proceduri, altfel spus, un modus operandi specific.

Atacatorii bazelor de date ale lui Macron – de la tentative de phishing la diseminarea de date în public prin contul de Twitter al WikiLeaks – au utilizat multe dintre TTP asociate cu activitatea din trecut a APT 28.

Mai sunt și două adrese de IP – ambele din Europa – care au folosit la phishing asupra unor site-uri ale campaniei electorale a formațiunii lui Macron, En Marche!: onedrive-en-marche.fr și mail-en-marche.fr. Aceste site-uri, înființate în martie și aprilie, au fost inițial atribuite de compania de securitate cibernetică Trend Micro lui Fancy Bear înainte ca scurgerile de informații să aibă loc.

Însă John Hultquist, șeful echipei de analiști de la FireEye, a declarat doar că atacul a fost „probabil” lansat de APT 28, un grup despre care administrația Obama a afirmat că este condus de GRU, spionajul militar rus. „Acest incident a fost anticipat de multă lume și a urmat actelor de intruziune compatibile cu APT 28”, a spus Hultquist. Acesta a adăugat totuși că „o concentrare redusă a acestui adversar asupra securității operaționale ar putea ridica semnificative semne de întrebare privind atribuirea acestor acțiuni”.

Altfel spus, APT 28, presupus a aparține temutului GRU, acționat cu o nepermisă neglijență în a-și ascunde urmele.

În vreme ce acele domenii de phishing ar fi putut fi utilizate pentru a-l pirata pe Macron și suporterii lui, nu există o dovadă concludentă care să arate că acțiunea a reușit sau că a putut duce la scurgerea de informații, arată analiza Forbes.

O altă celebră companie de securitate cibernetică, CrowdStrike, care a găsit multe dovezi care să permită legarea grupului Fancy Bear de piratarea Partidului Democrat, nu a descoperit nici o legătură după ce a cercetat dovezile existente în cazul Macron. Firma a declarat că nu a avut timpul necesar pentru o analiză extinsă.

Rusia a negat orice implicare în campania electorală americană. Însă Kremlinul nu a răspuns până acum la întrebarea dacă a sprijinit piratarea lui Macron.

În urmele lăsate de pirați mai există un indiciu care arată spre Rusia. Dar el poate fi și o pistă falsă, introdusă intenționat.

În metadatele fișierelor Macron scurse au fost descoperite caractere chirilice. Nu este clar motivul prezenței lor. Să fie o gafă uriașă? Sau o diversiune?

Metadatele erau prezente deoarece fișierele au fost redactate de o versiune rusească a Microsoft Excel. Se pare că un utilizator cu numele "Рошка Георгий Петрович/Roshka Georgy Petrovich" a fost responsabil pentru editarea a jumătate din fișiere, potrivit unei analize realizate de compania AlienVault’s Chris Doman. Aceasta a remarcat că ar putea fi vorba de informații false plasate intenționat de hackeri (echipa Macron a declarat că scurgerile conțineau și date false), o greșeală a hackerilor sau că un funcționar nevinovat cu acest nume a fost piratat.

Doman a declarat pentru Forbes că nu a descoperit „nimic sigur” care să permită a face legătura între cele două domenii de phishing descoperite de Trend Micro și informațiile divulgate ale lui Macron, „deși pare plauzibil”.

Ca și când apele nu erau și așa suficient de tulburi, șeful echipei digitate En Marche!, Mounir Mahjoubi a declarat presei franceze că echipa de campanie a lui Macron ar fi putut plasa ea însăși informații false pe serverele sale, asemenea unui „borcan cu miere”, pentru a atrage hackerii și a-i face să fure date marcate pentru a depista urmele piraților.

Spre deosebire de actul de piraterie asupra Partidului Democrat, cel asupra campaniei electorale a lui Macron pare mult mai complicat și mai greu de descâlcit, conchide Forbes.