Cybersecurityexperts: “Te weinig in bewijs Russische hack”

Er wordt te makkelijk aangenomen dat het Kremlin e-mails van de Democratische Partij heeft gestolen om die aan Wikileaks te geven. Dat zeggen verschillende cybersecurityexperts tegen het onderzoeksprogramma Argos.

‘Als ik al het bewijs zo naast elkaar leg, kan ik niet aannemelijk maken dat het deze nation state actor is geweest die ervoor gezorgd heeft dat deze informatie bij Wikileaks is uitgekomen’, zegt Oscar Koeroo, digitale beveiligingsspecialist bij KPN.

De Democratische Partij (DNC) maakte in juni 2016 bekend dat de servers waren gehackt door twee Russische hackersgroepen: Cozy Bear en Fancy Bear. In juli 2016 publiceerde Wikileaks duizenden interne DNC-e-mails. Hillary Clinton heeft later verklaard dat ze mede door ‘Russian Wikileaks’ de presidentsverkiezingen heeft verloren.
De Amerikaanse inlichtingendiensten NSA, CIA en FBI stelden in januari 2017 dat zij ‘groot vertrouwen hebben’ in hun ‘inschatting dat de Russische militaire inlichtingendienst GRU materiaal dat zij hebben verworven bij de Democratische Partij (…) hebben doorgegeven aan Wikileaks’.
 

Gaten in de officiële lezing

In de uitzending van zaterdag 17 maart besteedt Argos aandacht aan de vele gaten in de officiële lezing. Zo blijkt bijvoorbeeld dat de spionagemalware die wordt toegeschreven aan Fancy Bear, is aangemaakt nadat de DNC cybersecuritybedrijf Crowdstrike had ingeschakeld.

De zogenaamde X-Agent malware heeft een ‘creation date’ van 10 mei 2016. Crowdstrike installeerde hun ‘endpoint protection platform’ Falcon vijf dagen eerder, op 5 mei 2016.

Er zijn, ook volgens Crowdstrike zelf, geen aanwijzingen dat de aanmaakdatum van X-Agent is gemanipuleerd.

‘De broncode van de X-Agent-malware heeft online gestaan’, zegt Alexis Dorais-Joncas, leider van het security intelligence team van cybersecuritybedrijf ESET. ‘ESET heeft een kopie van de broncode. Die hebben we een paar jaar geleden ontdekt. We hebben indicaties dat andere partijen, waaronder securityonderzoekers, deze code ook hebben.’

ESET acht het aannemelijk dat iedereen met toegang tot de broncode van Fancy Bears malware en kennis van hun tactiek (TTP’s) een hack door Fancy Bear kan nabootsen. ‘Als de aanvaller Fancy Bears X-Agentcode vernieuwt zodat security researchers die zien als een geëvalueerde versie, is de imitatie nog beter.’

DNC-mails gelekt na ontdekking hack

De hack van de Democratische Partij werd wereldnieuws toen lekplatform Wikileaks op 22 juli 2016 duizenden gelekte DNC-mails publiceerde. Uit de e-mails bleek dat de leden van het Democratische Comité Hillary Clinton steunden, en haar concurrent Bernie Sanders actief tegenwerkten. Het hoofd van de DNC trad af.

De DNC-mails op Wikileaks zijn afkomstig van de mailaccounts van zeven medewerkers, waaronder de communicatiemanager en vijf medewerkers van de financiële afdeling. Onderzoek van Argos toont aan dat het merendeel van de gelekte e-mails verstuurd is in de twintig dagen nadat Crowdstrike werd ingeschakeld door de Democratische Partij.

‘Het is gebruikelijk dat een cybersecuritybedrijf het systeem even open laat staan om te bestuderen wat hackers precies aan het doen zijn’, zegt Rickey Gevers, verantwoordelijk voor incident response bij RedSocks. ‘Maar twintig dagen is wel erg lang. Zeker als je vanaf het begin al weet dat er mogelijk een Russische partij binnen zit.’

“Crowdstrike moet wegsluizen e-mails hebben gezien”

Crowdstrike en de Democratische partij hebben meermaals aangegeven dat zij ‘binnen een dag wisten dat het de Russen waren’, dankzij Crowdstrikes geavanceerde endpoint protection platform Falcon. Daarnaast had Crowdstrike 24/7 Overwatch ingeschakeld, waarbij ‘elitebeveiligers’ 24 uur per dag monitoren wat er op de servers gebeurt.

‘Als zij inderdaad zo strak op het netwerk zaten, dan moeten ze hebben kunnen zien dat de e-mails zijn weggesluisd’, zegt Gevers in de uitzending van Argos.

In de eerste nieuwsberichten over de Russische hack wordt geen melding gemaakt van gestolen e-mails. ‘De hackers hebben twee files gestolen’, zegt Shawn Henry van Crowdstrike. ‘Er lijkt geen financiële of persoonlijke informatie te zijn ontvreemd’, stellen de Democraten in de Washington Post.

Een verklaring zou kunnen zijn dat de e-mails op een andere manier zijn ontvreemd, zeggen experts Koeroo (KPN), Gevers (RedSocks) en Dorais-Joncas (ESET). Crowdstrike wil, ‘in verband met vertrouwelijkheid naar de klant’ geen commentaar geven.

Geen phishingmails naar gelekte mailaccounts DNC

Omdat Fancy Bear door de Amerikaanse inlichtingendiensten en verschillende cybersecuritybedrijven in verband wordt gebracht met spearphishingmails, heeft Argos ook deze optie onder de loep genomen.

In het voorjaar van 2016 verstuurde Fancy Bear meer dan tweehonderd phishingmails naar 108 medewerkers van de Hillary for America Campaign. De mails zijn bedoeld om inloggegevens van mailaccounts te achterhalen. Ook medewerkers van de DNC ontvingen phishingmails. ‘Dat dit niet in verband staat met de hack van de DNC is niet aannemelijk’, stelt cybersecuritybedrijf SecureWorks.

In maart en april 2016 stuurde Fancy Bear zestien phishingmails naar DNC-mailadressen (@dnc.org) van negen verschillende DNC-medewerkers. Argos ontdekte dat drie personen daadwerkelijk op de link in de phishingmail hebben geklikt. De kans dat zij daarna hun DNC-wachtwoord hebben weggegeven is echter nihil. De link leidde namelijk naar een namaakinlogpagina van Gmail, en niet naar een vervalste voorpagina van de mailserver van DNC.

Argos heeft ook achterhaald naar welke DNC-mailadressen de phishingmails zijn verstuurd. Geen van de personen van wie de mailbox is doorgespeeld aan Wikileaks zit hiertussen. Ook andere personen die mogelijk toegang hadden tot de mailaccounts van deze personen, zoals assistenten of secretaresses, behoorden niet tot de targets.

Er lijkt wel een link te zijn tussen door Fancy Bear verstuurde phishingmails, en de door Wikileaks gepubliceerde e-mails van John Podesta. De chairman van de presidentcampagne van Hillary Clinton ontving op 19 maart 2016 een phishingmail op zijn Gmail-account. Zijn mailbox is daags daarna leeggehaald.

Waren het wel de Russen? Luister naar Argos over de Amerikaanse presidentsverkiezingen, Wikileaks en hackende beren. Zaterdag 17 maart om 14 uur op NPO Radio 1. 

 

De Democratische Partij heeft, ondanks herhaaldelijke verzoeken, niet gereageerd op de voorgelegde bevindingen.