Este Martes, 31 de Julio, La foto de 2018 muestra la entrada del edificio del servicio de inteligencia militar ruso, nombrado en la acusación formal de Robert Mueller el 13 de julio, como hogar de la Unidad GRU 26165 en Moscú, Rusia. La filtración de las conversaciones de un presunto pirata informático ruso con un investigador de seguridad muestra más sobre el oscuro grupo de 12 espías rusos acusados por el FBI el mes pasado de apuntar a las elecciones estadounidenses de 2016. (Foto AP / Alexander Zemlianichenko)
Hace seis años, un investigador de ciberseguridad de habla rusa recibió un correo electrónico no solicitado de Kate S. Milton.
Milton afirmó trabajar para la firma antivirus Kaspersky, con sede en Moscú. En un intercambio que comenzó en un inglés entrecortado y rápidamente cambió al ruso, Milton dijo que estaba impresionada por el trabajo del investigador sobre exploits (las ganzúas digitales utilizadas por los piratas informáticos para entrar en sistemas vulnerables) y quería que la copiaran en cualquier nuevo que encontrara el investigador.
"Casi siempre tienes todos los exploits de alto nivel, "Milton dijo, después de felicitar a la investigadora por una publicación en su sitio web, donde a menudo diseccionaba software malicioso.
"Para que nuestro contacto no sea unilateral, Te ofrecería mi ayuda analizando virus maliciosos, y a medida que obtenga nuevas muestras, las compartiré "Milton continuó." ¿Qué piensas? "
La investigadora, que trabaja como ingeniera de seguridad y dirige el sitio de intercambio de malware de forma paralela, siempre tuvo una idea bastante clara de que Milton no era quien decía ser. El mes pasado, obtuvo la confirmación a través de una acusación del FBI.
La acusación hecho público el 13 de julio, levantó la tapa sobre la operación de piratería rusa que tenía como objetivo las elecciones presidenciales de EE. UU. de 2016. Identificó a "Kate S. Milton" como un alias del oficial de inteligencia militar Ivan Yermakov, uno de los 12 espías rusos acusados de irrumpir en el Comité Nacional Demócrata y publicar sus correos electrónicos en un intento de influir en las elecciones de 2016.
El investigador, quien dio sus intercambios con Milton a The Associated Press bajo condición de anonimato, dijo que no le agradaba enterarse de que había mantenido correspondencia con un presunto espía ruso. Pero ella tampoco estaba particularmente sorprendida.
"Esta área de investigación es un imán para las personas sospechosas, " ella dijo.
El investigador y Milton mantuvieron algunas conversaciones entre abril de 2011 y marzo de 2012. Pero incluso sus escasos intercambios, junto con algunas migas de pan digitales que dejaron Yermakov y sus colegas, ofrecer información sobre los hombres detrás de los teclados en la Dirección Principal de Inteligencia de Rusia, o GRU.
Este 14 de mayo 2018, La foto muestra un cartel dentro de la base militar rusa en Moscú nombrada en la acusación de Robert Mueller del 13 de julio contra 12 espías rusos. Filtrado de conversaciones por correo electrónico entre un investigador de seguridad y una de las personas en la acusación, Ivan Yermakov, cuya Unidad 26165 estaba ubicada en la base, revelan nuevos conocimientos sobre el oscuro grupo de espías acusados de irrumpir en el Comité Nacional Demócrata durante las elecciones de 2016. (Foto AP)
___
No es inusual que mensajes como el de Milton lleguen de la nada, especialmente en el mundo relativamente pequeño de los analistas de malware independientes.
"No hubo nada particularmente inusual en su enfoque, ", dijo el investigador." Tuve interacciones muy similares con investigadores aficionados y profesionales de diferentes países ".
La pareja mantuvo correspondencia durante un tiempo. Milton compartió un código malicioso en un momento y envió un video de YouTube relacionado con la piratería en otro, pero el contacto se esfumó después de unos meses.
Luego, el año siguiente, Milton volvió a ponerse en contacto.
"Todo ha sido trabajo, trabaja, trabaja, "Milton dijo a modo de disculpa, antes de llegar rápidamente al grano. Necesitaba ganzúas nuevas.
"Sé que puedes ayudar, ", escribió." Estoy trabajando en un nuevo proyecto y realmente necesito contactos que puedan proporcionar información o tener contactos con personas que tienen nuevos exploits ". Estoy dispuesto a pagar por ellos ".
En particular, Milton dijo que quería información sobre una vulnerabilidad recientemente revelada con nombre en código CVE-2012-0002, una falla crítica de Microsoft que podría permitir a los piratas informáticos comprometer de forma remota algunas computadoras con Windows. Milton había oído que alguien ya había improvisado una proeza funcional.
"Me gustaría conseguirlo, " ella dijo.
En esta foto de archivo tomada el sábado, 14 de julio 2018, un hombre pasa junto al edificio del servicio de inteligencia militar ruso en Moscú, Rusia. La filtración de las conversaciones de un presunto pirata informático ruso con un investigador de seguridad muestra más sobre el oscuro grupo de 12 espías rusos acusados por el FBI el mes pasado de apuntar a las elecciones estadounidenses de 2016. (Foto AP / Pavel Golovkin, Expediente)
El investigador objetó. El comercio de hazañas, para uso de espías, policías empresas de vigilancia o delincuentes:puede ser un asunto de mala muerte.
"Por lo general, me mantengo alejado de los aspirantes a compradores y vendedores, ", le dijo a la AP.
Ella declinó cortésmente, y nunca más supo de Milton.
___
La cuenta de Twitter de Milton, cuya foto de perfil muestra a la estrella de "Lost" Evangeline Lilly, ha estado inactiva durante mucho tiempo. Los últimos mensajes llevan urgente, Apelaciones redactadas de forma incómoda para exploits o consejos sobre vulnerabilidades.
"Ayúdame a encontrar una descripción detallada CVE-2011-0978, "dice un mensaje, refiriéndose a un error en PHP, un lenguaje de codificación que se usa a menudo para sitios web. "Necesito un exploit de trabajo, "continúa el mensaje, terminando con una cara sonriente.
No está claro si Yermakov estaba trabajando para el GRU cuando se hizo pasar por Kate S. Milton. El silencio de Milton en Twitter, a partir de 2011, y la referencia a un "nuevo proyecto" en 2012 podrían insinuar un nuevo trabajo.
En todo caso, Yermakov no trabajaba para la empresa antivirus Kaspersky, ni entonces ni nunca, dijo la compañía en un comunicado.
"No sabemos por qué supuestamente se presentó como empleado, "decía el comunicado.
En esta foto tomada el martes, 31 de Julio, 2018, una vista muestra un edificio del servicio de inteligencia militar ruso, ubicado en 22 Kirova Street, Khimki, que fue nombrado en una acusación formal anunciada por un gran jurado federal de EE. UU. como parte de una investigación sobre la presunta participación rusa en las elecciones presidenciales de EE. UU. de 2016, en Khimki fuera de Moscú, Rusia. La filtración de las conversaciones de un presunto pirata informático ruso con un investigador de seguridad muestra más sobre el oscuro grupo de 12 espías rusos acusados por el FBI el mes pasado de apuntar a las elecciones estadounidenses de 2016. (Foto AP / Alexander Zemlianichenko)
Los mensajes enviados por AP a la cuenta de Gmail de Kate S. Milton no fueron devueltos.
Los intercambios entre Milton (Yermakov) y el investigador podrían leerse de diferentes formas.
Podrían mostrar que GRU estaba tratando de cultivar a las personas en la comunidad de seguridad de la información con miras a obtener los últimos exploits lo antes posible, dijo Cosimo Mortola, analista de inteligencia de amenazas en la empresa de ciberseguridad FireEye.
También es posible que Yermakov haya trabajado inicialmente como un hacker independiente, buscando herramientas de espionaje antes de ser contratado por la inteligencia militar rusa, una teoría que tiene sentido para el analista de defensa y política exterior Pavel Felgenhauer.
"Para ciber, tienes que contratar chicos que entiendan de informática y todo lo que los viejos espías del GRU no entienden, ", Dijo Felgenhauer." Encuentra un buen hacker, lo reclutas y le das algo de entrenamiento y un rango, un teniente o algo así, y luego él hará lo mismo ".
___
La filtración de las conversaciones de Milton muestra cómo el resplandor de la publicidad está revelando elementos de los métodos de los piratas informáticos, y tal vez incluso pistas sobre sus vidas privadas.
Es posible, por ejemplo, que Yermakov y muchos de sus colegas viajan al trabajo a través de la entrada arqueada a Komsomolsky 22, una base militar en el corazón de Moscú que sirve como hogar de la Unidad 26165 del presunto hacker. Las fotos tomadas desde el interior muestran que es una instalación bien cuidada. con fachada de época zarista, céspedes bien cuidados, macizos de flores y árboles a la sombra en un patio central.
La AP y otros han intentado rastrear la vida digital de los hombres, encontrar referencias a algunos de los acusados por el FBI en artículos académicos sobre informática y matemáticas, en las listas de asistentes a la conferencia rusa sobre ciberseguridad o, en el caso de Cpt. Nikolay Kozachek, apodado "kazak":escrito en el código malicioso creado por Fancy Bear, el apodo que se aplicó durante mucho tiempo al escuadrón de piratería antes de que el FBI supuestamente revelara sus identidades.
Esta foto tomada el lunes, 14 de mayo, 2018, una vista dentro de la base militar rusa a las 20, Perspectiva Komsomolsky, nombrado en la acusación formal de Robert Mueller el 13 de julio. The leak of an alleged Russian hacker's conversations with a security researcher shows how the glare of publicity is the shadowy group indicted by the FBI into focus. (AP Photo)
One of Kozachek's other nicknames also appears on a website that allowed users to mine tokens for new weapons to use in the first-person shooter videogame "Counter Strike:Global Offensive"—providing a flavor of the hackers' extracurricular interests.
The AP has also uncovered several social media profiles tied to another of Yermakov's indicted colleagues—Lt. Aleksey Lukashev, allegedly the man behind the successful phishing of the email account belonging to Hillary Clinton's campaign chairman, John Podesta.
Lukashev operated a Twitter account under the alias "Den Katenberg, " according to an analysis of the indictment as well as data supplied by the cybersecurity firm Secureworks and Twitter's "Find My Friends" feature.
A tipster using the Russian facial recognition search engine FindFace recently pointed the AP to a VKontatke account that, while using a different name, appears active and features photos of the same young, Slavic-looking man.
Many of his posts and his friends appear to originate from a district outside Moscow known as Voskresensky. The photos show him cross-country skiing at night, wading in emerald waters somewhere warm and visiting Yaroslavl, an ancient city northwest of Moscow. One video appeared to show Russia's 2017 Spasskaya Tower Festival, a military music festival popular with officers.
The AP could not establish with certainty that the man on the VKontatke account is Lukashev. Several people listed as friends either declined to comment when approached by the AP or said Lukashev's name was unknown to them.
Shortly thereafter, the profile's owner locked down his account, making his vacation snaps invisible to outsiders.
© 2018 The Associated Press. Reservados todos los derechos.
