Questo martedì, 31 luglio La foto del 2018 mostra l'ingresso dell'edificio del servizio di intelligence militare russo, nominato nell'atto d'accusa di Robert Mueller del 13 luglio, come sede dell'unità GRU 26165 a Mosca, Russia. La fuga di informazioni sulle conversazioni di un presunto hacker russo con un ricercatore di sicurezza mostra di più sul gruppo oscuro di 12 spie russe incriminate dall'FBI il mese scorso per aver preso di mira le elezioni statunitensi del 2016. (Foto AP/Alexander Zemlianichenko)
Sei anni fa, un ricercatore di sicurezza informatica di lingua russa ha ricevuto un'e-mail non richiesta da Kate S. Milton.
Milton ha affermato di lavorare per l'azienda di antivirus Kaspersky con sede a Mosca. In uno scambio iniziato con un inglese stentato e rapidamente passato al russo, Milton ha affermato di essere rimasta colpita dal lavoro del ricercatore sugli exploit, i grimaldelli digitali utilizzati dagli hacker per violare i sistemi vulnerabili, e voleva essere copiata su tutti i nuovi che il ricercatore ha incontrato.
"Hai quasi sempre tutti gli exploit di fascia alta, "Milton ha detto, dopo aver fatto i complimenti alla ricercatrice per un post sul suo sito web, dove spesso dissezionava software dannoso.
"In modo che il nostro contatto non sia unilaterale, Ti offrirei il mio aiuto per analizzare virus dannosi, e quando avrò nuovi campioni condividerò, "Continuò Milton. "Cosa ne pensi?"
Il ricercatore, che lavora come ingegnere della sicurezza e gestisce anche il sito di condivisione di malware, ha sempre avuto una buona idea che Milton non fosse chi diceva di essere. Lo scorso mese, ha avuto conferma tramite un'accusa dell'FBI.
L'accusa, reso pubblico il 13 luglio ha sollevato il coperchio sull'operazione di hacking russa che ha preso di mira le elezioni presidenziali statunitensi del 2016. Ha identificato "Kate S. Milton" come alias per l'ufficiale dell'intelligence militare Ivan Yermakov, una delle 12 spie russe accusate di aver fatto irruzione nel Comitato nazionale democratico e di aver pubblicato le sue e-mail nel tentativo di influenzare le elezioni del 2016.
Il ricercatore, che ha dato i suoi scambi con Milton all'Associated Press a condizione di anonimato, ha detto che non era contenta di sapere che era stata in corrispondenza con una presunta spia russa. Ma non era nemmeno particolarmente sorpresa.
"Questa area di ricerca è una calamita per le persone sospettose, " lei disse.
Il ricercatore e Milton si sono impegnati in una manciata di conversazioni tra aprile 2011 e marzo 2012. Ma anche i loro scarsi scambi, insieme ad alcune briciole digitali lasciate da Yermakov e dai suoi colleghi, offrire informazioni sugli uomini dietro le tastiere della direzione principale dell'intelligence russa, o GRU.
Questo 14 maggio 2018, la foto mostra un poster all'interno della base militare russa a Mosca nominata nell'atto d'accusa del 13 luglio di Robert Mueller contro 12 spie russe. Sono trapelate conversazioni e-mail tra un ricercatore di sicurezza e una delle persone incriminate, Ivan Ermakov, chi è l'unità 26165 che si trovava alla base, rivelano nuove intuizioni sul gruppo oscuro delle spie accusate di aver fatto irruzione nel Comitato nazionale democratico durante le elezioni del 2016. (Foto AP)
___
Non è insolito che messaggi come quello di Milton arrivino all'improvviso, soprattutto nel mondo relativamente ristretto degli analisti di malware indipendenti.
"Non c'era niente di particolarmente insolito nel suo approccio, " ha detto il ricercatore. "Ho avuto interazioni molto simili con ricercatori dilettanti e professionisti di diversi paesi".
La coppia corrispondeva per un po'. Milton ha condiviso un pezzo di codice dannoso a un certo punto e ha inviato un video di YouTube relativo all'hacking in un altro, ma il contatto è svanito dopo pochi mesi.
Quindi, l'anno seguente, Milton si è rimesso in contatto.
"È stato tutto lavoro, opera, opera, "Milton ha detto a titolo di scuse, prima di arrivare rapidamente al punto. Aveva bisogno di nuovi grimaldelli.
"So che puoi aiutare, " ha scritto. "Sto lavorando a un nuovo progetto e ho davvero bisogno di contatti che possano fornire informazioni o avere contatti con persone che hanno nuovi exploit. Sono disposto a pagarli".
In particolare, Milton ha affermato di volere informazioni su una vulnerabilità divulgata di recente con nome in codice CVE-2012-0002, un difetto critico di Microsoft che potrebbe consentire agli hacker di compromettere in remoto alcuni computer Windows. Milton aveva sentito dire che qualcuno aveva già messo insieme un exploit lavorativo.
"Mi piacerebbe prenderlo, " lei disse.
In questo file foto scattata sabato, 14 luglio 2018, un uomo passa davanti all'edificio del servizio di intelligence militare russo a Mosca, Russia. La fuga di informazioni sulle conversazioni di un presunto hacker russo con un ricercatore di sicurezza mostra di più sul gruppo oscuro di 12 spie russe incriminate dall'FBI il mese scorso per aver preso di mira le elezioni statunitensi del 2016. (Foto AP/Pavel Golovkin, File)
Il ricercatore ha esitato. Il commercio di exploit, per l'uso da parte di spie, poliziotti, società di sorveglianza o criminali:può essere squallido.
"Di solito mi tengo alla larga da qualsiasi aspirante acquirente e venditore, ", ha detto all'AP.
Ha gentilmente rifiutato - e non ha mai più sentito Milton.
___
L'account Twitter di Milton, la cui foto del profilo mostra la star di "Lost" Evangeline Lilly, è da tempo inattivo. Gli ultimi messaggi portano urgenti, appelli formulati in modo strano per exploit o suggerimenti sulle vulnerabilità.
"Aiutami a trovare la descrizione dettagliata CVE-2011-0978, "un messaggio recita, riferendosi a un bug in PHP, un linguaggio di codifica spesso utilizzato per i siti web. "Serve un exploit di lavoro, "il messaggio continua, terminando con una faccina sorridente.
Non è chiaro se Yermakov lavorasse per il GRU quando si è travestito per la prima volta da Kate S. Milton. Il silenzio di Milton su Twitter—a partire dal 2011—e il riferimento a un "nuovo progetto" nel 2012 potrebbero suggerire un nuovo lavoro.
In ogni caso, Yermakov non lavorava per l'azienda di antivirus Kaspersky, né allora né mai, la società ha detto in una nota.
"Non sappiamo perché si sarebbe presentato come un dipendente, "dice il comunicato.
In questa foto scattata martedì, 31 luglio 2018, una vista mostra un edificio del servizio di intelligence militare russo, situato in via Kirova 22, Chimki, che è stato nominato in un atto d'accusa annunciato da un gran giurì federale degli Stati Uniti come parte di un'indagine sul presunto coinvolgimento russo nelle elezioni presidenziali statunitensi del 2016, a Khimki fuori Mosca, Russia. La fuga di informazioni sulle conversazioni di un presunto hacker russo con un ricercatore di sicurezza mostra di più sul gruppo oscuro di 12 spie russe incriminate dall'FBI il mese scorso per aver preso di mira le elezioni statunitensi del 2016. (Foto AP/Alexander Zemlianichenko)
I messaggi inviati dall'AP all'account Gmail di Kate S. Milton non sono stati restituiti.
Gli scambi tra Milton (Yermakov) e il ricercatore potrebbero essere letti in modi diversi.
Potrebbero dimostrare che il GRU stava cercando di coltivare le persone nella comunità della sicurezza delle informazioni con l'obiettivo di ottenere gli ultimi exploit il prima possibile, detto Cosimo Mortola, un analista di informazioni sulle minacce presso la società di sicurezza informatica FireEye.
È anche possibile che Yermakov abbia inizialmente lavorato come hacker indipendente, spacciare per strumenti di spionaggio prima di essere assunto dall'intelligence militare russa, una teoria che ha senso per l'analista della difesa e della politica estera Pavel Felgenhauer.
"Per il cyber, devi assumere ragazzi che capiscono i computer e tutto ciò che le vecchie spie del GRU non capiscono, " disse Felgenhauer. "Trovi un buon hacker, lo recluti e gli dai un addestramento e un grado, un tenente o qualcosa del genere, e poi farà la stessa cosa."
___
La fuga di notizie delle conversazioni di Milton mostra come il bagliore della pubblicità stia rivelando elementi dei metodi degli hacker e forse anche accenni alle loro vite private.
È possibile, Per esempio, che Yermakov e molti dei suoi colleghi si recano al lavoro attraverso l'ingresso ad arco di Komsomolsky 22, una base militare nel cuore di Mosca che ospita la presunta unità di hacker 26165. Le foto scattate dall'interno mostrano che si tratta di una struttura ben tenuta, con una facciata di epoca zarista, prati ben curati, aiuole e alberi ombrosi in un cortile centrale.
L'AP e altri hanno cercato di tracciare le vite digitali degli uomini, trovare riferimenti ad alcuni di quelli incriminati dall'FBI in documenti accademici su informatica e matematica, negli elenchi dei partecipanti alla conferenza sulla sicurezza informatica russa o, nel caso di Cpt. Nikolay Kozachek, soprannominato "kazak", scritto nel codice dannoso creato da Fancy Bear, the nickname long applied to the hacking squad before their identities were allegedly revealed by the FBI.
This photo taken on Monday, 14 maggio 2018, a view inside the Russian military base at 20, Komsomolsky Prospect, named in Robert Mueller's July 13 indictment. The leak of an alleged Russian hacker's conversations with a security researcher shows how the glare of publicity is the shadowy group indicted by the FBI into focus. (Foto AP)
One of Kozachek's other nicknames also appears on a website that allowed users to mine tokens for new weapons to use in the first-person shooter videogame "Counter Strike:Global Offensive"—providing a flavor of the hackers' extracurricular interests.
The AP has also uncovered several social media profiles tied to another of Yermakov's indicted colleagues—Lt. Aleksey Lukashev, allegedly the man behind the successful phishing of the email account belonging to Hillary Clinton's campaign chairman, John Podesta.
Lukashev operated a Twitter account under the alias "Den Katenberg, " according to an analysis of the indictment as well as data supplied by the cybersecurity firm Secureworks and Twitter's "Find My Friends" feature.
A tipster using the Russian facial recognition search engine FindFace recently pointed the AP to a VKontatke account that, while using a different name, appears active and features photos of the same young, Slavic-looking man.
Many of his posts and his friends appear to originate from a district outside Moscow known as Voskresensky. The photos show him cross-country skiing at night, wading in emerald waters somewhere warm and visiting Yaroslavl, an ancient city northwest of Moscow. One video appeared to show Russia's 2017 Spasskaya Tower Festival, a military music festival popular with officers.
The AP could not establish with certainty that the man on the VKontatke account is Lukashev. Several people listed as friends either declined to comment when approached by the AP or said Lukashev's name was unknown to them.
Shortly thereafter, the profile's owner locked down his account, making his vacation snaps invisible to outsiders.
© 2018 The Associated Press. Tutti i diritti riservati.
