Имейл със заразен линк отворен на компютър на сътрудник от щаба на Еманюел Макрон е най-вероятният вектор на атаката, довела до източването на 9 гигабайта данни (15 GB след декомпресия) от четири пощи на сътрудници на Макрон, както и на архивни файлове от OneDrive. Почеркът е същият като при източването на имейлите на американските демократи, които изтекоха в Wikileaks и бяха използвани от феновете на Тръмп, за да дискредитират Хилари Клинтън. В случая обаче Wikileaks няма връзка с теча, а парадоксално раздуха… руска връзка, открита по-рано от Биволъ.
#MacronLeaks: name of employee for Russian govt security contractor Evrika appears 9 times in metadata for "xls_cendric.rar" leak archive pic.twitter.com/jyhlmldlbL
— WikiLeaks (@wikileaks) May 6, 2017
От Wikileaks дори изразиха учудване, че освен тях и Биволъ няма други медийни организации, които да проучват произхода и автентичността на изтеклите данни.
Why are WikiLeaks and Bivol the only media organizations analyzing the provenance of #MacronLeaks? Does no-one else have tech competence?
— WikiLeaks (@wikileaks) May 7, 2017
Информацията, че щабът на Макрон е бил обект на атаки от свързани с Русия хакерски групи Pawn Storm и Fancy Bear беше публикувана още на 25.04.2017 от Daily Beast. Изданието цитира специалист по сигурността, който описва използваните методи за фишинг и се хвали, че те са засечени от киберохраната на Еманюел Макрон и дори е предприета контраатака. Но фишинг атаката изглежда все пак е успяла. Това се потвърждава както изявлението на щаба на Макрон, така и от започналото вчера разследване на френската прокуратура и френската киберполиция BEFTI. Защо разследването е започнало чак след като течът е станал факт, а не още при засичането на хакерската активност, остава загадка.
Закъснял тайминг
Данните, откраднати от мейлове на сътрудници на Макрон, а вероятно и от облачния архив OneDrive, бяха публикувани в американския форум 4chan в последните часове преди деня на размисъл във Франция. От щаба на Макрон веднага съобщиха, че са жертва на хакерска атака, а френският ЦИК припомни в специално съобщение до медиите, че до неделя вечер е забранено да отразяват всякакви новини свързани с политическата кампания и такива, които могат да навредят или да са в полза на някой от кандидатите.
Хората, които стоят зад лийка са знаели за тези разпоредби и явно не са разчитали на масивно медийно отразяване на компрометиращи данни, а на слухове и инсинуации позоваващи се на лийка. За оставащите няколко часа до отварянето на избирателните секции не е възможно да бъдат прочетени, анализирани и проверени за автентичност съобщенията в обемните пощенски кутии, съдържащи гигабайти информация. Този факт, плюс медийното затъмнение дават възможност за развихряне на фалшиви новини, които няма как да бъдат отразени и опровергани с прецизна проверка на фактите. Последващата хиперактивност около хаштага #MacronLeaks лансиран от активист на американската крайна десница потвърждава тази хипотеза.
La cartographie animée temporaire et rapide de #MacronLeaks sans les explications pic.twitter.com/aGrW86KEoh
— Nicolas Vanderbiest (@Nico_VanderB) May 5, 2017
Активистът на име Jack Posobiec разпространяваше също така много активно документите от предишната кибератака срещу Макрон, изтекли в 4chan малко преди кандидат-президентския дебат между Марин Льо Пен и Еманюел Макрон. Във файлове, които се оказаха фалшифицирани, се инсинуира, че Макрон има тайна сметка на Кайманските острови.
Има обаче и друг признак, че кампанията за фалшиви новини в социалните мреци е желаният сценарий от авторите на MacronLeaks. В лийка се откриват
Насочващи данни за фалшиви новини
под формата на подбрани файлове, оформени в три отделни папки извън съдържанието на електронната поща.
В първата от тези папки озаглавена Macron_201705 има договор за застраховка сключен между Allianz и Еманюел Макрон в случай, че не премине бариерата от 5 процента, за да получи субсидия. Приложен е суифт превод за застрахователната премия. В това няма нищо скандално, но антимакронските тролове веднага разпространиха в социалните мрежи суифт превода, представяйки го като съмнителна парична транзакция.
https://twitter.com/JackPosobiec/status/860584992702910464
Втората папка на име Gemplus съдържа вътрешни документи датирани от 2001-2002 г. на фирма-производител на решения за смарт-карти. Собственост в тази фирма Gemplus има скандалният бизнесмен и оръжеен посредник Зиад Такедин, замесен в аферата с предполагаемото либийско финансиране на кампанията на Никола Саркози. Част от документите са за голям договор между няколко френски оръжейни предприятия и Саудитска Арабия за нова система за граничен контрол. Всичко това няма абсолютно нищо общо с Макрон. Но данните бяха раздухани от троловете в Twitter като “доказателство”, че Макрон има тайни финансови отношения със Саудитска Арабия и Саркози.
Retweeted Sarah Abdallah (@sahouraxo):#MacronLeaks show secret ties between Macron, Sarkozy and Saudi Arabia…. https://t.co/GZ0gAfPWpr
— Anton Ironbark (@swordofgnosis) May 7, 2017
Третата папка е най-интересна. Тя съдържа 26 файла с номерация от 11 до 32, в които има финансови отчети, бюджети и бизнес планове за политическата кампания на Макрон. Само по себе си в съдържанието им няма нищо скандално, но те също се разпространяват от троловете с акцент върху заплатите в щаба на Макрон, както и разходите за пипълметрия.
#MacronLeaks De sacrées différences de salaires dans l'équipe de campagne pic.twitter.com/iBkZPtbqCv
— Nicolas JUHEL ⭐⭐ (@NicolasJuhel) May 6, 2017
Точно в тези файлове обаче се получи издънка с разкритата
Руска връзка
която изобщо не устройва сценария на тролската кампания, даже напротив. Най-напред внимателни наблюдатели от Generation Nouvelle Republique откриха в екселските файлове метаданни на руски.
Les Hackers Russes au rabais et fachosphere ANTI FRANCE du #FN nullissimes. Merci pour la signature. #MacronLeaks #MacronGate @MLP_officiel pic.twitter.com/WT1ZyNC595
— GNR #TouchesPasAMaFrance #PasdeGiletPasdeBannon (@GNR311) May 5, 2017
В девет от файловете личи името на Георгий Петрович Рошка, като това беше установено първо от Биволъ.
Hello, Roshka Georgiy Petrovich 🙂 pic.twitter.com/fBaklSN7V5
— Bivol (@BivolBg) May 6, 2017
Стъпвайки на публикацията на Биволъ в Twitter, руското издание The Insider публикува блиц-проучване от което излиза, че лице със същото име е служител на руската IT компания Еврика, която има договори с руски държавни институции. По-късно Wikileaks потвърди тези данни и публикува информацията, че Еврика има лиценз за работа с класифицирана информация от ФСБ.
Russian press article on ЭВРИКА when company obtained an FSB security certificate to protect state secrets. https://t.co/OGjbMW9UXX
— WikiLeaks (@wikileaks) May 6, 2017
Произходът на тези файлове не е твърде ясен, като е възможно те да идват от мейловете, или от архивите на партията на Макрон в OneDrive. Анализът на метаданните показва, че те са записани в интервал от 5 минути на 27.03.2017. Най-новите мейлове в архивите са от 24.04.2017, което означава, че дълго време хакерите са имали достъп до системата без да бъдат забелязани.
Метаданните в папката с бизнес информацията за кампанията на Макрон
Какво научаваме от деветте файла с подписа на Рошка?
- всичките съдържат таблици с бюджета за предстоящата кампания. В съдържанието пише, че става дума за Business Plan, но с различни версии и от различни дати;
- Всичките девет файла с подписа на Рошка имат дата на създаване 2016-05-05T16:46:06Z. Останалите 17 файла са с дата на създаване 2006-09-16T00:00:00Z;
- В мейла на ковчежника на кампанията на Макрон Cedric O (това е пълното му име) има 4 ексел файла с име, което започва с Business plan. Първият от тях датира от 05.03.2016, следва файл от 05.05.2016 и още два от по-късни дати – 16.05.2016 и 17.05.2016;
- Всички файлове в мейла на Cédric с име Business plan са криптирани;
- Съдържанието на четири файла подписани от Рошка сочи датата 27.03.2016, която е по-ранна от първите съобщения в мейла на Cédric, които се откриват в лийка;
- Останалите 17 файла в насочващата папка, които не са подписани от Рошка, също се откриват в мейла на Cédric O, но те не са криптирани.
Най-очевидният извод е, че Рошка е работил конкретно върху файловете, които съдържат бизнес плана на кампанията на Макрон. Твърде вероятен сценарий е, че файловете са отваряни на руска версия на MS Office, а при последвалото записване на диска под друго име са останали метатагове на руски и името на Рошка.
На този етап остават много въпроси, на които анализът на данните не може да даде отговор. Дали въпросният Рошка има отношение към разкриптирането на файловете, или ги е извлякъл от OneDrive? Дали името му е останало там по недоглеждане, или метаданните са специално въведени за насочване на вниманието? Отговори ще бъдат дадени от разследващите органи, които ще разполагат с оригиналите на откраднатата информация, както и с много повече възможности за анализ на произхода и тайминга на хакерската атака.
***
