Какво научихме от MacronLeaks

by Екип на Биволъ

Имейл със заразен линк отворен на компютър на сътрудник от щаба на Еманюел Макрон е най-вероятният вектор на атаката, довела до източването на 9 гигабайта данни (15 GB след декомпресия) от четири пощи на сътрудници на Макрон, както и на архивни файлове от OneDrive. Почеркът е същият като при източването на имейлите на американските демократи, които изтекоха в Wikileaks и бяха използвани от феновете на Тръмп, за да дискредитират Хилари Клинтън. В случая обаче Wikileaks няма връзка с теча, а парадоксално раздуха… руска връзка, открита по-рано от Биволъ.

 

От Wikileaks дори изразиха учудване, че освен тях и Биволъ няма други медийни организации, които да проучват произхода и автентичността на изтеклите данни.

Информацията, че щабът на Макрон е бил обект на атаки от свързани с Русия хакерски групи Pawn Storm и Fancy Bear беше публикувана още на 25.04.2017 от Daily Beast. Изданието цитира специалист по сигурността, който описва използваните методи за фишинг и се хвали, че те са засечени от киберохраната на Еманюел Макрон и дори е предприета контраатака. Но фишинг атаката изглежда все пак е успяла. Това се потвърждава както изявлението на щаба на Макрон, така и от започналото вчера разследване на френската прокуратура и френската киберполиция BEFTI. Защо разследването е започнало чак след като течът е станал факт, а не още при засичането на хакерската активност, остава загадка.

Закъснял тайминг

Данните, откраднати от мейлове на сътрудници на Макрон, а вероятно и от облачния архив OneDrive, бяха публикувани в американския форум 4chan в последните часове преди деня на размисъл във Франция. От щаба на Макрон веднага съобщиха, че са жертва на хакерска атака, а френският ЦИК припомни в специално съобщение до медиите, че до неделя вечер е забранено да отразяват всякакви новини свързани с политическата кампания и такива, които могат да навредят или да са в полза на някой от кандидатите. 

Хората, които стоят зад лийка са знаели за тези разпоредби и явно не са разчитали на масивно медийно отразяване на компрометиращи данни, а на слухове и инсинуации позоваващи се на лийка. За оставащите няколко часа до отварянето на избирателните секции не е възможно да бъдат прочетени, анализирани и проверени за автентичност съобщенията в обемните пощенски кутии, съдържащи гигабайти информация. Този факт, плюс медийното затъмнение дават възможност за развихряне на фалшиви новини, които няма как да бъдат отразени и опровергани с прецизна проверка на фактите. Последващата хиперактивност около хаштага #MacronLeaks лансиран от активист на американската крайна десница потвърждава тази хипотеза.

Активистът на име Jack Posobiec разпространяваше също така много активно документите от предишната кибератака срещу Макрон, изтекли в 4chan малко преди кандидат-президентския дебат между Марин Льо Пен и Еманюел Макрон. Във файлове, които се оказаха фалшифицирани, се инсинуира, че Макрон има тайна сметка на Кайманските острови.

Има обаче и друг признак, че кампанията за фалшиви новини в социалните мреци е желаният сценарий от авторите на MacronLeaks. В лийка се откриват

Насочващи данни за фалшиви новини

под формата на подбрани файлове, оформени в три отделни папки извън съдържанието на електронната поща.

В първата от тези папки озаглавена Macron_201705 има договор за застраховка сключен между Allianz и Еманюел Макрон в случай, че не премине бариерата от 5 процента, за да получи субсидия. Приложен е суифт превод за застрахователната премия. В това няма нищо скандално, но антимакронските тролове веднага разпространиха в социалните мрежи суифт превода, представяйки го като съмнителна парична транзакция.

https://twitter.com/JackPosobiec/status/860584992702910464

Втората папка на име Gemplus съдържа вътрешни документи датирани от 2001-2002 г. на фирма-производител на решения за смарт-карти. Собственост в тази фирма Gemplus има скандалният бизнесмен и оръжеен посредник Зиад Такедин, замесен в аферата с предполагаемото либийско финансиране на кампанията на Никола Саркози. Част от документите са за голям договор между няколко френски оръжейни предприятия и Саудитска Арабия за нова система за граничен контрол. Всичко това няма абсолютно нищо общо с Макрон. Но данните бяха раздухани от троловете в Twitter като “доказателство”, че Макрон има тайни финансови отношения със Саудитска Арабия и Саркози.

Третата папка е най-интересна. Тя съдържа 26 файла с номерация от 11 до 32, в които има финансови отчети, бюджети и бизнес планове за политическата кампания на Макрон. Само по себе си в съдържанието им няма нищо скандално, но те също се разпространяват от троловете с акцент върху заплатите в щаба на Макрон, както и разходите за пипълметрия.

 

Точно в тези файлове обаче се получи издънка с разкритата

Руска връзка

която изобщо не устройва сценария на тролската кампания, даже напротив. Най-напред внимателни наблюдатели от Generation Nouvelle Republique откриха в екселските файлове метаданни на руски.

В девет от файловете личи името на Георгий Петрович Рошка, като това беше установено първо от Биволъ.

Стъпвайки на публикацията на Биволъ в Twitter, руското издание The Insider публикува блиц-проучване от което излиза, че лице със същото име е служител на руската IT компания Еврика, която има договори с руски държавни институции. По-късно Wikileaks потвърди тези данни и публикува информацията, че Еврика има лиценз за работа с класифицирана информация от ФСБ. 

Произходът на тези файлове не е твърде ясен, като е възможно те да идват от мейловете, или от архивите на партията на Макрон в OneDrive. Анализът на метаданните показва, че те са записани в интервал от 5 минути на 27.03.2017. Най-новите мейлове в архивите са от 24.04.2017, което означава, че дълго време хакерите са имали достъп до системата без да бъдат забелязани.

Метаданните в папката с бизнес информацията за кампанията на Макрон

 

Какво научаваме от деветте файла с подписа на Рошка?

  • всичките съдържат таблици с бюджета за предстоящата кампания. В съдържанието пише, че става дума за Business Plan, но с различни версии и от различни дати;
  • Всичките девет файла с подписа на Рошка имат дата на създаване 2016-05-05T16:46:06Z. Останалите 17 файла са с дата на създаване 2006-09-16T00:00:00Z;
  • В мейла на ковчежника на кампанията на Макрон Cedric O (това е пълното му име) има 4 ексел файла с име, което започва с Business plan. Първият от тях датира от 05.03.2016, следва файл от 05.05.2016 и още два от по-късни дати – 16.05.2016 и 17.05.2016;
  • Всички файлове в мейла на Cédric с име Business plan са криптирани;
  • Съдържанието на четири файла подписани от Рошка сочи датата 27.03.2016, която е по-ранна от първите съобщения в мейла на Cédric, които се откриват в лийка;
  • Останалите 17 файла в насочващата папка, които не са подписани от Рошка, също се откриват в мейла на Cédric O, но те не са криптирани.

Най-очевидният извод е, че Рошка е работил конкретно върху файловете, които съдържат бизнес плана на кампанията на Макрон. Твърде вероятен сценарий е, че файловете са отваряни на руска версия на MS Office, а при последвалото записване на диска под друго име са останали метатагове на руски и името на Рошка. 

На този етап остават много въпроси, на които анализът на данните не може да даде отговор. Дали въпросният Рошка има отношение към разкриптирането на файловете, или ги е извлякъл от OneDrive? Дали името му е останало там по недоглеждане, или метаданните са специално въведени за насочване на вниманието? Отговори ще бъдат дадени от разследващите органи, които ще разполагат с оригиналите на откраднатата информация, както и с много повече възможности за анализ на произхода и тайминга на хакерската атака. 

***

Приятели, радваме се, че стигнахте дотук. Dear Friends, glad to see you finished reading the article.

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика. If you find this article usefull, you can support our efforts to keep doing independent investigative reporting.

Платете Данъкъ Биволъ! / Pay Bivol Tax!

Въведете сума по избор и номера на Вашата кредитна или дебитна карта. Изберете дали да ни подкрепите еднократно или всеки месец:

Подкрепа за Биволъ

Support Bivol
Or enter your payment details below

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Ако използвате Apple Pay или G-Pay и виждате съответния бутон, можете да кликнете директно на него, без да въвеждате номер на картата. Bivol is not keeping track of your card number. We relay on Stripe for card, Apple Pay and G-Pay processing.

Можете също да се включите с ЕДНОКРАТЕН ДАНЪК през PayPal или Epay/банков превод или със СМС, или да станете един от нашите редовни, МЕСЕЧНИ ДАНЪКОПЛАТЦИ Научете повече за Данъкъ Биволъ тук.

You can also support us with ONE TIME TAX through PayPal, or become one of our regular, MONTHLY TAXPAYERS .

This post is also available in: English

Вижте също / Read Also