Wszystko jest połączone (w cyberprzestrzeni i wokół). Część II

Moda na szatana, hakerzy-aktywiści i nowa bolszewicka rewolucja

Atak na sieć komputerową DNC, w swoim zastosowaniu, był zasadniczo odmienny od wcześniej opisanych. Wykradzione przez sowietów dane zostały bowiem wkrótce opublikowane w Internecie. Następnego dnia po informacji CrowdStrike, na blogu użytkownika Guccifer 2.0, [1] publicznie pojawiły się pierwsze dokumenty, będące efektem tej kradzieży. Guccifer 2.0, ogłosił, że to on, indywidualnie włamał się do sieci DNC oraz, mówiąc oględnie, „chrzani” Iluminatów i firmę CrowdStrike. Stwierdził przy tym, że dokonał ataku typu zero-day tzn. wykorzystał dostępną mu informację o „luce” (braku kodu, odpowiedzialnego za obsługę zdarzenia) w oprogramowaniu używanym przez DNC. Informacje te wzbudziły jednak powszechny sceptycyzm. Fakt ich pojawienia się bezpośrednio po raporcie CrowdStrike sugerował, że zostały nim sprowokowane. Kwestię, kim naprawdę może być Guccifer 2.0 zbadała m.in. inna zaangażowana przez DNC firma – ThreatConnect. Przedstawiona przez nią analiza ciągu zdarzeń oraz tzw. metadanych związanych z opublikowanymi dokumentami jest, moim zdaniem, uczciwie przeprowadzona i niezmiernie ciekawa. [2] Wynika z niej jednoznacznie, że dokumentami manipulowano – preparując je przed ich zamieszczeniem w Internecie. Wskazują na to zmienione czasy utworzenia i/lub modyfikacji dokumentów. Trudno ocenić, dlaczego to zrobiono, podważa to bowiem autentyczność dokumentów. Czy celem było wprowadzenie elementu niepewności i niejasności? Czy może zagranie na nosie „głuchoniemym ślepcom”? Jednym z efektów tych zabiegów było bowiem wykorzystanie nazwiska „ojca założyciela” czeki, jako współautora jednego z dokumentów, zapisanego cyrylicą i w rosyjskim brzmieniu. [3] Jakkolwiek to było, w efekcie przeprowadzonej analizy, ThreatConnect uznała, że Guccifer 2.0 jest najprawdopodobniej sowiecką operacją dezinformacyjną (D&D – denial and deception). Tezę tę, jeszcze bardziej uwiarygodniła kolejna analiza tej firmy, [4] dla przeprowadzenia której wykorzystano kontakty Guccifera 2.0 z dziennikarzami, które nastąpiły wkrótce po jego publicznym ujawnieniu się w Internecie. Kontaktował się z nimi poprzez swój profil Twittera i przez pocztę elektroniczną, dzięki czemu pozostawiał coraz więcej śladów do zbadania. Twierdząc że jest Rumunem, posługiwał się językiem rumuńskim w sposób, który podważał jego prawdomówność. [5] W treściach jakie przekazywał światu za pośrednictwem mediów, nie tylko zaprzeczał swoim związkom z „Rosją”, ale twierdził wprost, że nie podoba mu się polityka zagraniczna, jaką prowadzą jej władze. Jednocześnie podkreślał swoje uznanie dla Snowdena, Manninga-Manning i WikiLeaks, wpisując się zręcznie w ogólnoświatowy trend wielbienia wszelkiej maści antyamerykańskich „wojowników” za bolszewicką sprawę. Uznanie dla WikiLeaks okazało się być na tyle duże, że wkrótce za słowami Guccifera 2.0 poszły czyny.

W tym samym okresie, w Internecie, opublikowana została ciekawa analiza autorstwa firmy SecureWorks, także zaangażowanej przez DNC po wykryciu cyberataków. Opisywała ona działania grupy zagrożenia o nazwie TG-4127. W swojej wcześniejszej analizie, opublikowanej zaraz po cyberataku, SecureWorks skoncentrowała się na atakach typu spear phishing, przeprowadzonych przez TG-4127 na konta poczty elektronicznej, wykorzystujących usługę GMail firmy Google. Opisała je w związku z „wyciekami” z kont poczty elektronicznej osób związanych z kampanią wyborczą Hillary Clinton. [6] Badając te cyberataki w okresie od października 2015 do maja 2016 roku stwierdzono, że TG-4127 przeprowadziła od marca do maja 2016 roku, kampanię „wydobywania” haseł, wykorzystując w tym celu fałszywe adresy URL (Uniform/Universal Resource Locator – standardowy adres internetowy strony lub dokumentu), skrócone za pośrednictwem serwisu Bitly.com (dzięki niemu długi adres internetowy można skrócić do niewielkiej liczby znaków), które kierowały ofiary ataku na spreparowane strony, umożliwiające kradzież haseł użytkowników poczty elektronicznej (adres uzyskany w wyniku skrócenia, na pierwszy rzut oka, jest zupełnie nieczytelny). Metoda ataku z wykorzystaniem poczty elektronicznej wymieniona została, w przedstawionym przeze mnie wcześniej raporcie firmy FireEye. W tym samym czasie, podobnie opisała ją także amerykańsko-japońska firma Trend Micro (grupa zagrożenia występuje tu pod nazwą Operation Pawn Storm). [7] W roku 2015 TG-4127 przeprowadziła cyberataki na niemieckie organizacje i instytucje polityczne, w tym na Bundestag, zaś od marca do maja 2016 roku na RNC (Republican National Committee) i niektórych kandydatów Partii Republikańskiej. Wracając do analizy SecureWorks z końca czerwca tegoż roku, uzupełnia ona poprzednią, prezentując ponadto techniczne szczegóły ataków na konta poczty elektronicznej, udostępniane przez usługę Google [8]. Z zaprezentowanego diagramu podziału celów cyberataków według dziedziny aktywności (kraje poza strefą sowiecką i kraje tzw. Zachodu) wynika, że 41% dotyczyło osób związanych z dziedziną militarną, a 22% dotyczyło dziennikarzy. Wiele osób ma lub miało związki z rządem i/lub wojskowością – 64% odnośnie USA, 14% odnośnie NATO. Zespół analityków SecureWorks ustalił też, że 60% odbiorców wiadomości z fałszywymi adresami, skorzystało z nich.

Tuż przed Dniem Niepodległości na polu bitwy o „lepszą demokrację” w USA pojawiła się nowa broń w postaci strony o nazwie DCLeaks – „projektu nowego poziomu” (new level project) uruchomionego przez „amerykańskich hakerów-aktywistów” (the American hacktivists). Strona ta zarejestrowana została w kwietniu 2016 roku, ale pozostawała nieaktywna. 1 lipca upubliczniona została na niej korespondencja, wykradziona z konta poczty elektronicznej generała U.S. Air Force Philipa M. Breedlove, byłego dowódcy wojsk NATO w Europie (EUCOM). Podczas pełnienia tej funkcji, generał Breedlove przeciwstawiał się polityce Obamy wobec sowietów, domagając się zdecydowanych działań w związku z ich akcją na Ukrainie w roku 2014. Chociaż konflikt pomiędzy nim a administracją Obamy w tej kwestii nie był wcale tajemnicą, ujawniona korespondencja pokazywała determinację, z jaką starał się wpłynąć na zmianę stanowiska swoich adwersarzy, wykorzystując swoje kontakty, m.in. z generałami w stanie spoczynku, Colinem Powellem i Wesleyem Clarkiem. Ujawnienie tej korespondencji miało być dowodem na konspirację Breedlove’a i innych znanych osób przeciw prezydentowi USA. W moim przekonaniu jednak, był to dowód na to, że wśród amerykańskich generałów są jeszcze tacy, którzy chcą przeciwstawić się polityce akceptacji sowieckich działań, prowadzonej przez rządzące krajem elity. Niewiele wszakże są w stanie zdziałać. Tego właśnie dnia, gen. Breedlove przeszedł na emeryturę, zatem możliwe, że opublikowanie tych materiałów miało też na celu zablokowanie jego kariery cywilnej. Kolejny „wyciek” nastąpił 12 sierpnia i dotyczył pośrednio polityków Partii Republikańskiej, w tym senatorów Johna McCaina i Lindseya Grahama, znanych z demonstrowania zdecydowanej postawy sprzeciwu wobec działań czekistów z Kremla, i prowadzących wówczas swoje kampanie wyborcze. W tym samym dniu, wspomniana wcześniej firma ThreatConnect opublikowała swoje ustalenia na temat DCLeaks. [9] Zamieściła część korespondencji Guccifera 2.0 z dziennikarzami jednego z amerykańskich portali internetowych. Korespondencja pochodzi z dnia 27 czerwca 2016 roku. W pierwszym z e-maili Guccifer 2.0 oferował wykradzioną korespondencję jednej z osób ze sztabu wyborczego Clinton, przeznaczoną do publikacji na stronie DCLeaks (twierdził przy tym, że jest to jeden z projektów WikiLeaks). Deklarował też, że może zarządzać jej udostępnianiem – przekazać adres internetowy i hasło dostępu – co wskazywało na jego ściślejszy związek z DCLeaks, niż tylko bycie źródłem informacji. Dziennikarze przyjęli ofertę Guccifera 2.0, wobec czego otrzymali od niego jedno i drugie. Analiza materiałów uzyskanych przez nich wkrótce od jednej z osób, pełniących funkcję partyjną w DNC (DCLeaks zamieściła informację o tym, że jest w posiadaniu korespondencji tego polityka) pozwoliła stwierdzić ThreatConnect, że aby wykraść hasło do poczty elektronicznej tej osoby, korzystano z internetowej usługi yandex.ru – firmy, która ma swoją siedzibę w Moskwie (doszło do tego 22 marca 2016 roku). Metoda kradzieży hasła dokładnie odpowiadała opisanej przez SecureWorks w odniesieniu do TG-4127. Z kolei analiza strony internetowej DCLeaks ujawniła, że celem jej rejestracji wykorzystano adres skojarzony z jednym z adresów domen, użytych do cyberataku na DNC (domena to symboliczna nazwa strony internetowej, oparta o zasady tzw. systemu DNS – Domain Name System, z którego korzysta się po to, aby łatwiej zidentyfikować i sklasyfikować strony internetowe. Nazwa ta musi być zarejestrowana przez odpowiednią firmę lub instytucję). Rumuński serwis który wykorzystano celem rejestracji DCLeaks, był już wcześniej używany przez APT28/FANCY BEAR. Podsumowując, TG-4127 to nic innego, jak APT28/FANCY BEAR, zaś DCLeaks i Guccifer 2.0 to najprawdopodobniej ci sami aktorzy przedstawienia, za którego scenografię i reżyserię odpowiada APT28/FANCY BEAR.

Niektórym Polakom, data 22 lipca kojarzy się z komunistycznym pekawuenem (bardzo wielu jedynie z Wedlem). Wielu Amerykanów natomiast, od lata ubiegłego roku, kojarzy ją z „wyciekiem” – konkretniej z WikiLeaks. Trzy dni przed konwencją wyborczą Partii Demokratycznej (w tłumie delegatów popierających Sandersa, wielu niosło ze sobą czerwone flagi z sierpem i młotem), WikiLeaks opublikowała na swojej stronie internetowej zbiór blisko dwudziestu tysięcy e-maili wykradzionych z serwerów DNC, zawierających niemal osiem tysięcy załączników – dokumentów Worda, Excela oraz fotografii. Guccifer 2.0 natychmiast oświadczył, że to on udostępnił WikiLeaks te dane. Ciekawym wydaje się, dlaczego nie opublikował ich sam na swoim blogu lub na DCLeaks, skoro robił to z powodzeniem wcześniej. Być może uznał, że potrzebna jest inna, głośniejsza, tuba – od lat znana i uznawana powszechnie na świecie za wiarygodną i „sprawdzoną” (jesienią 2010 roku WikiLeaks upubliczniła ogromną ilość tajnych dokumentów dyplomacji USA, którą kierowała Clinton). WikiLeaks wszakże, nie była chętna potwierdzić tego faktu, obawiając się zapewne, że tym samym zostanie zdemaskowana jako czekistowska witryna. Dawało jej to też lepsze perspektywy na przyszłość, nie był to bowiem ostatni zamieszczony przez nią „wyciek” podczas kampanii wyborczej w USA. Związki Assange’a i jego ludzi z bolszewikami są jednak dość silne. Założyciel (2006) i animator WikiLeaks jest także założycielem i prezesem partii politycznej WikiLeaks Party, której celem było wypromowanie go do australijskiego senatu w wyborach federalnych roku 2013. Jedno z jej haseł wyborczych brzmiało wprost rewolucyjnie: „reboot the system”. W tym samym roku, jej delegacja udała się do bolszewickiej Syrii, na „solidarnościowe” spotkanie z Assadem. Sam Assange zaś, już wcześniej otwarcie deklarował się jako zwolennik marksizmu, będąc w szczególności wielbicielem takich jego dzisiejszych „guru” jak Noam Chomsky i Tariq Ali. Wyrażał to publicznie, m.in. w swoim autorskim, politycznym programie w sowieckiej Russia Today. [10] Assange i jego zaufani odegrali znaczącą rolę w przejęciu przez sowietów Snowdena w drugiej połowie czerwca 2013 roku. Specjalizujący się w tematyce służb specjalnych John R. Schindler, analizując ten fakt na swoim blogu dwa lata później, słusznie uznał, że WikiLeaks to nic innego jak fasada dla czekistów. [11] Fakt opublikowania na jej stronie internetowej, w drugiej połowie czerwca 2015 roku, The Saudi Cables – tajnych dokumentów ministerstwa spraw zagranicznych Arabii Saudyjskiej, uzyskanych najprawdopodobniej w wyniku cyberataku autorstwa APT28/FANCY BEAR, stanowi mocny argument na rzecz tezy, że ta fasada jest jednocześnie witryną.

Opublikowanie korespondencji z sieci komputerowej DNC, spowodowało spore zamieszanie wśród polityków Partii Demokratycznej. Sowieci nie omieszkali tego wykorzystać w swojej propagandowej tubie na wolny świat – Russia Today, bezzwłocznie opisując co ciekawsze wątki walki politycznej pomiędzy lewackimi kontrkandydatami. [12] Wypowiadał się w tej sprawie także Putin, w późniejszym wywiadzie. Z czekistowską szczerością przedstawił sowiecki punkt widzenia: „Jakie znaczenie ma to, kto wykradł te informacje? Ważna jest treść, która została publicznie ujawniona”. Efektem tego „wycieku” była rezygnacja ze stanowiska szefowej DNC, Debbie Wasserman Schultz podczas konwencji Partii Demokratycznej. W dniu jej zakończenia, Amerykę i świat obiegła wiadomość, że FBI prowadzi śledztwo w sprawie ataku na inną instytucję, ściśle z nią związaną: DCCC (Democratic Congressional Campaign Committee – Komitet ds. kampanii wyborczych Demokratów). Zajmuje się ona, przede wszystkim, zbiórką funduszy na rzecz kandydatów partii w wyborach do Izby Reprezentantów USA. Atak rozpoczął się najprawdopodobniej w czerwcu, gdy zarejestrowana została fałszywa strona internetowa, imitująca główną stronę DCCC przeznaczoną dla donatorów. Adres internetowy – IP, przypisany fałszywej stronie odpowiadał jednemu z adresów użytych podczas ataku na DNC. Wynikało stąd, że cyberataku dokonała sowiecka instytucja wywiadowcza. Zapytany o to, jeden z szefów firmy Fidelis Cybersecurity, zajmującej się atakiem na sieć komputerową DNC, stwierdził, że strona użyta do cyberataku powiązana jest z innymi stronami hakerskimi, zawierającymi zaawansowane malware, niewykrywane przez większość dostawców oprogramowania antywirusowego. Jego zdaniem, jest to niezwykle rzadko spotykane malware, będące najprawdopodobniej w posiadaniu hakerów związanych z rządem jakiegoś państwa. Tego samego dnia na stronie firmy ThreatConnect ukazał się raport na ten temat, przygotowany wspólnie z Fidelis Cybersecurity. [13] Już sam tytuł raportu informował czytelnika o tym, że atak jest dziełem APT28/FANCY BEAR. Zespół specjalistów z obu firm przedstawił cztery argumenty przemawiające za tym stwierdzeniem. Po pierwsze, ten kto zarejestrował fałszywą domenę, zarejestrował także trzy inne domeny, wszystkie kojarzone, w raporcie służb specjalnych Niemiec (BfV) ze stycznia 2016 roku, z APT28/FANCY BEAR. Po drugie, dzień uruchomienia fałszywej domeny był zgodny z dniem upublicznienia informacji o cyberataku na DNC. Będąc zdemaskowana i zablokowana w sieci komputerowej DNC, APT28 natychmiast zmieniła cel ataku na DCCC, aby w dalszym ciągu pozyskiwać dane na ten sam temat. Po trzecie, serwisy użyte do rejestracji fałszywej domeny były już wcześniej wykorzystane przez APT28/FANCY BEAR podczas cyberataku na DNC. Po czwarte, dla obydwu cyberataków zastosowano ten sam wzorzec przy rejestracji fałszywych domen. Zdaniem zespołu specjalistów, jedną z dodatkowych przesłanek, która wzmocniłaby te argumenty, byłoby podobieństwo użytego malware do innych tego typu narzędzi, wykorzystywanych przez APT28/FANCY BEAR.

Zastanawiano się, czy, a raczej kiedy Guccifer 2.0 ogłosi, że atak na DCCC jest jego dziełem. Na to jednak przyszło poczekać ponad dwa tygodnie. 12 sierpnia, na swoim blogu, obwieścił swoją odpowiedzialność za cyberatak oraz zamieścił pierwsze skradzione dokumenty z sieci komputerowej DCCC. Robił to przez dłuższy czas, zamieszczając między innymi numery telefonów komórkowych kongresmenów Partii Demokratycznej. 31 sierpnia opublikował dokumenty, które, jak twierdził, pochodziły z komputera Nancy Pelosi, lewackiej przewodniczącej Demokratów w Izbie Reprezentantów Kongresu USA (przedtem byłej speaker Izby Reprezentantów). Kilka dni później Pelosi zaprzeczyła, że dokumenty pochodzą z jej komputera. Trudno powiedzieć, na ile wpływ na to oświadczenie miała treść dokumentów, wśród których była propozycja współpracy z ultraradykalną organizacją Black Lives Matter, kontynuatorką tradycji Czarnych Panter, za swoje cele uznającą m.in. jak największą „władzę ludu” i kolektywną gospodarkę, a za jedną z „ikon” – Fidela Castro, którego określali, używając jego rewolucyjnego „imienia”, El Comandante (Pelosi oświadczyła zapobiegawczo, że nie popiera tego memorandum). Dokumenty z blogu Guccifera 2.0 już jednak „poszły w świat” i zostały rozpowszechnione. [14] Podobnie miała się rzecz z zamieszczonymi wcześniej na stronie DCLeaks, dwoma i pół tysiącami dokumentów dotyczącymi George Sorosa – wpływowego, lewicowego miliardera-spekulanta, wspomagającego wiele wywrotowych, marksistowskich organizacji i finansującego akcje destabilizujące Zachód (m.in. przypisuje się mu finansowanie kryzysu migracyjnego w Europie), od lat ściśle związanego z Clinton, donatora jej kampanii wyborczej. Jeden z dokumentów ujawniał finansowanie przez Sorosa wspomnianej Black Lives Matter kwotą 650 tysięcy dolarów. Inny wskazywał na to, że Soros, za pośrednictwem swojej organizacji, zmierza do wprowadzenia globalnej kontroli Internetu. Nie zabrakło też dowodów na to, że Soros działa przeciw „Rosji” i jej „tradycyjnym wartościom”.

Na marginesie opisanych wydarzeń i jakby się na pierwszy rzut oka wydawało, bez związku z amerykańskimi wyborami, w pierwszej połowie sierpnia doszło do ataków na serwery WADA – Światowej Agencji Antydopingowej oraz TAS/CAS – Sportowego Sądu Arbitrażowego (w tym przypadku dodatkowo sfałszowano stronę internetową), po wykluczeniu dużej części sportowców Federacji Rosyjskiej z Olimpiady w Rio de Janeiro (WADA rekomendowała wykluczenie wszystkich). Powodem tej decyzji było stwierdzenie praktyk instytucjonalnego dopingu, zarządzanego przez rząd w Moskwie. Olimpiada właśnie się odbywała. Cyberataków dokonała grupa o nazwie Anonymous Poland, która ogłosiła to w swoim profilu Twitter, podając stosowne odnośniki. Sądząc po zawartych na profilu informacjach (konto założono w kwietniu 2010 roku, a ostatnie wpisy zamieszczono 11 listopada 2016 roku), poglądy animatorów Anonymous Poland są bliskie prezentowanym przez Guccifera 2.0. Zamieszczona tam w „stopce” deklaracja jest symptomatyczna: nie przebaczają i nie zapominają. Zespół specjalistów ThreatConnect, który przeanalizował ataki na serwery WADA i TAS/CAS, stwierdził związki Anonymous Poland z APT28/FANCY BEAR. [15] Jakkolwiek nie ustalono w jakim stopniu grupa ta jest platformą/fasadą dla działalności APT28/FANCY BEAR, odkryto wiele śladów, które uzasadniały prawdziwość tego twierdzenia. W atakach zastosowano podobną taktykę i podobne środki techniczne. Informacje związane z jedną z fałszywych domen, pozwoliły stwierdzić, że do jej rejestracji wykorzystano te same serwery nazw, których APT28/FANCY BEAR używała do ataków na DNC oraz DCCC. Z kolei analiza materiałów Anonymous Poland zamieszczonych na YouTube, sugerowała, że mogły one zostać stworzone w środowisku rosyjskojęzycznym. Porównanie informacji zawartych na profilu Twitter z informacjami Anonymous Poland, zamieszczonymi na serwisie społecznościowym Facebook, wskazywało na niespójność ich zawartości, z czego mogłoby wynikać, że każdym z kont administruje inna grupa hakerów-aktywistów. Na zakończenie swojej analizy, zespół ThreatConnect wskazał na fakt, że cyberataki na WADA oraz TAS/CAS wpisują się w strategię pozyskiwania informacji charakteryzującą APT28/FANCY BEAR, która umożliwia sowietom wpływ na ważne wydarzenia na świecie.

______

1. 2.0 oznacza „drugą wersję” rumuńskiego hakera o tym samym pseudonimie, który kilka lat wcześniej, m.in. wykradł korespondencję z prywatnych kont poczty elektronicznej rodziny Bushów oraz Hillary Clinton, jak stwierdził później, wysokiej rangi kapłanki Illuminati – szatańskiego spisku. Dzięki ujawnieniu przez niego korespondencji Clinton za pośrednictwem sowieckiej Russia Today, na jaw wypłynęła afera, związana z niepowodzeniem akcji uwolnienia amerykańskiego ambasadora w Benghazi w 2012 roku. Z tego faktu wynika, że sowieci już wówczas, bezpośrednio ingerowali w politykę amerykańską. Jej postępujący od lat rozkład, coraz szybszy za sprawą lewackich elit wokół Clintonów i Obamy, znacznie im to ułatwił.
2. https://www.threatconnect.com/blog/guccifer-2-0-dnc-breach/
3. https://arstechnica.com/security/2016/06/guccifer-leak-of-dnc-trump-research-has-a-russians-fingerprints-on-it/
4. https://www.threatconnect.com/blog/guccifer-2-all-roads-lead-russia/
5. https://motherboard.vice.com/en_us/article/why-does-dnc-hacker-guccifer-20-talk-like-this
6. https://www.secureworks.com/research/threat-group-4127-targets-hillary-clinton-presidential-campaign
7. https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-operation-pawn-storm.pdf
8. https://www.secureworks.com/research/threat-group-4127-targets-google-accounts
9. https://www.threatconnect.com/blog/does-a-bear-leak-in-the-woods/
10. http://assange.rt.com/
11. https://20committee.com/2015/08/31/wikileaks-is-a-front-for-russian-intelligence/
12. https://www.rt.com/usa/352752-dnc-leaks-clinton-collusion/
13. https://threatconnect.com/blog/fancy-bear-it-itch-they-cant-scratch/
14. http://www.thegatewaypundit.com/2016/08/update-guccifer-2-0-leaks-documents-nancy-pelosis-personal-computer/
15. https://www.threatconnect.com/blog/fancy-bear-anti-doping-agency-phishing/