フランスの大統領選挙の1日半前に、ハッカーはフランスの大統領候補の1人であるエマニュエルマクロンのキャンペーン本部のメールボックスから約9 GBのドキュメントをオンラインで投稿しました 。 ご存知のように、最終的に、このリークは選挙の結果に影響を与えませんでした。ロシアが嫌悪するヨーロッパ統合の支持者であるマクロンは、依然として大きなマージンで勝ちました。 彼は1つを除くすべての国でフランス国民の投票に勝った。 はい、そして公開されたファイルの中に興味深いものは見つかりませんでした-これは普通の文書の完全に退屈な選択であり、スキャンダラスではありません。
理由の1つは、今回は誰もが将来の攻撃に備えていたからだと思われます。 「彼らにとって、ロシア人は急いで少し乱雑だった」 と ニューヨーク・タイムズ は書いている 。 「彼らは証拠の痕跡を残しました。これはロシア政府の仕事を証明するには十分ではありませんが、大規模な情報戦争作戦を明確に示しています。」
2017年5月9日火曜日の上院軍事委員会での聴聞会で、NSAのマイケルロジャース提督は、彼の機関が攻撃の兆候を事前に検出したことを証言し、フランスの同僚に助けを提供しました。 しかし、誰もアメリカ人の助けを必要としませんでした、フランス人自身は準備ができていました。 彼らは何が起こっているのかを見ました。
以前、いくつかの情報セキュリティ企業の専門家は、ハッカーの活動はサイバースパイを専門とする有名なロシアのグループAPT28(ファンシーベア)の行動を示していると述べました。 APT28グループは、公式のEn Marcheサーバーの名前に類似した多くのドメイン名を登録しています! (マクロン政党)。 その中にはonedrive-en-marche.frとmail-en-marche.frがあります。 これらのドメインは、フィッシングメールの標的メール送信や、En Marcheメールサーバーをハッキングするための資格情報を取得できるコンピューターへのマルウェアのインストールに使用できます。
エンマルシェの従業員! 2016年12月からフィッシングメールの受信を開始しました。 キャンペーンテクノロジーディレクターのMounir Mahjoubi氏は、「高品質」であり、対処された従業員の本名を含めました。
しかし、本部はさらに早く攻撃の準備を始めました。 ロシアのハッカーの高い専門的レベルを理解し、スタッフから誰かのハッキングが成功したことを認めることができました。 彼らはハッキングされる可能性があることを理解しており、それに対してできることは何もありませんでした。 米国民主党全国委員会の歴史は有益な例となっています。 もちろん、最低限のセキュリティレベルがあり、誰もハッキングを予想していませんでした。アメリカ民主党は、ハッカーの活動に関するFBIの警告を数ヶ月無視しましたが、セキュリティ対策を強化しても情報漏えいを防ぐことはできません。 エンマルケの本部のコンピューター科学者! (デジタルチームは18人で構成され、その多くはビデオの準備に関与していました)、別の戦術、つまり反撃を使用することにしました。 「100%の保護を保証することはできませんでした。したがって、私たちは自分に尋ねました。何ができるのでしょうか?」 その結果、多くの銀行や企業が機密情報の漏洩を防ぐために積極的に使用しているトラップ(chanotypes)を使用した古典的な戦略を適用することが決定されました。
一番下の行は、偽の(および実際の)文書を詰め込んだ一連の偽の偽メールボックスを作成することです。 エンマルケの本部で! そのようなメールボックスは大量に作成され、特にロシア側の関心を引くと思われる文書で特別に埋められました。 したがって、攻撃者はアクセスした各メールボックスの信頼性を検証する必要がありました。 「彼らを止めたとは思わない。 速度を落としただけです」とマジョビは示唆しています。 「たとえ彼らが少なくとも1分間失ったとしても、私たちは喜んでいるでしょう。」
ハッカーは本当に急がなければならなかったようです。 ダンプからのファイルの1つでは、Excelテーブルが最後に開かれたコンピューターのユーザーの名前を示すメタデータを消去する時間すらありませんでした。 これは、「統合情報セキュリティシステムの開発」と情報技術分野の専門家のトレーニングに従事している会社「Evrika」の専門家です。 定期的な顧客の中には、ロシア連邦外務省、ロシア連邦の国家麻薬取締局、ロシア連邦の口座商工会議所などがあります。 CJSC Evrikaには、州の秘密を保護する活動を実施するためのライセンスがあります。 メタデータの障害はすでに深刻な障害です。 サービスの種類ごとに指定された従業員には、ライセンスソフトウェアが必要です。
急いで、クラッカーは偽の妥協で穴を開けました。 たとえば、ドキュメントの1つは、キャンペーン本部の従業員による麻薬メフェドロンのビットコインの購入を示していますが、指定された住所は公共取引チェーンにありません。
同時に、フランス人は金曜日のダンプに実際のキャンペーン本部のファイルがあることを認めました。 これらのファイルのリークにもかかわらず、今では攻撃はアメリカのような結果をもたらさず、被害者の評価の低下につながりませんでした。 再利用しても同じトリックはそれほど効果的ではないようです。 次回は何か新しいことを考え出す必要があります。 スマートフォンやPCにRATをインストールして、個人的な性質のオーディオとビデオを記録することもあります。
FireEyeのサイバーインテリジェンス部門のディレクターであるJohn Hultquist氏は、この失敗により、APT28が攻撃の実施方法を完全に変更することを余儀なくされる可能性があると考えています。