Имейл със заразен линк отворен на компютър на сътрудник от щаба на Еманюел Макрон е най-вероятният вектор на атаката, довела до източването на 9 гигабайта данни (15 GB след декомпресия) от четири пощи на сътрудници на Макрон, както и на архивни файлове от OneDrive. Почеркът е същият като при източването на имейлите на американските демократи, които изтекоха в Wikileaks и бяха използвани от феновете на Тръмп, за да дискредитират Хилари Клинтън. В случая обаче Wikileaks няма връзка с теча, а парадоксално раздуха… руска връзка, открита по-рано от Биволъ.

 

От Wikileaks дори изразиха учудване, че освен тях и Биволъ няма други медийни организации, които да проучват произхода и автентичността на изтеклите данни.

Информацията, че щабът на Макрон е бил обект на атаки от свързани с Русия хакерски групи Pawn Storm и Fancy Bear беше публикувана още на 25.04.2017 от Daily Beast. Изданието цитира специалист по сигурността, който описва използваните методи за фишинг и се хвали, че те са засечени от киберохраната на Еманюел Макрон и дори е предприета контраатака. Но фишинг атаката изглежда все пак е успяла. Това се потвърждава както изявлението на щаба на Макрон, така и от започналото вчера разследване на френската прокуратура и френската киберполиция BEFTI. Защо разследването е започнало чак след като течът е станал факт, а не още при засичането на хакерската активност, остава загадка.

Закъснял тайминг

Данните, откраднати от мейлове на сътрудници на Макрон, а вероятно и от облачния архив OneDrive, бяха публикувани в американския форум 4chan в последните часове преди деня на размисъл във Франция. От щаба на Макрон веднага съобщиха, че са жертва на хакерска атака, а френският ЦИК припомни в специално съобщение до медиите, че до неделя вечер е забранено да отразяват всякакви новини свързани с политическата кампания и такива, които могат да навредят или да са в полза на някой от кандидатите. 

Хората, които стоят зад лийка са знаели за тези разпоредби и явно не са разчитали на масивно медийно отразяване на компрометиращи данни, а на слухове и инсинуации позоваващи се на лийка. За оставащите няколко часа до отварянето на избирателните секции не е възможно да бъдат прочетени, анализирани и проверени за автентичност съобщенията в обемните пощенски кутии, съдържащи гигабайти информация. Този факт, плюс медийното затъмнение дават възможност за развихряне на фалшиви новини, които няма как да бъдат отразени и опровергани с прецизна проверка на фактите. Последващата хиперактивност около хаштага #MacronLeaks лансиран от активист на американската крайна десница потвърждава тази хипотеза.

Активистът на име Jack Posobiec разпространяваше също така много активно документите от предишната кибератака срещу Макрон, изтекли в 4chan малко преди кандидат-президентския дебат между Марин Льо Пен и Еманюел Макрон. Във файлове, които се оказаха фалшифицирани, се инсинуира, че Макрон има тайна сметка на Кайманските острови.

Има обаче и друг признак, че кампанията за фалшиви новини в социалните мреци е желаният сценарий от авторите на MacronLeaks. В лийка се откриват

Насочващи данни за фалшиви новини

под формата на подбрани файлове, оформени в три отделни папки извън съдържанието на електронната поща.

В първата от тези папки озаглавена Macron_201705 има договор за застраховка сключен между Allianz и Еманюел Макрон в случай, че не премине бариерата от 5 процента, за да получи субсидия. Приложен е суифт превод за застрахователната премия. В това няма нищо скандално, но антимакронските тролове веднага разпространиха в социалните мрежи суифт превода, представяйки го като съмнителна парична транзакция.

https://twitter.com/JackPosobiec/status/860584992702910464

Втората папка на име Gemplus съдържа вътрешни документи датирани от 2001-2002 г. на фирма-производител на решения за смарт-карти. Собственост в тази фирма Gemplus има скандалният бизнесмен и оръжеен посредник Зиад Такедин, замесен в аферата с предполагаемото либийско финансиране на кампанията на Никола Саркози. Част от документите са за голям договор между няколко френски оръжейни предприятия и Саудитска Арабия за нова система за граничен контрол. Всичко това няма абсолютно нищо общо с Макрон. Но данните бяха раздухани от троловете в Twitter като „доказателство“, че Макрон има тайни финансови отношения със Саудитска Арабия и Саркози.

Третата папка е най-интересна. Тя съдържа 26 файла с номерация от 11 до 32, в които има финансови отчети, бюджети и бизнес планове за политическата кампания на Макрон. Само по себе си в съдържанието им няма нищо скандално, но те също се разпространяват от троловете с акцент върху заплатите в щаба на Макрон, както и разходите за пипълметрия.

 

Точно в тези файлове обаче се получи издънка с разкритата

Руска връзка

която изобщо не устройва сценария на тролската кампания, даже напротив. Най-напред внимателни наблюдатели от Generation Nouvelle Republique откриха в екселските файлове метаданни на руски.

В девет от файловете личи името на Георгий Петрович Рошка, като това беше установено първо от Биволъ.

Стъпвайки на публикацията на Биволъ в Twitter, руското издание The Insider публикува блиц-проучване от което излиза, че лице със същото име е служител на руската IT компания Еврика, която има договори с руски държавни институции. По-късно Wikileaks потвърди тези данни и публикува информацията, че Еврика има лиценз за работа с класифицирана информация от ФСБ. 

Произходът на тези файлове не е твърде ясен, като е възможно те да идват от мейловете, или от архивите на партията на Макрон в OneDrive. Анализът на метаданните показва, че те са записани в интервал от 5 минути на 27.03.2017. Най-новите мейлове в архивите са от 24.04.2017, което означава, че дълго време хакерите са имали достъп до системата без да бъдат забелязани.

Метаданните в папката с бизнес информацията за кампанията на Макрон

 

Какво научаваме от деветте файла с подписа на Рошка?

  • всичките съдържат таблици с бюджета за предстоящата кампания. В съдържанието пише, че става дума за Business Plan, но с различни версии и от различни дати;
  • Всичките девет файла с подписа на Рошка имат дата на създаване 2016-05-05T16:46:06Z. Останалите 17 файла са с дата на създаване 2006-09-16T00:00:00Z;
  • В мейла на ковчежника на кампанията на Макрон Cedric O (това е пълното му име) има 4 ексел файла с име, което започва с Business plan. Първият от тях датира от 05.03.2016, следва файл от 05.05.2016 и още два от по-късни дати – 16.05.2016 и 17.05.2016;
  • Всички файлове в мейла на Cédric с име Business plan са криптирани;
  • Съдържанието на четири файла подписани от Рошка сочи датата 27.03.2016, която е по-ранна от първите съобщения в мейла на Cédric, които се откриват в лийка;
  • Останалите 17 файла в насочващата папка, които не са подписани от Рошка, също се откриват в мейла на Cédric O, но те не са криптирани.

Най-очевидният извод е, че Рошка е работил конкретно върху файловете, които съдържат бизнес плана на кампанията на Макрон. Твърде вероятен сценарий е, че файловете са отваряни на руска версия на MS Office, а при последвалото записване на диска под друго име са останали метатагове на руски и името на Рошка. 

На този етап остават много въпроси, на които анализът на данните не може да даде отговор. Дали въпросният Рошка има отношение към разкриптирането на файловете, или ги е извлякъл от OneDrive? Дали името му е останало там по недоглеждане, или метаданните са специално въведени за насочване на вниманието? Отговори ще бъдат дадени от разследващите органи, които ще разполагат с оригиналите на откраднатата информация, както и с много повече възможности за анализ на произхода и тайминга на хакерската атака. 

This post is also available in: English