Екипът „Хорхе“: Хакове, ботове и изнудване за манипулиране на изборите

Репортери под прикритие записаха група тайни специалисти по кибервлияние, докато представяха своите услуги. Те включват използване на кампании за дезинформация, фалшиво разузнаване, хакове и изнудване за насърчаване на интересите на клиентите им. Групата, която нарича себе си Team Jorge /Екип „Хорхе“/, твърди, че е работила по десетки президентски избори по света. Услугите й се продават за милиони долари.

Базираната в Израел тайна група използва напреднали хакерски технологии, както и инструмента AIMS за създаване на фалшиви акаунти и разпространение на фейк съдържание, включително чрез изкуствен интелект. Експертите на проекта „Убийци на истории“ /StoryKillers/ и българският партньор BIRD.BG откриха и българска връзка, която още се проучва.

Какво е известно до момента:

  • Репортерите успяха да проверят твърденията на Екипа „Хорхе“ за достъп до акаунти за съобщения на важни политически цели и разгръщането на кампании в социалните медии, организирани чрез фалшиви акаунти.
  • Екипът „Хорхе“ изглежда се е намесил в миналогодишните президентски избори в Кения, които бяха поразени от дезинформационна кампания..
  • Тайната група включва хора с опит в израелските служби за сигурност.

„Това е нашият опит… да навредим на логистиката на опонентите, да ги сплашим, да създадем такава атмосфера, че никой да не отиде на изборите“, каза член на Team Jorge  през юли 2022 г. във видеочат с репортерите.

Разследването под прикритие е дело на журналистите Гур Мегидо (TheMarker), Фредерик Метезо (Radio France) и Омер Бенякоб (Haaretz). Те са част от разследването, наречено Story Killers, координирано от Forbidden Stories и включващо повече от 100 журналисти от 30 медийни организации, включително OCCRP. Forbidden Stories е международен консорциум от разследващи журналисти, които преследват работата на журналисти, които са били убити или работят под заплаха. BIRD.BG е българският партньор в проекта.

15 милиона за президентска кампания

В няколко обаждания и една лична среща членовете на екипа –– водени от човек, наричащ себе си „Хорхе“ –– описаха услуги за „разузнаване и влияние“, които казаха, че могат да осигурят за своите клиенти. Те твърдят, че са работили по „33 кампании на президентско ниво“ – 27 от тях „успешни“.

Техните тактики включват хакване, фалшифициране на материали за изнудване, разпространение на дезинформация, внедряване на фалшива информация, физическо прекъсване на избори и разгръщане на целенасочени кампании в социалните медии.

Репортерите успяха да потвърдят, че някои от тези тактики са използвани. Екипът „Хорхе“ изглежда е получил неоторизиран достъп до Telegram и Gmail акаунти на високопоставени държавни служители и е разгърнал ботнет кампании в социалните медии. Доказателствата, прегледани от репортерите, сочат, че групата се е намесила в поне два президентски избора.

„Хорхе“ – Тан Ханан

Текущата цена за президентска кампания е била 15 милиона евро, информира „Хорхе“ репортерите под прикритие, които се представиха като посредници на бъдещ африкански клиент. За тази краткосрочна работа – само с два свободни месеца – екипът „Хорхе“ поиска минимум 6 милиона евро. На репортерите беше казано, че парите могат лесно да бъдат прехвърлени чрез скрити средства, вероятно с помощта на френска неправителствена организация, адвокатска кантора в Дубай или ислямски училища.

„Ние обичаме да сме зад кулисите и това е част от нашата сила – другата страна да не разбира, че съществуваме“, каза „Хорхе“.

Псевдонимът му е испанско име, което не отговаряше на акцента му. Това е част от легендата – опит да се прикрие самоличността и местоположението му. Екранът на работния плот на компютъра, който той използва в презентацията, прескача между часовите зони и показва емисия от трафик камера в Литва. Неговите номера за контакт обхващат целия свят: Индонезия, Украйна, САЩ и Израел.

Репортерите в крайна сметка откриха, че истинското му име е Тал Ханан, самоопределящ се експерт по борба с тероризма, който е цитиран в медиите като специалист по киберсигурност.

Ханан отрече каквото и да е нарушение, но не отговори на подробни въпроси.

Да хакнеш Кения

По време на една от записаните презентации по Zoom Тал Ханан показа екран с акаунт в Telegram и кликна върху контактите и личните чатове на кенийския политически съветник Денис Итумби.

Тази демонстрацият на живо се проведе в края на юли 2022 г., в критичен момент от кампанията за президентските избори в Кения. Итумби беше дигитален стратег на Уилям Руто, заместник-президент на източноафриканската нация по това време, който щеше да бъде избран за президент след седмици. Местните медии описват Итумби като „дясната ръка“ на Руто.

Ханан показа доказателство, че не само може да чете личните чатове и файлове на Итумби – включително вътрешно проучване, свързано с предстоящите избори – но че дори може да се представя като Итумби, като изпраща съобщения от акаунта си. Ханан започна разговор от акаунта на Итумби с виден кенийски бизнесмен и изпрати текст, който гласеше просто: „11“.

Това съобщение беше безсмислено, целта му беше само демонстрация на способността му да контролира акаунта. Но Екипът „Хорхе“ твърди, че е изпратил фалшифицирани съобщения до военни командири и правителствени министри, всичко това в опит да повлияе на събитията и да предизвика хаос сред цели на високо ниво.

„Обикновено ще изчакам той да го види и след това ще го изтрия. Защо? Защото искам да създам объркване“, каза Ханан. В случая с демонстрацията на Итумби Ханан случайно изтри текстовото съобщение само за подателя. Впоследствие репортерите имаха възможност да се свържат с бизнесмена, който го е получил, и да потвърдят, че загадъчното съобщение наистина е било изпратено.

Услугите на Екипът „Хорхе“ според Haaretz

Кенийските избори са само един от примерите. В свое разследване журналистите на Haaretz идентифицираха атаки срещу избори в Мексико, Еквадор, Нигерия и Каталуния, както и дезинформационни намеси на свързани с Екипа „Хорхе“ акаунти във Франция, Великобритания, Канада, Мароко, Монголия, Индонезия, Шри Ланка и други държави.

Пробив на комуникациите

„Знам, че в някои страни вярват, че Telegram е много безопасен“, каза Ханан в демонстрацията по Zoom. „И така, ето, ще ви покажа колко е безопасно… Значи това също е министър на някаква държава, мога да отида [и] мога да проверя всичките му обаждания.“

Ханан показа и акаунта в Gmail на министъра на земеделието на Мозамбик Селсо Корея, който потвърди пред репортери, че имейл адресът и съдържанието изглежда са негови. По време на презентацията бяха видими и папките от личния Google диск на министъра.

От решаващо значение за хакване на имейл акаунти и услуги за съобщения като Telegram е SS7 /Signaling System 7/*, международен стандартен „протокол“ за комуникации по мобилни телефони, който трябва да гарантира, че обаждане или SMS, изпратени от един потребител, се прехвърлят към правилния номер на предвидения получател. Въведен е през 80-те години на миналия век, в ранните дни на цифровата сигурност и криптиране, така че съдържа недостатъци, които могат да позволят на трети страни да се представят за конкретен потребител и да получават техните съобщения и обаждания.

Това е, което Ханан твърди, че неговият екип може да направи. Той каза на репортери под прикритие, че Екипът „Хорхе“ отива директно при доставчик на телекомуникационни услуги в страната, в която работят, и инсталира физическо устройство, което позволява на екипа му да вмъква фалшиви команди през SS7 в системата. Това подмамва телекомуникационния оператор да изпрати SMS за удостоверяване на фалшивия целеви акаунт, позволявайки на Екипът „Хорхе“ да чете съобщенията на своята цел и дори да изпраща съобщения.

Въпреки че вратичките са общоизвестни и повечето доставчици на телекомуникационни услуги са въвели контрамерки, някои оператори все още поддържат уязвими мрежи.

Нищо в Израел, нищо против г-н Путин и внимателно в САЩ

Екипът „Хорхе“ каза, че две трети от президентските кампании, в които са се намесили, са били в Африка, но рекламните им материали включват и страни в Европа, Латинска Америка, Югоизточна Азия и Карибите.

Братът на Ханан, Зохар, каза на среща през декември, че има само три задачи, които Екипът „Хорхе няма да поеме: Нищо в Израел („Не искаме да акаме там, където спим.“); никаква американска политика на партийно ниво (те твърдят, че са отхвърлили покана да помогнат при избирането на бившия президент на САЩ Доналд Тръмп); и „нищо против г-н Путин“.

Зохар Ханан, братът на Тал Ханан, известен също като „Ник“ в екипа „Хорхе“.

По време на демонстрации пред репортери под прикритие, Тал Ханан беше нетърпелив да покаже техническите инструменти, които екипът му използва, за да помогне на клиентите.

Той показа статия със заглавия от Нигерия, които описват атаки срещу телефонни линии на опозицията, като част от тяхното видео за продажби „Екип Хорхе представя: Разузнаване при поискване“. Тези атаки претоварват телефонната мрежа.

„Искаме някои хора да бъдат накарани да млъкнат, искаме някои хора да имат погрешна комуникация“, каза той по време на едно обаждане, в което нарече деня на изборите „ден D“. „Така че имаме капацитета в Деня D да обезвредим стотици телефони… конкретен началник на полицията или хора от армията, които не са в наша полза. Всички телефони ще спрат да работят.”

И Ханан твърди, че е използвал подобна тактика срещу компютърни мрежи.

„Можем да премахваме уебсайтове, всичко с IP, сървъри. Ако имат собствени сървъри, приложения, понякога две, три информационни агенции – можем да ги извадим от строя“, похвали се той.

Възможностите, описани от Ханан, приличат на „разпределен отказ на услуга“ или DDOS атаки. Тези атаки обикновено включват претоварване на системите на дадена цел, като ги заливат със заявки, принуждавайки ги да произвеждат отговор „отказ на услуга“ на законни заявки.

Той показа заглавия за подобно нападение по време на референдума през 2014 г. в Каталуния. Испанските следователи казаха на OCCRP, че нямат доказателства за участието на Ханан, но казаха, че е правдоподобно.

Екранна снимка от презентация от запис под прикритие
Презентация на екип Хорхе, показваща DDOS атака на референдума през 2014 г.

AIMS: Платформата за влияние

Технологичният набор от инструменти на Екипът „Хорхе“ също включва и „платформа за влияние“, наречена Advanced Impact Media Solutions или AIMS, която Ханан твърди, че е продала на разузнавателните служби на повече от 10 държави.

Софтуерът AIMS е предназначен да създава убедителни аватари за кампании в социалните медии. Аватарите или ботовете използват откраднати снимки на реални хора, работят на всяка социална медийна платформа и могат да бъдат свързани с функциониращи акаунти в Amazon и Bitcoin. Те също така изглежда имат дългогодишно присъствие онлайн, включително акаунти в Gmail и банални коментари към видеоклипове на знаменитости в YouTube, за да създадат на разследващите ги впечатлението, че са истински хора.

„Ние имитираме човешкото поведение“, каза Ханан на репортерите под прикритие.

Повечето онлайн акаунти изискват потвърждение на телефонен номер и имейл адрес, за да предотвратят ботове като тези, внедрени от AIMS. Но има уебсайтове, създадени специално, за да позволят еднократни услуги за потвърждение чрез SMS за 50 цента или по-малко. Много акаунти – като Gmail и WhatsApp – могат да бъдат регистрирани с „проверени“ телефонни номера. Екипът „Хорхе“ изглежда използва услуга, наречена SMSpva.com, за проверка на телефонни номера. SMSpva.com не отговори на запитване за коментар.

Екранна снимка от презентация от запис под прикритие. Профилът на Shannon Aiken в AIMS: нейните данни са фалшиви, но изображението е откраднато от истински човек.

Местните проксита – горивото на дезинформацията

AIMS също така разчита на местни /домашни/ проксита, които пренасочват интернет трафика от ботове през домовете на хората, така че да изглежда автентичен. Това затруднява платформите на социалните медии да идентифицират координирана кампания за дезинформация.

Както подчерта един експерт, консултирал проекта Story Killers, местните проксита са „абсолютно необходими“ в индустрията за дезинформация, тъй като позволяват създаването на трудни за откриване ботове и могат да симулират дейност от конкретен регион. Трудно е да се предотврати това, тъй като IP адресите, използвани от местни проксита, обикновено се използват и от реални хора.

По-конкретно, участниците в кампания за дезинформация биха могли да купят домашни прокси сървъри и да ги използват за масово създаване на фалшиви акаунти, които изглеждат свързани с реални акаунти, тъй като използват реални IP адреси.

В данните, презентирани от Екип „Хорхе“, експертите на проекта и българският партньор BIRD.BG откриха връзки и към сайтове, базирани в България. Те все още се проучват в рамките на отделна публикация.

Анализът на партньорите по докладване Le Monde и Guardian идентифицира групи от аватари, включително тези, които се виждат в презентациите на Ханан, които изглежда са били използвани за координирани кампании в Twitter. Репортери откриха над 1700 акаунта в Twitter, свързани с 21 кампании, свързани с AIMS, чиито мрежи са произвели десетки хиляди туитове.

На декемврийската лична среща с репортери под прикритие екипът „Хорхе“ показа нова способност на AIMS: инструменти за изкуствен интелект за генериране на фалшиви новини, използвайки определени ключови думи, тон и тема.

„Един оператор може да има около 300 профила“, каза Зохар Ханан по време на демонстрацията. „Така че в рамките на два часа цялата страна ще започне да ретранслира посланието, разказа, който искам.“

Аватар за приближен на Лукашенко

Установено е, че кампания с аватар, видяна на компютър на Екипа „Хорхе“ по време на търговското представяне на услугите, популяризира дейността на Александър Зингман, бизнесмен, близък до авторитарния беларуски президент Александър Лукашенко.

През март 2021 г. Зингман беше арестуван в Демократична република Конго за предполагаем трафик на оръжие, но по-късно беше освободен. През октомври същата година OCCRP разкри как Зингман и друг приятел на беларуския президент са използвали фиктивни компании, за да скрият доходоносна сделка за добив на злато с държавната минна компания на Зимбабве.

Предходната година аватарите на AIMS популяризираха благоприятни истории за Зингман и неговия бизнес в съгласувана и автоматизирана кампания. Някои бяха използвани за насочване на вниманието към неговия съперник Виталий Фишман. Журналистите идентифицираха още 35 аватара, свързани с Екипа „Хорхе“ чрез дело за клевета в САЩ, което Фишман спечели.

Адвокатът на Зингман каза, че клиентът му никога не е работил с компании, които участват в кампании за дезинформация, и всъщност самият той е бил жертва на подобна схема.

Не е пиар, а разузнаване

Тал Ханан е служил в израелските специални сили като експерт по експлозиви, според неговата онлайн биография. Той е посочен като изпълнителен директор на най-малко две израелски компании, Tal Sol Energy и Demoman International Ltd., разузнавателна фирма, включена в регистъра на отбранителните компании на уебсайта на израелското министерство на отбраната.

Офисът на Хорхе в Израел, посетен от журналистите под прикритие. Снимка ZDF

Ханан посочи, че е организирал лобистки операции в САЩ, въпреки че не се е регистрирал като „чуждестранен агент“, както се изисква от закона. Той каза, че е работил чрез консултанти и компании, които вече са регистрирани, и каза на репортери, че наскоро е създал фирма за връзки с обществеността, наречена Axiomatics, за да рекламира Екипът „Хорхе“ със „съществуващи лобистки групи“.

В годините след атаките през септември 2001 г. срещу Световния търговски център в Ню Йорк Ханан, Ханан се позиционира като експерт по борба с тероризма. Той твърди, че е обучавал правоприлагащите органи, включително федералните агенции на САЩ, според архивирана страница от неговия вече несъществуващ уебсайт suicide-terrorism.com. През 2010 г. Ханан беше цитиран в The Jerusalem Post като експерт по киберсигурност, коментирайки възможностите за хакване.

По време на разговори с репортери под прикритие Екипът „Хорхе“ навлезе в дълбочина относно технологията, която според тях групата използва, за да влияе върху избори. Те добавиха, че имат шест офиса и в тях работят най-малко 100 души, като подчертаха, че черпят опит от колеги с опит в разузнаването. Това позиционира дейностите на „Хорхе“ далеч отвъд сферата на стратегиите за връзки с обществеността, които обикновено се прилагат по време на избори.

„Това е повече от всичко разузнавателна работа. Това не е PR работа. Това е разузнавателна работа“, подчерта Ханан.

OCCRP и екип на BIRD.BG

Заглавна илюстрация: OCCRP

Медийни партньори на Forbidden Stories за разследването Story Killers:

The Guardian and Observer, Le Monde, The Washington Post, Der Spiegel, ZDF, Paper Trail Media, Die Zeit, Radio France, Proceso, OCCRP, Knack, Le Soir, Haaretz, The Marker, El País, SverigesTelevision, Radio Télévision Suisse, Folha, Confluence Media, IRPI, IStories, Armando Info, Code for Africa, Bird, Tempo Media Group, El Espectador, Der Standard, Tamedia, Krik.

Проектът Убийци на истории The Story Killers е публикуван със съдействието на International Center for Journalists’ (ICFJ) Online Violence Project, партньорство между ICFJ Research и компютърни специалисти от University of Sheffield computer scientists. Екипът на ICFJ предостави своята експертиза и изчислителна мощ на партньорите от  Story Killers.

*В България е базирана голяма израелска компания, която е специализирана точно в хакване на SS7 и дистанционно подслушване на телефони. Нейното име е Circles и е част от печално известната NSO Group, която произвежда софтуера Pegasus. Въпреки сигналите до институциите, че такава технология е потенциално опасна и вредна, ДАНС не предприе нищо за ограничаване на дейността на Circles дори след скандала Pegasus.

bird.bg

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert