Какво научихме от MacronLeaks Mind the horns!

Имейл със заразен линк отворен на компютър на сътрудник от щаба на Еманюел Макрон е най-вероятният вектор на атаката, довела до източването на 9 гигабайта данни (15 GB след декомпресия) от четири пощи на сътрудници на Макрон, както и на архивни файлове от OneDrive. Почеркът е същият като при източването на имейлите на американските демократи, които изтекоха в Wikileaks и бяха използвани от феновете на Тръмп, за да дискредитират Хилари Клинтън. В случая обаче Wikileaks няма връзка с теча, а парадоксално раздуха… руска връзка, открита по-рано от Биволъ.

#MacronLeaks: name of employee for Russian govt security contractor Evrika appears 9 times in metadata for "xls_cendric.rar" leak archive pic.twitter.com/jyhlmldlbL

— WikiLeaks (@wikileaks) May 6, 2017

От Wikileaks дори изразиха учудване, че освен тях и Биволъ няма други медийни организации, които да проучват произхода и автентичността на изтеклите данни.

Why are WikiLeaks and Bivol the only media organizations analyzing the provenance of #MacronLeaks? Does no-one else have tech competence?

— WikiLeaks (@wikileaks) May 7, 2017

Информацията, че щабът на Макрон е бил обект на атаки от свързани с Русия хакерски групи Pawn Storm и Fancy Bear беше публикувана още на 25.04.2017 от Daily Beast. Изданието цитира специалист по сигурността, който описва използваните методи за фишинг и се хвали, че те са засечени от киберохраната на Еманюел Макрон и дори е предприета контраатака. Но фишинг атаката изглежда все пак е успяла. Това се потвърждава както изявлението на щаба на Макрон, така и от започналото вчера разследване на френската прокуратура и френската киберполиция BEFTI. Защо разследването е започнало чак след като течът е станал факт, а не още при засичането на хакерската активност, остава загадка.

Закъснял тайминг

Данните, откраднати от мейлове на сътрудници на Макрон, а вероятно и от облачния архив OneDrive, бяха публикувани в американския форум 4chan в последните часове преди деня на размисъл във Франция. От щаба на Макрон веднага съобщиха, че са жертва на хакерска атака, а френският ЦИК припомни в специално съобщение до медиите, че до неделя вечер е забранено да отразяват всякакви новини свързани с политическата кампания и такива, които могат да навредят или да са в полза на някой от кандидатите.

Хората, които стоят зад лийка са знаели за тези разпоредби и явно не са разчитали на масивно медийно отразяване на компрометиращи данни, а на слухове и инсинуации позоваващи се на лийка. За оставащите няколко часа до отварянето на избирателните секции не е възможно да бъдат прочетени, анализирани и проверени за автентичност съобщенията в обемните пощенски кутии, съдържащи гигабайти информация. Този факт, плюс медийното затъмнение дават възможност за развихряне на фалшиви новини, които няма как да бъдат отразени и опровергани с прецизна проверка на фактите. Последващата хиперактивност около хаштага #MacronLeaks лансиран от активист на американската крайна десница потвърждава тази хипотеза.

La cartographie animée temporaire et rapide de #MacronLeaks sans les explications pic.twitter.com/aGrW86KEoh

— Nicolas Vanderbiest (@Nico_VanderB) May 5, 2017

Активистът на име Jack Posobiec разпространяваше също така много активно документите от предишната кибератака срещу Макрон, изтекли в 4chan малко преди кандидат-президентския дебат между Марин Льо Пен и Еманюел Макрон. Във файлове, които се оказаха фалшифицирани, се инсинуира, че Макрон има тайна сметка на Кайманските острови.

Има обаче и друг признак, че кампанията за фалшиви новини в социалните мреци е желаният сценарий от авторите на MacronLeaks. В лийка се откриват

Насочващи данни за фалшиви новини

под формата на подбрани файлове, оформени в три отделни папки извън съдържанието на електронната поща.

В първата от тези папки озаглавена Macron_201705 има договор за застраховка сключен между Allianz и Еманюел Макрон в случай, че не премине бариерата от 5 процента, за да получи субсидия. Приложен е суифт превод за застрахователната премия. В това няма нищо скандално, но антимакронските тролове веднага разпространиха в социалните мрежи суифт превода, представяйки го като съмнителна парична транзакция.

https://twitter.com/JackPosobiec/status/860584992702910464

Втората папка на име Gemplus съдържа вътрешни документи датирани от 2001-2002 г. на фирма-производител на решения за смарт-карти. Собственост в тази фирма Gemplus има скандалният бизнесмен и оръжеен посредник Зиад Такедин, замесен в аферата с предполагаемото либийско финансиране на кампанията на Никола Саркози. Част от документите са за голям договор между няколко френски оръжейни предприятия и Саудитска Арабия за нова система за граничен контрол. Всичко това няма абсолютно нищо общо с Макрон. Но данните бяха раздухани от троловете в Twitter като “доказателство”, че Макрон има тайни финансови отношения със Саудитска Арабия и Саркози.

Retweeted Sarah Abdallah (@sahouraxo):#MacronLeaks show secret ties between Macron, Sarkozy and Saudi Arabia…. https://t.co/GZ0gAfPWpr

— Anton Ironbark (@swordofgnosis) May 7, 2017

Третата папка е най-интересна. Тя съдържа 26 файла с номерация от 11 до 32, в които има финансови отчети, бюджети и бизнес планове за политическата кампания на Макрон. Само по себе си в съдържанието им няма нищо скандално, но те също се разпространяват от троловете с акцент върху заплатите в щаба на Макрон, както и разходите за пипълметрия.

#MacronLeaks De sacrées différences de salaires dans l'équipe de campagne pic.twitter.com/iBkZPtbqCv

— Nicolas JUHEL ⭐⭐ (@NicolasJuhel) May 6, 2017

Точно в тези файлове обаче се получи издънка с разкритата

Руска връзка

която изобщо не устройва сценария на тролската кампания, даже напротив. Най-напред внимателни наблюдатели от Generation Nouvelle Republique откриха в екселските файлове метаданни на руски.

Les Hackers Russes au rabais et fachosphere ANTI FRANCE du #FN nullissimes. Merci pour la signature. #MacronLeaks #MacronGate @MLP_officiel pic.twitter.com/WT1ZyNC595

— GNR #TouchesPasAMaFrance #PasdeGiletPasdeBannon (@GNR311) May 5, 2017

В девет от файловете личи името на Георгий Петрович Рошка, като това беше установено първо от Биволъ.

Hello, Roshka Georgiy Petrovich 🙂 pic.twitter.com/fBaklSN7V5

— Bivol (@BivolBg) May 6, 2017

Стъпвайки на публикацията на Биволъ в Twitter, руското издание The Insider публикува блиц-проучване от което излиза, че лице със същото име е служител на руската IT компания Еврика, която има договори с руски държавни институции. По-късно Wikileaks потвърди тези данни и публикува информацията, че Еврика има лиценз за работа с класифицирана информация от ФСБ.

Russian press article on ЭВРИКА when company obtained an FSB security certificate to protect state secrets. https://t.co/OGjbMW9UXX

— WikiLeaks (@wikileaks) May 6, 2017

Произходът на тези файлове не е твърде ясен, като е възможно те да идват от мейловете, или от архивите на партията на Макрон в OneDrive. Анализът на метаданните показва, че те са записани в интервал от 5 минути на 27.03.2017. Най-новите мейлове в архивите са от 24.04.2017, което означава, че дълго време хакерите са имали достъп до системата без да бъдат забелязани.

Метаданните в папката с бизнес информацията за кампанията на Макрон

Какво научаваме от деветте файла с подписа на Рошка?

всичките съдържат таблици с бюджета за предстоящата кампания. В съдържанието пише, че става дума за Business Plan, но с различни версии и от различни дати;
Всичките девет файла с подписа на Рошка имат дата на създаване 2016-05-05T16:46:06Z. Останалите 17 файла са с дата на създаване 2006-09-16T00:00:00Z;
В мейла на ковчежника на кампанията на Макрон Cedric O (това е пълното му име) има 4 ексел файла с име, което започва с Business plan. Първият от тях датира от 05.03.2016, следва файл от 05.05.2016 и още два от по-късни дати – 16.05.2016 и 17.05.2016;
Всички файлове в мейла на Cédric с име Business plan са криптирани;
Съдържанието на четири файла подписани от Рошка сочи датата 27.03.2016, която е по-ранна от първите съобщения в мейла на Cédric, които се откриват в лийка;
Останалите 17 файла в насочващата папка, които не са подписани от Рошка, също се откриват в мейла на Cédric O, но те не са криптирани.

Най-очевидният извод е, че Рошка е работил конкретно върху файловете, които съдържат бизнес плана на кампанията на Макрон. Твърде вероятен сценарий е, че файловете са отваряни на руска версия на MS Office, а при последвалото записване на диска под друго име са останали метатагове на руски и името на Рошка.

На този етап остават много въпроси, на които анализът на данните не може да даде отговор. Дали въпросният Рошка има отношение към разкриптирането на файловете, или ги е извлякъл от OneDrive? Дали името му е останало там по недоглеждане, или метаданните са специално въведени за насочване на вниманието? Отговори ще бъдат дадени от разследващите органи, които ще разполагат с оригиналите на откраднатата информация, както и с много повече възможности за анализ на произхода и тайминга на хакерската атака.

***

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика. If you find the article interesting and useful, you can support us to continue to do independent investigative journalism.

Включете се с Данъкъ Биволъ! Support Bivol

При възможност, станете наш редовен спомоществовател с опцията Месечен Данъкъ. Това ни помага да предвиждаме бъдещи разходи и да планираме дейността си за месеци напред.