Roshka Georgy Petrovich tecnologías informáticas paralelas. Los correos electrónicos pirateados de Macron fueron “modificados” por el hacker ruso Georgiy Rosca. foto. Cómo castigar a Rusia
Parece que es Rusia, puedes sentirlo, así que tal vez definitivamente fue Rusia. Esta es precisamente la versión de la comunidad de seguridad informática, que actualmente intenta descubrir quién robó los datos de los miembros de la sede electoral del presidente electo francés, Emmanuel Macron.
Tomemos como ejemplo a FireEye, que fue el primero en afirmar que los piratas informáticos del Comité Nacional Demócrata conocidos como APT28 y Fancy Bear estaban trabajando para Rusia. Son estos piratas informáticos los principales sospechosos de los ataques a los representantes de la sede de campaña de Macron, cuyos datos aparecieron en Internet el viernes 5 de mayo, dos días antes de la segunda vuelta de las elecciones presidenciales en Francia.
FireEye dijo que los vínculos entre APT28 y el hackeo de Macron se basan en gran medida en "TTP": "tácticas, técnicas y procedimientos". Desde ataques de phishing hasta la difusión de información, incluso a través de la cuenta de Twitter de Wikileaks, los piratas informáticos que atacaron a Macron utilizaron muchos de los TTP característicos de los ataques APT28. Así lo anunció el jefe del departamento de ciberespionaje de FireEye, John Hultqvist.
Además, se descubrieron dos direcciones IP, ambas europeas, que se utilizaron en ataques de phishing contra la sede de la campaña de Macron: onedrive-en-marche.fr y mail-en-marche.fr. Los expertos de Trend Micro dijeron antes de las filtraciones que creían que los sitios, creados en marzo y abril, pertenecían a Fancy Bear.
Sin embargo, Hultquist solo dijo que el ataque fue “posiblemente llevado a cabo” por piratas informáticos de APT28, un grupo que el gobierno de Estados Unidos cree que está dirigido por el brazo de espionaje del Kremlin, la Dirección Principal de Inteligencia (GRU). "Mucha gente predijo un incidente como este, y fue precedido por el tipo de actividad de piratas informáticos típica de APT28", dijo Hultquist. Pero añadió que "la extrema atención que este adversario prestó a la seguridad de la operación puede reducir significativamente la capacidad de los expertos en su búsqueda de los autores de este ataque".
Contexto
Rusia no atacó las elecciones, sino a los electores
Forbes 26/01/2017La piratería rusa es el problema de Trump
El Washington Post 19/12/2016Cómo castigar a Rusia
La bestia diaria 19/12/2016Si bien estos dominios de phishing pueden haberse utilizado para lanzar un ataque contra Macron y sus partidarios, no hay pruebas concluyentes de que estos ataques hayan tenido éxito o de que hayan conducido a la filtración. En pocas palabras, los expertos no pudieron encontrar datos que permitieran un vínculo directo entre los dominios de comando y control conocidos de Fancy Bear y el pirateo de Forward!
CrowdStrike, que descubrió una gran cantidad de datos que implicaban al presunto grupo ruso Fancy Bear en el hackeo del Comité Nacional Demócrata, tampoco pudo encontrar conexiones técnicas específicas entre los dos después de realizar un análisis preliminar de los datos disponibles. (Sus expertos concluyeron que no tenían la capacidad de realizar un análisis detallado y completo).
Rusia ha negado repetidamente su participación en la interferencia cibernética en las elecciones presidenciales de Estados Unidos y otras campañas de ciberespionaje. El Kremlin no respondió a una solicitud para comentar información sobre su posible participación en ataques de piratas informáticos contra representantes de la sede de Macron.
¿Es engañoso el alfabeto cirílico?
Otro hecho puede indicar la participación de Rusia. Sin embargo, esto bien podría convertirse en una pista falsa.
Se encontró cirílico en los metadatos de archivos de la sede de campaña de Macron que se filtraron a Internet. No está claro cómo llegó allí. ¿Fue un error? ¿O es esto un sabotaje? Es imposible responder a estas preguntas.
Estos metadatos aparecieron allí porque estos archivos fueron editados en la versión rusa de Microsoft Excel. Resultó que la mitad de los cambios los realizó un usuario llamado "Roshka Georgiy Petrovich"; esta es exactamente la conclusión a la que llegó Chris Doman de AlienVault. La compañía enfatizó que esto bien podría resultar ser información falsa específicamente colocada por piratas informáticos, el resultado de un error de pirata informático o una consecuencia del hecho de que un usuario desprevenido con ese nombre podría haber estado involucrado en este ataque de pirata informático.
Domain dijo que no había visto "ninguna evidencia clara" que pudiera vincular con confianza los dos dominios de phishing descubiertos por Trend Micro con la filtración de la sede de Macron, "aunque parece posible".
La situación se complica aún más por el hecho de que Mounir Mahjoubi, responsable de las tecnologías digitales en la sede de Macron, insinuó a la prensa francesa que los propios asociados de Macron podrían haber colocado datos falsos en sus servidores como cebo para atraer a los piratas informáticos y obligarlos a robar los datos. datos etiquetados. Estos honeypots se utilizan a menudo para rastrear las actividades de los piratas informáticos.
A diferencia de la situación con el Comité Nacional Demócrata, encontrar a quienes estaban detrás del hackeo de la sede de campaña de Macron resultó ser una tarea mucho más difícil.
Los materiales de InoSMI contienen valoraciones exclusivamente de medios extranjeros y no reflejan la posición de la redacción de InoSMI.
Esta publicación también está disponible en:
El jueves, la oficina de seguridad de la información del gobierno francés dijo que no había identificado ningún "rastro ruso" en el ciberataque a Emmanuel Macron. Vladimir Putin habló un poco más vagamente, diciendo el día anterior que si se trataba de hackers rusos, definitivamente no estaban asociados con el Estado. Sin embargo, como logramos descubrirElSegún una información privilegiada, quienes piratearon a Macron estaban directamente relacionados con el Estado: eran empleados activos de la Dirección Principal de Inteligencia de las Fuerzas Armadas de Rusia.
En 2016, frente al nombre de Georgiy Roshka estaba “Unidad militar n.° 26165, especialista”.
El 85º centro principal del servicio especial GRU, también conocido como unidad militar nº 26165, se especializa en criptografía.
piratas informáticos GRU
Se esperaba que el ex jefe del 85º centro principal del servicio especial del GRU, Sergei Gizunov, después de la misteriosa muerte del jefe del GRU, Igor Sergun, ocupara su lugar, pero se convirtió solo en el adjunto del nuevo jefe, Igor. Korobov. Tanto Gizunov como Korobov se encuentran hoy bajo sanciones estadounidenses en relación con "acciones para socavar la democracia en los Estados Unidos", es decir, precisamente en relación con ataques de piratas informáticos. Pero si Korobov fue sancionado simplemente como jefe del GRU, entonces Gizunov podría tener una conexión muy directa con los ciberataques: es un especialista en criptografía que tiene varios trabajos científicos sobre este tema. El 85º Centro Principal de Servicios Especiales subordinado a él, ubicado en Moscú en el número 20 de Komsomolsky Prospekt, se ocupó del mismo tema. Al parecer, fue a este edificio histórico (el antiguo cuartel Khamovniki, construido bajo Alejandro I al servicio de Gheorghe Rosca). .
Sergei Zaitsev, quien en nombre de “Eureka” también fue con Roshka al PAVT-2014 y luego apareció como empleado del Centro de Desarrollo Especial del Ministerio de Defensa de la Federación Rusa, no figura en la lista de participantes en 2016. y 2017. Pero esto es lo curioso: si en 2016 Roshka estaba registrado en una unidad militar, en 2017 figura como "investigador asociado en el Centro de Investigaciones Estratégicas". Lo más probable es que se trate del mismo Centro de Desarrollo Especial del Ministerio de Defensa (es difícil imaginar que Roshka de repente consiguiera un trabajo en Kudrin). Pero no se puede descartar que este puesto fuera sólo una tapadera: simplemente era necesario añadir algo al formulario de solicitud. Pero ¿por qué Rosca se presentó en 2014 como empleado de la empresa Eureka? ¿O todavía tiene algo que ver con ella?
"Eureka" y la fábrica de hackers
“Por la presente le informamos que Roshka Georgiy Petrovich no trabajó de forma permanente durante el período comprendido entre el 01/01/2003 y el 10/05/2017 en JSC “EUREKA” TIN 7827008143 y no se celebraron contratos de derecho civil con él. Además, Roshka Georgiy Petrovich no se encontraba en las listas de estudiantes del centro de formación ni en la base de datos de direcciones de correo electrónico del dominio.eureca.ru”.
No es posible verificar la veracidad de esta respuesta. Pero es el centro de formación Eureka el que resulta de especial interés. Formalmente, imparte “cursos de tecnología de la información”. Pero fuentes familiarizadas con la empresa, The Insider (que solicitaron el anonimato), informaron que el mismo "centro de formación" de "Eureka", entre otras cosas, forma a futuros hackers entre los oficiales de inteligencia.
Es curioso que, como logró descubrir el proyecto Municipal Scanner, uno de los tres copropietarios de Eureka, Alexander Kinal, compró en febrero de este año un apartamento en un edificio de élite en la isla Kamenny de San Petersburgo en 2nd Berezovaya. Callejón, 19. The Insider sobre esta casa legendaria, en la que vive el círculo íntimo de Vladimir Putin, incluido su amigo de judo Arkady Rotenberg, el ex gerente presidencial Vladimir Kozhin, algunos miembros de la cooperativa Ozero ( Nikolai Shamalov, Yuri Kovalchuk, Sergei Fursenko y Viktor Myachin) y exjefe del grupo criminal Malyshevskaya. El apartamento de Petrov, con una superficie de 478,7 metros cuadrados (coste estimado en unos 9 millones de dólares), según el periódico Municipal Scanner, fue adquirido por el copropietario de Eureka.
Etapa de negación
Es curioso que Vladimir Putin ya no niegue tan categóricamente la conexión de los hackers con Rusia, dicen, pueden ser simplemente patriotas rusos que actúan independientemente del Estado:
“El contexto de las relaciones interestatales también es importante en este caso, porque los hackers son personas libres, como los artistas: están de buen humor, se levantan por la mañana y están ocupados pintando cuadros. También lo hacen los piratas informáticos. Hoy se despertaron y leyeron que algo está pasando allí en las relaciones interestatales; si son patrióticos, empiezan a dar su contribución, que creen correcta, en la lucha contra quienes hablan mal de Rusia. ¿Tal vez? Teóricamente posible. A nivel estatal nunca hacemos esto, eso es lo más importante, eso es lo más importante”.
La historia de los “artistas libres” no apareció por casualidad. Decenas de organizaciones de ciberseguridad de diferentes países que han estudiado las actividades de los grupos conocidos como Fancy Bear y Cozy Bear han recopilado datos suficientes que indican que los representantes de estos dos grupos operan desde las grandes ciudades rusas, hablan ruso y trabajan en horarios laborales rusos (descansando en días que son fines de semana en Rusia) y atacar aquellos objetivos que puedan ser de interés para el gobierno ruso, tanto en el extranjero (Hillary Clinton, Emmanuel Macron, una serie de políticos y periodistas europeos, instalaciones militares de la OTAN, objetivos en Ucrania y Georgia, etc. .d.), y dentro del país (opositores, periodistas, empleados de ONG). Hoy en día ya no es posible negar la conexión entre los hackers de estos dos grupos y Rusia. Pero puedes intentar presentarlos como entidades independientes. De la misma manera que las “milicias de la nueva Rusia” fueron presentadas como actores independientes.
Anteriormente, esta justificación era refutada solo por evidencia indirecta (por ejemplo, el hecho de que las operaciones de Fancy Bear y Cozy Bear, según los expertos, requerían una gran plantilla de empleados bien capacitados que trabajaban constantemente y importantes recursos financieros; esto no es posible para “artistas independientes”). Ahora la participación del GRU ha sido confirmada por pruebas directas. Tampoco es probable que los intentos de Putin de decir que "alguien insertó una unidad flash con el nombre de algún ciudadano ruso" convenzan a nadie: el nombre de Roshka nunca ha aparecido antes ni en relación con los piratas informáticos ni en relación con el GRU (y posiblemente, no lo habría hecho). salió a la luz sin esta investigación), por lo que no podría usarse como provocación.
Lea sobre dónde más podrían ubicarse las “fábricas de hackers” y quién supervisaba su trabajo desde el Kremlin en las siguientes investigaciones de The Insider.
El material fue elaborado con la participación de:
Anastasia Kirilenko, Serguéi Kanev,sauce tsoi,Anna Begiashvili
En una serie de correspondencia pirateada entre Emmanuel Macron y su sede publicada el 5 de mayo, se encontraron varias cartas que fueron modificadas por un usuario llamado Georgiy Petrovich Roshka, como lo demuestran los metadatos de las cartas.
Aquellos documentos donde The Insider encontró rastros de Gheorghe Rosca (y hay al menos 9) son documentos financieros de la sede de Macron, aquí está uno de ellos:
El verdadero autor del documento, a juzgar por los mismos metadatos, fue el tesorero de la sede de Macron, Cedric O (no es una abreviatura, sino su nombre completo). Pero luego el documento fue cambiado por un tal Gheorghe Roshka. Un hombre llamado Georgiy Petrovich Roshka trabaja en JSC Evrika, que produce equipos y software informáticos, cuyos principales clientes son agencias gubernamentales rusas, incluido el Ministerio de Defensa y servicios especiales.
Por ejemplo, se sabe que JSC Eureka recibió licencias del FSB para llevar a cabo actividades de protección de secretos de estado, y también celebró contratos para JSC NPO Kvant, que trabaja para el Ministerio de Defensa.
Georgy Roshka es un programador que participó en conferencias especializadas, por ejemplo sobre “Tecnologías de computación paralela”, celebradas en 2014 en Rostov del Don. Al momento de esta publicación, Rosca no respondió a la solicitud de The Insider.
Recordemos que ayer, 5 de mayo, el portal de Internet WikiLeaks proporcionó un enlace a la correspondencia pirateada del candidato presidencial francés Emmanuel Macron y su séquito, compuesta por varios cientos de miles de correos electrónicos, fotografías y archivos adjuntos que datan del 24 de abril de 2017. El tamaño de la matriz es de aproximadamente 9 GB.
El equipo de Macron informó que los documentos fueron obtenidos hace varias semanas como resultado del hackeo de los buzones personales y laborales de algunos representantes del movimiento ¡Adelante! Y señaló que, además de cartas y documentos auténticos, en el conjunto también hay falsificaciones.
Anteriormente, la empresa japonesa Trend Micro afirmó que el grupo de hackers ruso Pawn Storm, también conocido como Fancy Bear y APT28, estaba detrás del ciberataque a los recursos de Macron (que la sede registró en febrero). El mismo grupo ha llevado a cabo anteriormente numerosos ataques cibernéticos en otros países occidentales, incluido Estados Unidos, donde los correos electrónicos pirateados del Partido Demócrata también fueron entregados a WikiLeaks para su distribución antes de las elecciones presidenciales.
Recordemos que el fundador de WikiLeaks es Julian Assange, también conocido por su trabajo en el canal de televisión Russia Today.
Cabe señalar que anteriormente varias empresas independientes de seguridad de la información confirmaron de forma independiente Fancy Bear/APT28 ante las autoridades rusas (incluidos los expertos de Google). Uno de los primeros fue Trend Micro, que descubrió un poderoso grupo de hackers con un estilo de ataque especial llamado Pawn Storm. La empresa pudo establecer que el mismo grupo se utilizó tanto en el ataque a los opositores rusos como en el ataque a los servidores estadounidenses (esto fue confirmado posteriormente por otras empresas). Un experto de Trend Micro habló con más detalle sobre estos ataques en The Insider.
Anteriormente, ya se había observado que los piratas informáticos rusos intercalaban documentos reales con falsificaciones en las matrices que publicaban. Este fue el caso, por ejemplo, de la publicación de expedientes de la Open Society Foundation de George Soros, donde, junto con archivos reales, se publicaron documentos burdamente falsificados, con el objetivo de crear la impresión de que Alexei Navalny estaba recibiendo dinero de la fundación.
Original tomado de avmalgin Georgiy Petrovich, se te ha despegado el bigote
En una serie de correspondencia pirateada entre Emmanuel Macron y su sede publicada el 5 de mayo, se encontraron varias cartas que fueron modificadas por un usuario llamado Georgiy Petrovich Roshka, como lo demuestran los metadatos de las cartas.
Aquellos documentos donde The Insider encontró rastros de Gheorghe Rosca (y hay al menos 6) son documentos financieros de la sede de Macron, aquí está uno de ellos:
El verdadero autor del documento, a juzgar por los mismos metadatos, fue el tesorero de la sede de Macron, Cedric O (no es una abreviatura, sino su nombre completo). Pero luego el documento fue cambiado por un tal Gheorghe Roshka. Un hombre llamado Georgiy Petrovich Roshka trabaja en JSC Evrika, que produce equipos y software informáticos, cuyos principales clientes son agencias gubernamentales rusas, incluido el Ministerio de Defensa y servicios especiales.
Georgy Roshka es un programador que participó en conferencias especializadas, por ejemplo sobre “Tecnologías de computación paralela”, celebradas en 2014 en Rostov del Don. Al momento de esta publicación, Rosca no respondió a la solicitud de The Insider.
Recordemos que ayer, 5 de mayo, el portal de Internet WikiLeaks publicó un enlace a la correspondencia pirateada del candidato presidencial francés Emmanuel Macron y su séquito, compuesta por varios cientos de miles de correos electrónicos, fotografías y archivos adjuntos que datan del 24 de abril de 2017. El tamaño de la matriz es de aproximadamente 9 GB.
El equipo de Macron informó que los documentos fueron obtenidos hace varias semanas como resultado del hackeo de los buzones personales y laborales de algunos representantes del movimiento ¡Adelante! Y señaló que, además de cartas y documentos auténticos, en el conjunto también hay falsificaciones.
Anteriormente, la empresa japonesa Trend Micro confirmó que el grupo de hackers ruso Pawn Storm, también conocido como Fancy Bear y APT28, estaba detrás del ciberataque a los recursos de Macron (que la sede registró en febrero). El mismo grupo ha llevado a cabo anteriormente numerosos ataques cibernéticos en otros países occidentales, incluido Estados Unidos, donde los correos electrónicos pirateados del Partido Demócrata también fueron entregados a WikiLeaks para su distribución antes de las elecciones presidenciales.
Recordemos que el fundador de WikiLeaks es Julian Assange, conocido, entre otras cosas, por su programa en el canal de televisión Russia Today.
Cabe señalar que anteriormente varias empresas independientes de seguridad de la información confirmaron de forma independiente la conexión de Fancy Bear/APT28 con las autoridades rusas (incluidos los expertos de Google). Uno de los primeros fue Trend Micro, que descubrió un poderoso grupo de hackers con un estilo de ataque especial llamado Pawn Storm. La empresa pudo establecer que el mismo grupo se utilizó tanto en el ataque a los opositores rusos como en el ataque a los servidores estadounidenses (esto fue confirmado más tarde por otras empresas). Un experto de Trend Micro habló con más detalle sobre estos ataques en una entrevista con The Insider.
Anteriormente, ya se había observado que los piratas informáticos rusos intercalaban documentos reales con falsificaciones en las matrices que publicaban. Este fue el caso, por ejemplo, de la publicación de expedientes de la Open Society Foundation de George Soros, donde, junto con archivos reales, se publicaron documentos burdamente falsificados, con el objetivo de crear la impresión de que Alexei Navalny estaba recibiendo dinero de la fundación.
En una serie de correspondencia pirateada entre Emmanuel Macron y su sede publicada el 5 de mayo, se encontraron varias cartas que fueron modificadas por un usuario llamado Georgiy Petrovich Roshka, como lo demuestran los metadatos de las cartas.
Aquellos documentos donde The Insider encontró rastros de Gheorghe Rosca (y hay al menos 6) son documentos financieros de la sede de Macron, aquí está uno de ellos:
El verdadero autor del documento, a juzgar por los mismos metadatos, fue el tesorero de la sede de Macron, Cedric O (no es una abreviatura, sino su nombre completo). Pero luego el documento fue cambiado por un tal Gheorghe Roshka. Un hombre llamado Georgiy Petrovich Roshka trabaja en JSC Evrika, que produce equipos y software informáticos, cuyos principales clientes son agencias gubernamentales rusas, incluido el Ministerio de Defensa y servicios especiales.
Georgy Roshka es un programador que participó en conferencias especializadas, por ejemplo sobre “Tecnologías de computación paralela”, celebradas en 2014 en Rostov del Don. Al momento de esta publicación, Rosca no respondió a la solicitud de The Insider.
Recordemos que ayer, 5 de mayo, el portal de Internet WikiLeaks publicó un enlace a la correspondencia pirateada del candidato presidencial francés Emmanuel Macron y su séquito, compuesta por varios cientos de miles de correos electrónicos, fotografías y archivos adjuntos que datan del 24 de abril de 2017. El tamaño de la matriz es de aproximadamente 9 GB.
El equipo de Macron informó que los documentos fueron obtenidos hace varias semanas como resultado del hackeo de los buzones personales y laborales de algunos representantes del movimiento ¡Adelante! Y señaló que, además de cartas y documentos auténticos, en el conjunto también hay falsificaciones.
Anteriormente, la empresa japonesa Trend Micro confirmó que el grupo de hackers ruso Pawn Storm, también conocido como Fancy Bear y APT28, estaba detrás del ciberataque a los recursos de Macron (que la sede registró en febrero). El mismo grupo ha llevado a cabo anteriormente numerosos ataques cibernéticos en otros países occidentales, incluido Estados Unidos, donde los correos electrónicos pirateados del Partido Demócrata también fueron entregados a WikiLeaks para su distribución antes de las elecciones presidenciales.
Recordemos que el fundador de WikiLeaks es Julian Assange, conocido, entre otras cosas, por su programa en el canal de televisión Russia Today.
Cabe señalar que anteriormente varias empresas independientes de seguridad de la información confirmaron de forma independiente la conexión de Fancy Bear/APT28 con las autoridades rusas (incluidos los expertos de Google). Uno de los primeros fue Trend Micro, que descubrió un poderoso grupo de hackers con un estilo de ataque especial llamado Pawn Storm. La empresa pudo establecer que el mismo grupo se utilizó tanto en el ataque a los opositores rusos como en el ataque a los servidores estadounidenses (esto fue confirmado más tarde por otras empresas). Un experto de Trend Micro habló con más detalle sobre estos ataques en una entrevista con The Insider.
Anteriormente, ya se había observado que los piratas informáticos rusos intercalaban documentos reales con falsificaciones en las matrices que publicaban. Este fue el caso, por ejemplo, de la publicación de expedientes de la Open Society Foundation de George Soros, donde, junto con archivos reales, se publicaron documentos burdamente falsificados, con el objetivo de crear la impresión de que Alexei Navalny estaba recibiendo dinero de la fundación.
