Какво научихме от MacronLeaks

Имейл със заразен линк отворен на компютър на сътрудник от щаба на Еманюел Макрон е най-вероятният вектор на атаката, довела до източването на 9 гигабайта данни (15 GB след декомпресия) от четири пощи на сътрудници на Макрон, както и на архивни файлове от OneDrive. Почеркът е същият като при източването на имейлите на американските демократи, които изтекоха в Wikileaks и бяха използвани от феновете на Тръмп, за да дискредитират Хилари Клинтън. В случая обаче Wikileaks няма връзка с теча, а парадоксално раздуха… руска връзка, открита по-рано от Биволъ.

 

От Wikileaks дори изразиха учудване, че освен тях и Биволъ няма други медийни организации, които да проучват произхода и автентичността на изтеклите данни.

Информацията, че щабът на Макрон е бил обект на атаки от свързани с Русия хакерски групи Pawn Storm и Fancy Bear беше публикувана още на 25.04.2017 от Daily Beast. Изданието цитира специалист по сигурността, който описва използваните методи за фишинг и се хвали, че те са засечени от киберохраната на Еманюел Макрон и дори е предприета контраатака. Но фишинг атаката изглежда все пак е успяла. Това се потвърждава както изявлението на щаба на Макрон, така и от започналото вчера разследване на френската прокуратура и френската киберполиция BEFTI. Защо разследването е започнало чак след като течът е станал факт, а не още при засичането на хакерската активност, остава загадка.

Закъснял тайминг

Данните, откраднати от мейлове на сътрудници на Макрон, а вероятно и от облачния архив OneDrive, бяха публикувани в американския форум 4chan в последните часове преди деня на размисъл във Франция. От щаба на Макрон веднага съобщиха, че са жертва на хакерска атака, а френският ЦИК припомни в специално съобщение до медиите, че до неделя вечер е забранено да отразяват всякакви новини свързани с политическата кампания и такива, които могат да навредят или да са в полза на някой от кандидатите. 

Хората, които стоят зад лийка са знаели за тези разпоредби и явно не са разчитали на масивно медийно отразяване на компрометиращи данни, а на слухове и инсинуации позоваващи се на лийка. За оставащите няколко часа до отварянето на избирателните секции не е възможно да бъдат прочетени, анализирани и проверени за автентичност съобщенията в обемните пощенски кутии, съдържащи гигабайти информация. Този факт, плюс медийното затъмнение дават възможност за развихряне на фалшиви новини, които няма как да бъдат отразени и опровергани с прецизна проверка на фактите. Последващата хиперактивност около хаштага #MacronLeaks лансиран от активист на американската крайна десница потвърждава тази хипотеза.

Активистът на име Jack Posobiec разпространяваше също така много активно документите от предишната кибератака срещу Макрон, изтекли в 4chan малко преди кандидат-президентския дебат между Марин Льо Пен и Еманюел Макрон. Във файлове, които се оказаха фалшифицирани, се инсинуира, че Макрон има тайна сметка на Кайманските острови.

Има обаче и друг признак, че кампанията за фалшиви новини в социалните мреци е желаният сценарий от авторите на MacronLeaks. В лийка се откриват

Насочващи данни за фалшиви новини

под формата на подбрани файлове, оформени в три отделни папки извън съдържанието на електронната поща.

В първата от тези папки озаглавена Macron_201705 има договор за застраховка сключен между Allianz и Еманюел Макрон в случай, че не премине бариерата от 5 процента, за да получи субсидия. Приложен е суифт превод за застрахователната премия. В това няма нищо скандално, но антимакронските тролове веднага разпространиха в социалните мрежи суифт превода, представяйки го като съмнителна парична транзакция.

https://twitter.com/JackPosobiec/status/860584992702910464

Втората папка на име Gemplus съдържа вътрешни документи датирани от 2001-2002 г. на фирма-производител на решения за смарт-карти. Собственост в тази фирма Gemplus има скандалният бизнесмен и оръжеен посредник Зиад Такедин, замесен в аферата с предполагаемото либийско финансиране на кампанията на Никола Саркози. Част от документите са за голям договор между няколко френски оръжейни предприятия и Саудитска Арабия за нова система за граничен контрол. Всичко това няма абсолютно нищо общо с Макрон. Но данните бяха раздухани от троловете в Twitter като “доказателство”, че Макрон има тайни финансови отношения със Саудитска Арабия и Саркози.

Третата папка е най-интересна. Тя съдържа 26 файла с номерация от 11 до 32, в които има финансови отчети, бюджети и бизнес планове за политическата кампания на Макрон. Само по себе си в съдържанието им няма нищо скандално, но те също се разпространяват от троловете с акцент върху заплатите в щаба на Макрон, както и разходите за пипълметрия.

 

Точно в тези файлове обаче се получи издънка с разкритата

Руска връзка

която изобщо не устройва сценария на тролската кампания, даже напротив. Най-напред внимателни наблюдатели от Generation Nouvelle Republique откриха в екселските файлове метаданни на руски.

В девет от файловете личи името на Георгий Петрович Рошка, като това беше установено първо от Биволъ.

Стъпвайки на публикацията на Биволъ в Twitter, руското издание The Insider публикува блиц-проучване от което излиза, че лице със същото име е служител на руската IT компания Еврика, която има договори с руски държавни институции. По-късно Wikileaks потвърди тези данни и публикува информацията, че Еврика има лиценз за работа с класифицирана информация от ФСБ. 

Произходът на тези файлове не е твърде ясен, като е възможно те да идват от мейловете, или от архивите на партията на Макрон в OneDrive. Анализът на метаданните показва, че те са записани в интервал от 5 минути на 27.03.2017. Най-новите мейлове в архивите са от 24.04.2017, което означава, че дълго време хакерите са имали достъп до системата без да бъдат забелязани.

Метаданните в папката с бизнес информацията за кампанията на Макрон

 

Какво научаваме от деветте файла с подписа на Рошка?

  • всичките съдържат таблици с бюджета за предстоящата кампания. В съдържанието пише, че става дума за Business Plan, но с различни версии и от различни дати;
  • Всичките девет файла с подписа на Рошка имат дата на създаване 2016-05-05T16:46:06Z. Останалите 17 файла са с дата на създаване 2006-09-16T00:00:00Z;
  • В мейла на ковчежника на кампанията на Макрон Cedric O (това е пълното му име) има 4 ексел файла с име, което започва с Business plan. Първият от тях датира от 05.03.2016, следва файл от 05.05.2016 и още два от по-късни дати – 16.05.2016 и 17.05.2016;
  • Всички файлове в мейла на Cédric с име Business plan са криптирани;
  • Съдържанието на четири файла подписани от Рошка сочи датата 27.03.2016, която е по-ранна от първите съобщения в мейла на Cédric, които се откриват в лийка;
  • Останалите 17 файла в насочващата папка, които не са подписани от Рошка, също се откриват в мейла на Cédric O, но те не са криптирани.

Най-очевидният извод е, че Рошка е работил конкретно върху файловете, които съдържат бизнес плана на кампанията на Макрон. Твърде вероятен сценарий е, че файловете са отваряни на руска версия на MS Office, а при последвалото записване на диска под друго име са останали метатагове на руски и името на Рошка. 

На този етап остават много въпроси, на които анализът на данните не може да даде отговор. Дали въпросният Рошка има отношение към разкриптирането на файловете, или ги е извлякъл от OneDrive? Дали името му е останало там по недоглеждане, или метаданните са специално въведени за насочване на вниманието? Отговори ще бъдат дадени от разследващите органи, които ще разполагат с оригиналите на откраднатата информация, както и с много повече възможности за анализ на произхода и тайминга на хакерската атака. 

***

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика. If you find the article interesting and useful, you can support us to continue to do independent investigative journalism.

Включете се с Данъкъ Биволъ! Support Bivol

При възможност, станете наш редовен спомоществовател с опцията Месечен Данъкъ. Това ни помага да предвиждаме бъдещи разходи и да планираме дейността си за месеци напред.

Избрахте да дарите 10.00€ Месечно

Възможности за плащане
Информация за Вас

Информация за банковата карта
Плащането е защитено със SSL криптиране

Обща сума: 10.00€ Месечно

Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.

Please, read our Terms and conditions here.

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.

Bivol is not recording the number of your bank card. The card payments go through Stripe. Card donations for Bivol are managed by the French NGO Data for Reporters Journalists and Investigations - DRJI.

Възможности за плащане
Информация за Вас

Информация за банковата карта
Плащането е защитено със SSL криптиране

Обща сума: 5.00€

Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.

Please, read our Terms and conditions here.

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.

Bivol is not recording the number of your bank card. The card payments go through Stripe. Card donations for Bivol are managed by the French NGO Data for Reporters Journalists and Investigations - DRJI.

лв.
 
The current exchange rate is 1.00 EUR equals 2,00 BGN.
Възможности за плащане
Информация за Вас

Внимание: с този метод сумата ще е в лева, а не в евро. Можете да изпратите "Данъкъ Биволъ" електронно през Epay.bg или с банков превод. От територията на България можете също да изпратите пари в брой през EasyPay, или да направите превод през банкомат, поддържащ услугата B-Pay.    

Обща сума: 10,00 лв.

Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.

SMS код BIVOL

За да подкрепите с малка сума нашите разследвания и автори, можете да изпратите SMS на кратък номер. Ще получите с обратен SMS линк към нашия архив.

  • Изпрати 1,2 лв. на номер 1851 с код BIVOL и получи достъп до Архивите на Биволъ
  • Изпрати 2,4 лв. на номер 1092 с код BIVOL и получи достъп до Архивите на Биволъ
  • Изпрати 4,8 лв. на номер 1094 с код BIVOL и получи достъп до Архивите на Биволъ
  • Изпрати 12 лв. с два смс-а на номер 1096 с код BIVOL и получи достъп до Архивите на Биволъ

Сумите са с включен ДДС. Моля, имайте предвид, че това е най-неефективният начин да подпомогнете Биволъ, тъй като комисионната на мобилните оператори достига 60%. Ако имате възможност, използвайте някой от другите методи на плащане.

Криптовалути

За да ни изпратите биткойни сканирайте QR кода или използвайте един от двата адреса: Standard: 1EY3iwkPXiby6XFsyCcVPGZPYCGPbPeVcb

Segwit: bc1ql28g7qnvdmenrzhhc7rtk0zk67gg4wd9x9jmmc

This post is also available in: English

Вижте също / Read Also

%d блогъра харесват това: