Favoritten blev hacket kort før målstregen: Men snød efterretningstjenesten de russiske spionhackere?

APTFilter CERT-LatestNews Malware Security News SocialEngineering ThreatsActivists ThreatsCybercrime ThreatsEconomic ThreatsStrategic VulnerabilitiesAll VulnerabilitiesHardware

09. maj. 2017 kl. 19.43

– Vi er blevet udsat for et massivt hackerangreb!

Kort før midnat fredag aften smed den franske præsidentkandidat Emmanuel Macron en regulær politisk bombe under 48 timer inden, at de franske valgsteder lukkede.

– Filerne, der cirkulerer rundt, blev taget for flere uger siden, efter at mail-indbakker fra adskillige partiansatte blev hacket, lød det i en pressemeddelelse fra Macrons kampagnestab.

De etablerede franske nyhedsmedier nåede at publicere den første nyhedsartikel om hackerangrebet, men herefter var der larmende tavshed. Den franske valglov forbyder nemlig medier at omtale hændelser, der kan påvirke valgresultatet dagen op til valget, og indtil valgstederne lukker. Ligeledes udsendte den franske valgkommission en utvetydig advarsel.

– Det kan være ulovligt at publicere og omtale lækkede dokumenter, lød det fra myndighederne.

Det er med sikkerhed styret af Moskva. Lækket er en signifikant eskalering i forhold til de tidligere russiske operationer for eksempel mod det amerikanske præsidentvalg.

Vitali kremez fra it-firmaet flashpoint

Men hvor franske medier ikke gik ned i materien i sagen, gik debatten lystigt på de sociale medier, hvor indholdet i lækket, der omfattede tusindvis af dokumenter, blev døbt #Macronleaks.

Historien var også højt på dagsordenen hos internationale medier over hele verden. Flere medier talte med anerkendte cybersikkerhedseksperter, som hurtigt havde konklusionen klar. Alt peger på, at Rusland står bag.

Samme modus operandi set før

Peter Kruse, der er ekspert i cybersikkerhed hos firmaet CSIS Security Group, har fulgt sagen tæt. Han fortæller, at det tyder på, at hackergruppen APT 28, der også er kendt under navnet Fancy Bear, står bag.

Hackergruppen, som menes at arbejde for den russiske spiontjeneste GRU, er mistænkt for at stå bag flere spektakulære hackerangreb mod Vesten.

Mest markant var angrebet mod Demokraternes Partikonvent (DNC) kort inden det amerikanske valg, og senest har det danske Center for Cybersikkerhed under Forsvarets Efterretningstjeneste skrevet, at det er ‘meget sandsynligt’, at gruppen har udført et hackerangreb mod Forsvaret.

Det kan være ulovligt at publicere og omtale lækkede dokumenter.

FRankrigs valgkommission

Men hvorfor peger pilen endnu en gang på Fancy Bear?

– For et par måneder siden kom der en advarsel ud fra flere sikkerhedsfirmaer, hvor man advarede om, at Fancy Bear havde opkøbt domæner. De gjorde nøjagtigt det samme, som man så forud for phishing-angrebet mod det danske forsvar. Det er en modus operandi, som vi har set flere gange før, siger cybersikkerhedsekspert Peter Kruse.

Det New York-baserede sikkerhedsfirma Flashpoint var blandt de firmaer, der oplevede, at Fancy Bear rørte på sig forrige måned. Og her er man ikke i tvivl om, at det var russerne, der stod bag angrebet på den franske valgkamp.

– Det er med sikkerhed styret af Moskva. Lækket er en signifikant eskalering i forhold til de tidligere russiske operationer for eksempel mod det amerikanske præsidentvalg. Vi har tidligere set simpel spionage, men nu ser vi et mere direkte angreb, hvis formål er at rykke resultatet, siger researchchef Vitali Kremez til The Guardian.

De amerikanske myndigheder har tidligere meldt ud, at de formoder, at præsident Putin har sanktioneret hackerangreb mod Vesten. (Foto: PAVEL GOLOVKIN / POOL © Scanpix)

Spredt via propagandaprofil

Macron-lækket blev først publiceret på hjemmesiden 4chan, hvor brugerne er anonyme, og derfor kan det ikke spores, hvem der lagde det op.

Der er ingen hemmeligheder i dokumenterne. Du vil finde jokes, du vil finde titusinder af fakturaer fra leverandører. Og du vil finde hundrede af udvekslinger af strategier.

Mounir Mahjoubi, chef på Macron-kampganen

Efterfølgende blev det delt på Twitter, og her er man stødt på en gammel kending, fortæller Peter Kruse fra CSIS Security Group.

– Vi ved, at manden bag profilen, der først lagde link til dokumenter op, er kendt for at sprede russisk propaganda. Han har i øvrigt også været efterforsket af FBI i forbindelse med Hillary Clinton-lækagen. Det er endnu en ting, som peger på, at der har været russisk involvering, siger han.

Personen er også kendt som en stor Trump-tilhænger og har flere gange notorisk benægtet, at den russiske partitop har sanktioneret et eneste hackerangreb mod USA og andre vestlige nationer.

Så sent som i sidste uge sagde Hillary Clinton, at hun er sikker på, at russiske hackerangreb kostede hende sejren i præsidentvalget, (Foto: Brendan MCDermid © Scanpix)

Plantede den franske efterretningstjeneste falske beviser?

Hvis formodninger om, at russerne står bag, og at deres formål var at svække Macrons kampagne, må man sige, at de fejlede med et brag.

Emmanuel Macron vandt nemlig en knusende sejr over Marine Le Pen fra det højrenationalistiske Front National med lige under to ud af tre af stemmerne.

Det på trods af, at hashtagget Macronleaks gik viralt på Twitter, og at flere brugere mente, at materialet indeholdt kompromitterende materiale.

Men i kølvandet på resultatet spekuleres der fra flere sider i, om Macron-lejren og den franske efterretningstjeneste havde plantet falske oplysninger i kampagnens database.

Det er en modus operandi, som vi har set flere gange før.

Cybersikkerhedsekspert peter kruse

Spekulationerne bygger blandt andet på, at Emmanuel Macron kendte til hackertruslen. Ligeledes oplyste kampagnen i slutningen af april, at de tilbage i januar var blevet udsat for flere mislykkede forsøg på hacking.

– Der tales om, at den franske efterretningsvæsen har været inde at plante noget, som åbenlyst har været forkert. Det skulle i så fald have svinget lækagen over til Macrons fordel og få lækagen til at fremstå utroværdig, siger Peter Kruse, der specifikt nævner, at ét dokument viser, at Macron skulle have købt narko over nettet med bitcoins.

Er det en metode, man har set før for at svække troværdigheden af hackede dokumenter?

Nej, og det er utrolig snedigt og raffineret, hvis det er tilfældet. Det er noget, man kan overveje fremadrettet, for man kan nemt lægge falske oplysninger ud, hvis man observerer en mistænkelig aktivitet, siger Peter Kruse.

Macron-lejren har ikke bekræftet, at der var plantet falsk materiale i dokumenterne, men har afvist, at det indeholder kompromitterende materiale.

– Der er ingen hemmeligheder i dokumenterne. Du vil finde jokes, du vil finde titusinder af fakturarer fra leverandører. Og du vil finde hundrede af udvekslinger af strategier. Faktisk alt det, som gør det til en kampagne, siger Mounir Mahjoubi, der er chef for Macrons digitale team, til Radio France.

Rusland har ikke reageret på beskyldningerne om, at de står bag Macron Leaks, men har tidligere benægtet lignende hackerbeskyldninger.

Kilder: The Guardian, New York Times, AFP, Radio France, Twitter og den franske valgkommission.

Hvis du vil læse mere om hackergruppen Fancy Bear, har dr.dk tidligere lavet disse portrætter:.

http://www.dr.dk/nyheder/udland/valgifrankrig/favoritten-blev-hacket-kort-foer-maalstregen-men-snoed

Tagged