Essa terça-feira, 31 de julho Foto de 2018 mostra a entrada do prédio do serviço de inteligência militar russo, nomeado na acusação de 13 de julho de Robert Mueller, como sede da Unidade GRU 26165 em Moscou, Rússia. O vazamento das conversas de um suposto hacker russo com um pesquisador de segurança mostra mais sobre o sombrio grupo de 12 espiões russos indiciados pelo FBI no mês passado por terem como alvo as eleições de 2016 nos EUA. (AP Photo / Alexander Zemlianichenko)
Seis anos atrás, um pesquisador de cibersegurança que fala russo recebeu um e-mail não solicitado de Kate S. Milton.
Milton afirmava trabalhar para a empresa antivírus Kaspersky, com sede em Moscou. Em uma troca que começou com o inglês hesitante e rapidamente mudou para o russo, Milton disse que ficou impressionada com o trabalho do pesquisador em exploits - as chaves de bloqueio digitais usadas por hackers para invadir sistemas vulneráveis - e queria ser copiado em todos os novos que o pesquisador encontrasse.
"Quase sempre você tem todas as façanhas de ponta, "Milton disse, depois de elogiar o pesquisador por uma postagem em seu site, onde ela frequentemente dissecava softwares maliciosos.
"Para que nosso contato não seja unilateral, Eu ofereceria minha ajuda para analisar vírus maliciosos, e à medida que obtenho novas amostras irei compartilhar, "Milton continuou." O que você acha?
O pesquisador - que trabalha como engenheiro de segurança e administra o site de compartilhamento de malware paralelamente - sempre teve uma boa ideia de que Milton não era quem ela dizia ser. Mês passado, ela obteve a confirmação por meio de uma acusação do FBI.
A acusação, tornado público em 13 de julho, levantou a tampa sobre a operação de hacking russa que tinha como alvo a eleição presidencial de 2016 nos EUA. Ele identificou "Kate S. Milton" como um pseudônimo para o oficial de inteligência militar Ivan Yermakov, um dos 12 espiões russos acusados de invadir o Comitê Nacional Democrata e publicar seus e-mails na tentativa de influenciar as eleições de 2016.
O pesquisador, que deu seus intercâmbios com Milton para a Associated Press sob condição de anonimato, disse que não ficou satisfeita em saber que estivera se correspondendo com um suposto espião russo. Mas ela também não estava particularmente surpresa.
"Esta área de pesquisa é um ímã para pessoas suspeitas, " ela disse.
O pesquisador e Milton se envolveram em um punhado de conversas entre abril de 2011 e março de 2012. Mas mesmo em suas trocas esparsas, junto com algumas migalhas de pão digitais deixadas por Yermakov e seus colegas, oferecem informações sobre os homens por trás dos teclados na Diretoria Principal de Inteligência da Rússia, ou GRU.
Em 14 de maio, 2018, A foto mostra um pôster dentro da base militar russa em Moscou mencionado na acusação de 13 de julho de Robert Mueller contra 12 espiões russos. Vazamento de conversas por e-mail entre um pesquisador de segurança e uma das pessoas na acusação, Ivan Yermakov, cuja Unidade 26165 estava localizada na base, revelam novas percepções sobre o obscuro grupo de espiões acusados de invadir o Comitê Nacional Democrata durante as eleições de 2016. (Foto AP)
___
Não é incomum que mensagens como a de Milton surjam do nada, especialmente no mundo relativamente pequeno de analistas de malware independentes.
"Não havia nada particularmente incomum em sua abordagem, "disse o pesquisador." Tive interações muito semelhantes com pesquisadores amadores e profissionais de diferentes países. "
O par se correspondeu por um tempo. Milton compartilhou um código malicioso em um ponto e enviou um vídeo do YouTube relacionado a hackers em outro, mas o contato acabou depois de alguns meses.
Então, O ano seguinte, Milton voltou a entrar em contato.
"Tem sido tudo trabalho, trabalhar, trabalhar, "Milton disse a título de desculpas, antes de ir direto ao ponto. Ela precisava de novas chaves de fechadura.
"Eu sei que voce pode ajudar, "ela escreveu." Estou trabalhando em um novo projeto e realmente preciso de contatos que possam fornecer informações ou ter contatos com pessoas que têm novos exploits. Estou disposto a pagar por eles. "
Em particular, Milton disse que queria informações sobre uma vulnerabilidade recentemente divulgada com o codinome CVE-2012-0002 - uma falha crítica da Microsoft que pode permitir que hackers comprometam remotamente alguns computadores Windows. Milton tinha ouvido falar que alguém já havia arquitetado uma façanha de trabalho.
"Eu gostaria de conseguir, " ela disse.
Nesta foto de arquivo tirada no sábado, 14 de julho 2018, um homem passa pelo prédio do serviço de inteligência militar russo em Moscou, Rússia. O vazamento das conversas de um suposto hacker russo com um pesquisador de segurança mostra mais sobre o sombrio grupo de 12 espiões russos indiciados pelo FBI no mês passado por terem como alvo as eleições de 2016 nos EUA. (AP Photo / Pavel Golovkin, Arquivo)
O pesquisador objetou. O comércio de façanhas - para uso por espiões, policiais, empresas de vigilância ou criminosos - pode ser um problema.
"Eu geralmente fico longe de quaisquer compradores e vendedores aspirantes, "disse ela à AP.
Ela recusou educadamente - e nunca mais ouviu falar de Milton.
___
A conta de Milton no Twitter - cuja foto de perfil apresenta a estrela de "Lost", Evangeline Lilly - está adormecida há muito tempo. As últimas mensagens trazem urgência, apelos formulados de maneira inadequada para explorações ou dicas sobre vulnerabilidades.
"Ajude-me a encontrar a descrição detalhada CVE-2011-0978, "uma mensagem diz, referindo-se a um bug no PHP, uma linguagem de codificação frequentemente usada para sites. "Precisa de um exploit de trabalho, "a mensagem continua, terminando com um rosto sorridente.
Não está claro se Yermakov estava trabalhando para o GRU quando se disfarçou pela primeira vez como Kate S. Milton. O silêncio de Milton no Twitter - começando em 2011 - e a referência a um "novo projeto" em 2012 podem sugerir um novo emprego.
Em todo o caso, Yermakov não estava trabalhando para a empresa de antivírus Kaspersky - nem naquela época, nem nunca, a empresa disse em um comunicado.
"Não sabemos por que ele supostamente se apresentou como funcionário, "disse o comunicado.
Nesta foto tirada na terça-feira, 31 de julho 2018, uma vista mostra um edifício do serviço de inteligência militar russo, localizado na Rua Kirova 22, Khimki, que foi citado em uma acusação anunciada por um grande júri federal dos EUA como parte de uma investigação sobre o suposto envolvimento da Rússia na eleição presidencial dos EUA de 2016, em Khimki fora de Moscou, Rússia. O vazamento das conversas de um suposto hacker russo com um pesquisador de segurança mostra mais sobre o sombrio grupo de 12 espiões russos indiciados pelo FBI no mês passado por terem como alvo as eleições de 2016 nos EUA. (AP Photo / Alexander Zemlianichenko)
As mensagens enviadas pelo AP para a conta do Gmail de Kate S. Milton não foram retornadas.
As trocas entre Milton (Yermakov) e o pesquisador podem ser lidas de maneiras diferentes.
Eles podem mostrar que a GRU estava tentando cultivar pessoas na comunidade de segurança da informação com o objetivo de obter os exploits mais recentes o mais rápido possível, disse Cosimo Mortola, um analista de inteligência de ameaças na empresa de segurança cibernética FireEye.
Também é possível que Yermakov possa ter trabalhado inicialmente como um hacker independente, lutando por ferramentas de espionagem antes de ser contratado pela inteligência militar russa - uma teoria que faz sentido para o analista de defesa e política externa Pavel Felgenhauer.
"Para cibernético, você tem que contratar meninos que entendam de computadores e tudo o que os velhos espiões da GRU não entendem, "Felgenhauer disse." Você encontra um bom hacker, você o recruta e lhe dá algum treinamento e uma patente - um tenente ou algo assim - e então ele fará a mesma coisa. "
___
O vazamento das conversas de Milton mostra como o brilho da publicidade está revelando elementos dos métodos dos hackers - e talvez até dicas sobre suas vidas privadas.
É possível, por exemplo, que Yermakov e muitos de seus colegas se deslocam para o trabalho pela entrada em arco de Komsomolsky 22, uma base militar no coração de Moscou que serve de residência para a Unidade 26165 do suposto hacker. Fotos tiradas de dentro mostram que é uma instalação bem mantida, com uma fachada da era czarista, gramados bem cuidados, canteiros de flores e árvores frondosas em um pátio central.
A AP e outros tentaram rastrear a vida digital dos homens, encontrar referências a alguns dos indiciados pelo FBI em trabalhos acadêmicos sobre computação e matemática, nas listas de participantes da conferência de cibersegurança russa ou - no caso do Cpt. Nikolay Kozachek, apelidado de "kazak", escrito no código malicioso criado pelo Fancy Bear, o apelido muito aplicado ao esquadrão de hackers antes que suas identidades fossem supostamente reveladas pelo FBI.
This photo taken on Monday, May 14, 2018, a view inside the Russian military base at 20, Komsomolsky Prospect, named in Robert Mueller's July 13 indictment. The leak of an alleged Russian hacker's conversations with a security researcher shows how the glare of publicity is the shadowy group indicted by the FBI into focus. (Foto AP)
One of Kozachek's other nicknames also appears on a website that allowed users to mine tokens for new weapons to use in the first-person shooter videogame "Counter Strike:Global Offensive"—providing a flavor of the hackers' extracurricular interests.
The AP has also uncovered several social media profiles tied to another of Yermakov's indicted colleagues—Lt. Aleksey Lukashev, allegedly the man behind the successful phishing of the email account belonging to Hillary Clinton's campaign chairman, John Podesta.
Lukashev operated a Twitter account under the alias "Den Katenberg, " according to an analysis of the indictment as well as data supplied by the cybersecurity firm Secureworks and Twitter's "Find My Friends" feature.
A tipster using the Russian facial recognition search engine FindFace recently pointed the AP to a VKontatke account that, while using a different name, appears active and features photos of the same young, Slavic-looking man.
Many of his posts and his friends appear to originate from a district outside Moscow known as Voskresensky. The photos show him cross-country skiing at night, wading in emerald waters somewhere warm and visiting Yaroslavl, an ancient city northwest of Moscow. One video appeared to show Russia's 2017 Spasskaya Tower Festival, a military music festival popular with officers.
The AP could not establish with certainty that the man on the VKontatke account is Lukashev. Several people listed as friends either declined to comment when approached by the AP or said Lukashev's name was unknown to them.
Shortly thereafter, the profile's owner locked down his account, making his vacation snaps invisible to outsiders.
© 2018 Associated Press. Todos os direitos reservados.
