Dispute pe tema ingerinţelor în alegerile din SUA. Cine e mai periculoasă: Rusia sau China?
Liviu IoniţăStronţiu. Zirconiu. Fosfor. Nu, nu este vorba de Tabelul lui Mendeleev. Stronţiu din Rusia, zirconiu din China şi fosfor din Iran. La o săptămână după ce Facebook şi-a prezentat planul de a proteja alegerile din SUA şi a evidenţiat ameninţarea interferenţei străine, Microsoft a publicat pe blogul companiei o analiză potrivit căreia „grupuri străine” şi-au intensificat eforturile care vizează procesul electoral american.

Trei mari grupuri de hacking aflate în legătură cu Rusia, China şi Iran, vizează, în prezent, politica americană şi campaniile prezidenţiale ale lui Donald Trump şi ale rivalului democrat, Joe Biden.
Anterior, şeful Centrului Naţional de Contrainformaţii şi Securitate (National Counterintelligence and Security Center, NCSC) William Evanina, declarase public că, alături de Rusia, China şi Iranul se numără printre ţările care doresc să influenţeze alegerile prezidenţiale din SUA din acest an.
De asemenea, oficiali ai Agenţiei de Securitate Naţională (NSA) şi US Cyber Command au prezentat propria evaluare cu privire la ameninţările în creştere la adresa procesului electoral şi recunoaşterea existenţei acestor ameninţări şi din partea altor naţiuni, nu numai a Rusiei - incluzând China, Iran şi Coreea de Nord.
Analiza publicată de Microsoft confirmă, aşadar, evaluările comunităţii de informaţii cu privire la interferenţele străine, altele decât cele ruseşti, dar, pe de altă parte, descoperirile Microsoft referitoare la hackerii din China nu par să susţină ipoteza potrivit căreia China doreşte ca Joe Biden să câştige alegerile.
Trump sau Biden? Rusia sau China?
Grupuri implicate în furturi de informaţii şi spionaj cibernetic
Potrivit analizei Microsoft, în ultimele săptămâni au fost detectate atacuri cibernetice care vizează „persoane şi organizaţii implicate în viitoarele alegeri prezidenţiale, inclusiv atacuri nereuşite asupra persoanelor asociate atât cu campania lui Donald Trump, cât şi cu cea a lui Joe Biden”.
Grupuri străine şi-au intensificat eforturile „în direcţia alegerilor din 2020, aşa cum se anticipase şi în concordanţă cu ceea ce au susţinut guvernul SUA şi alţii”.
Cine sunt aceste „grupuri străine”?
Microsoft’s Threat Intelligence Center (MSTIC) a observat, din septembrie 2019 până în prezent, mai multe atacuri ale unei grupări care operează din Rusia.
Activităţile derulate de Strontium au fost urmărite şi contracarate de Microsoft în mai multe ocazii. Ele se regăsesc şi în Raportul Mueller, unde Strontium este menţionată ca fiind organizaţia principală responsabilă pentru atacurile asupra campaniei prezidenţiale democratice din 2016.
Obiectivele grupării sunt similare cu cele din 2016, acţiunile Strontium afectând peste 200 de organizaţii, aflate în legătură directă sau indirectă cu viitoarele alegeri din SUA, precum şi cu organizaţii politice din Europa: campanii politice, grupuri de lobby, partide şi consultanţi politici, atât ai republicanilor, cât şi ai democraţilor, Think Tanks precum German Marshall Fund din Statele Unite, Partidul Popular European şi partidele politice din Marea Britanie.
Strontium a vizat şi companii din industria divertismentului, industria manufacturieră, servicii financiare şi de securitate fizică.
Investigaţia MSTIC a dezvăluit că, deşi Strontium îşi păstrează obiectivele, după alegerile din 2016 gruparea şi-a dezvoltat tactica, utilizând instrumente şi tehnici noi pentru a face lucrurile ... confuze.
Dacă, în 2016, grupul s-a bazat în primul rând pe spear phishing (spre deosebire de campaniile de phishing, care nu vizează victimele în mod individual, ci obţinerea frauduloasă a unor date confidenţiale de la sute, mii de persoane, spear phishing vizează o singură persoană), în ultimele luni, Strontium s-a angajat în brute force attacks (un atac criptanalitic, ce poate fi folosit, teoretic, pentru orice tip de date codificate, hackerii încercând să ghicească datele de autentificare) şi password spray (o variantă de brute force attack, în care atacatorul evită contramăsurile obişnuite „pulverizând” aceeaşi parolă în mai multe conturi înainte de a încerca o altă parolă).
Gruparea direcţionează unele dintre atacuri prin Tor, un software ce permite păstrarea anonimităţii pe Internet, ascunde locul şi identitatea atacatorilor, ceea ce a încetinit efortul de identificare a hackerilor.
Zirconium este o altă grupare, din China, care a atacat, potrivit Microsoft, persoane high-profile asociate alegerilor din SUA, lideri proeminenţi din comunitatea afacerilor internaţionale, specialişti în afaceri internaţionale din mai mult de 15 universităţi, conturi legate de 18 organizaţii internaţionale de afaceri şi politice internaţionale, inclusiv Atlantic Council şi Centrul Stimson.
Microsoft a detectat „mii de atacuri” între martie 2020 şi septembrie 2020, Zirconium utilizând ceea ce se numeşte bug-uri web sau web beacons (tehnică folosită pentru a verifica dacă un utilizator a accesat un anumit conţinut). Pentru „actorii statali, acesta este un mod simplu de a determina dacă este valid contul sau dacă utilizatorul este activ”.
Zirconium a vizat „indirect şi fără succes” campania lui Joe Biden pentru preşedinţie, prin conturi de e-mail aparţinând persoanelor afiliate campaniei.
Un alt grup, Phosphorus, de această dată, care acţionează din Iran, a continuat să atace conturile personale ale celor asociaţi campaniei lui Donald Trump.
Phosphorus este un grup de hackeri urmărit de MSTIC pe parcursul a mai multor ani şi a desfăşurat campanii de spionaj având ca ţintă „o mare varietate de organizaţii legate în mod tradiţional de interesele geopolitice, economice sau ale drepturilor omului din regiunea Orientului Mijlociu”.
În perioada mai-iunie 2020, Phosphorus a încercat, fără succes, să acceseze conturile oficialilor administraţiei şi ale personalului de campanie al preşedintelui.
Microsoft a fost implicat, în timp, în acţiuni legale împotriva Phosphorus, primind permisiunea instanţelor federale pentru preluarea controlului asupra a 155 de domenii de internet utilizate de grupare.
Strontium, Zirconium, Phosphorus sunt grupuri implicate în generarea de APT (advanced persistent threat), un atac informatic sofisticat prin care o entitate obţine acces neautorizat la o ţintă, un atac care rămâne, pentru o perioadă de timp îndelungată, neidentificat, şi are drept scop furtul de informaţii şi spionajul cibernetic.
Conform Kaspersky, în 2017, la nivel mondial, erau mai mult de 100 de grupări ce lansează periodic APT, majoritatea state ori grupuri de hackeri sponsorizaţi de stat.
Strontium este cunoscut şi sub alte denumiri, printre care Fancy Bear sau APT 28 ori Pawn Storm, Sofacy, Sednit şi Tsar Team, iar firmele de securitate cibernetică au căzut de acord că acesta lucrează în numele GRU, agenţia de informaţii militare din Rusia.
Microsoft a avertizat, nu cu mult timp în urmă, şi cu privire la tentativele de hacking ale Strontium care au vizat computerele personalului de la SKDKnickerbocker din Washington, o firmă de strategie de campanie şi comunicare care lucrează cu Joe Biden şi reprezentanţi ai Partidului Democrat.
Iar, în iulie, wired.com a făcut publice acţiuni ale Fancy Bear care au vizat agenţiile guvernamentale americane, instituţiile de învăţământ şi sectorul energetic, dar fără nicio intenţie clară de a afecta alegerile din 2020.
Zirconium, sau APT31, este un grup de hacking sponsorizat de statul chinez, care este activ cel puţin de la începutul anului 2016 şi a vizat companiile străine pentru furt de proprietate intelectuală, dar şi entităţi diplomatice.
Phosphorus cunoscut şi ca APT35, Newscaster, Charming Kitten ori Ajax Security Team, este un grup de cyber-spionaj sponsorizat de guvernul iranian, care a avut în vedere, în general, militarii SUA şi Orientul Mijlociu, personalul diplomatic şi guvernamental, organizaţiile mass-media, sectoare energetice şi de apărare, companii private şi servicii de telecomunicaţii.
Firma de securitate cibernetică FireEye a identificat operaţiuni APT35 care datează din 2014.
Anul trecut, APT35 a vizat şi personalul implicat în campania lui Donald Trump, atacurile din 2019 fiind observate tot de Microsoft.
În iulie, Google Threat Analysis Group (TAG), o divizie din cadrul departamentului de securitate Google care urmăreşte grupurile de hacking, a anunţat că hackeri sponsorizaţi de stat din China şi Iran au generat, fără succes, atacuri de phishing asupra personalului de campanie al candidaţilor la preşedinţia SUA, Joe Biden şi Donald Trump.
Potrivit declaraţiei şefului TAG, Shane Huntley, grupurile din spatele atacurilor sunt APT31 (care l-a vizat pe Biden) şi APT35 (care l-a vizat pe Trump).
Faptul că aceste atacuri au loc nu este o surpriză pentru experţii din industria securităţii cibernetice, însă nu este clar dacă hackerii chinezi şi iranieni acţionează precum cei din Rusia sau dacă doar caută să observe pasiv campaniile şi colectează informaţii pentru deciziile politice viitoare, mai degrabă decât să modifice rezultatul alegerilor prezidenţiale din SUA.
Un avertisment public extins ...
Scopul analizei publicate de Microsoft este, potrivit companiei, „apărarea democraţiei” şi „consolidarea securităţii cibernetice”.
La fel de bine, se poate considera că aceasta are şi o componentă de afaceri: „majoritatea acestor atacuri au fost detectate şi oprite de instrumente de securitate încorporate în produsele Microsoft”, se afirmă în evaluare.
Mai multe companii de securitate cibernetică, inclusiv Google şi Microsoft, oferă instrumente gratuite de securitate pentru oficialii electorali şi personalul din campanie.
Rusia şi China au negat evaluarea Microsoft. Dmitri Peskov, purtătorul de cuvânt al preşedintelui Vladimir Putin, a declarat că Moscova nu a încercat niciodată să se amestece în alegerile din alte ţări, iar purtătorul de cuvânt al ministerului de externe chinez, Zhao Lijian, a afirmat că Microsoft „nu ar trebui să facă acuzaţii împotriva Chinei ... din nimic”.
De asemenea, analişti chinezi citaţi de Global Times (coordonată de guvernul chinez) sunt de părere că Microsoft a realizat evaluarea într-o încercare de a arăta loialitate faţă de preşedintele american Donald Trump şi de a-şi asigura achiziţionarea fără probleme a aplicaţiei TikTok.
Nu a trecut neobservat faptul că analiza Microsoft a fost publicată la o zi după ce Brian Murphy, un oficial din cadrul intelligence-ului american susţine, într-o plângere depusă ca avertizor de integritate (whistleblower), că asupra sa au fost făcute presiuni pentru a minimiza ameninţarea interferenţei ruseşti în SUA.
Brian Murphy, fost subsecretar adjunct de informaţii în cadrul Departamentului de Securitate Internă al SUA, pretinde că Chad Wolf, secretarul interimar al departamentului, este cel care i-a spus să oprească evaluările încercărilor ruseşti de a influenţa alegerile din 2016, deoarece „l-a făcut pe preşedinte să arate rău”. În schimb, Wolf i-a cerut să se concentreze pe eforturile similare ale Chinei şi Iranului, ordin care, aparent, a venit direct de la Casa Albă.
Atât Casa Albă, cât şi Departamentul pentru Securitate Internă, au respins respectivele acuzaţii.
De asemenea, analiza Microsoft este făcută şi în contextul în care, cu două săptămâni în urmă, John Ratcliffe, Director of National Intelligence, a trimis scrisori de notificare conducerii Senatului şi Camerei Reprezentanţilor, precum şi preşedinţilor şi membrilor comitetelor de informaţii ale ambelor camere, în care a precizat că nu va mai lăsa agenţiile de informaţii să ofere rapoarte cu privire la interferenţele electorale din Congres, invocând îngrijorări cu privire la scurgerile de informaţii.
Conform Politico, evaluarea Microsoft este cel mai extins avertisment public de până acum cu privire la eforturile guvernelor străine de a submina, prin hackeri, democraţia SUA, dar dezvăluirile au loc „pe fondul disputei dintre democraţii din Congres şi Administraţie cu privire la ameninţările străine împotriva alegerilor”. Şi în condiţiile în care mesajul promovat de Trump şi susţinătorii săi, potrivit căruia chinezii încearcă să-l ajute pe Joe Biden, nu este susţinut de oficialii serviciilor de informaţii, în opinia cărora eforturile Rusiei reprezintă „cel mai activ şi mai de luat în seamă pericol”.
Care ameninţare este mai mare ?
Potrivit firmei de securitate cibernetică FireEye, dintre toate atacurile dezvăluite recent, îngrijorătoare sunt acţiunile grupului rus, dată fiind istoria implicării Strontium în „operaţiuni de intelligence” ce presupun nu doar piratarea ţintelor pentru culegerea de informaţii, ci şi utilizarea acestor informaţii în scopuri politice. Iar, spre deosebire de Iran sau China, GRU - şi în special echipa GRU cunoscută sub numele de Fancy Bear – „are o istorie în a depăşi spionajul tradiţional prin hackuri politice şi operaţiuni scurte”, precum cele pe care le-a realizat înainte de alegerile prezidenţiale din 2016 din SUA şi alegerile prezidenţiale din 2017 din Franţa.
Departamentul Trezoreriei şi-a anunţat propriile măsuri de combatere a interferenţei Kremlinului, declarând că impune sancţiuni parlamentarului ucrainean pro-rus Andriy Derkach pentru promovarea discreditării lui Joe Biden, şi altor trei cetăţeni ruşi, Artem Lifshits, Anton Andreyev şi Darya Aslanova, angajaţi de Russian Internet Research Agency (Glavset), susţinută de Kremlin, acuzaţi că au încercat să se amestece în scrutinul electoral american în numele Rusiei.
De asemenea, la 1 septembrie, Facebook a anunţat că, la sugestia FBI, a identificat în luna august, campania derulată de către Russian Internet Research Agency.
Ruşii au înfiinţat o reţea de conturi şi pagini Facebook pentru a direcţiona traficul către PeaceData, un site care ar fi conţinut profiluri de persoane inexistente, prezentate drept editori care recrutau scriitori pentru articole. Facebook a declarat că a folosit indicatori tehnici pentru a lega această campanie de Russian Internet Research Agency.
PeaceData apare ca un site de ştiri cu orientare de stânga, care descria, într-o campanie de dezinformare, cuplul Biden-Harris drept instrumente ale conservatorilor.
Deşi Facebook susţine că acţiunea rusă a fost „în mare parte nereuşită”, peste 700 de articole au fost publicate pe site-ul PeaceData în engleză şi arabă, începând cu luna februarie, când a fost înfiinţat.
Graphika, firma de analiză a social media angajată de Facebook pentru a investiga independent campania electorală, avertizează că agenţia rusă a folosit noi tehnici care ar putea face mai dificilă identificarea interferenţelor în viitor: utilizarea inteligenţei artificiale pentru a genera profiluri false, utilizarea autorilor reali pentru a adăuga credibilitate unui site fals de ştiri şi direcţionarea unor comunităţi specifice.
PeaceData a negat conexiunea Russian Internet Research Agency, considerând evaluarea Facebook drept „calomnie”.
Concluzia o stabileşte New York Times: între acţiunile ruşilor şi cele ale chinezilor există diferenţe semnificative, în ceea ce priveşte sofisticarea, cercetătorii în materie de securitate fiind de acord că hackerii ruşi prezintă cea mai gravă ameninţare. Atacul Chinei asupra campaniei lui Joe Biden pare a fi o încercare de spionaj standard, similar acţiunilor din 2008, când s-a obţinut acces la documentele interne şi la e-mailurile consilierilor de campanie ale ambilor candidaţi, John McCain şi Barack Obama.
Nu există „nicio îndoială” că evaluarea Microsoft complică naraţiunea administraţiei conform căreia China reprezintă o ameninţare mai mare pentru alegerile din SUA decât Rusia, aşa cum au afirmat atât consilierul pentru securitate naţională, Robert C. O'Brien, cât şi procurorul general William Barr.
