Er hat den DNC-Hack gelöst. Jetzt erzählt er zum ersten Mal seine Geschichte.

An einem späten MorgenIm Mai 2016 drängten sich die Führer des Democratic National Committee um einen voll besetzten Konferenztisch und starrten Robert Johnston an. Der ehemalige Kapitän des Marine Corps gab seine Einweisung mit emotionsloser militärischer Präzision, aber was er sagte, war so entnervend, dass sich ein hochrangiger DNC-Beamter auf ihrem Konferenzstuhl zusammenrollte, als würde er sich einen Horrorfilm ansehen.



Mit 30 war Johnston bereits ein versierter digitaler Detektiv, der gerade das Elite-Cyber-Kommando des Militärs verlassen hatte, wo er geholfen hatte, einen russischen Hack gegen die oberste Führung des US-Militärs zu verhindern. Jetzt, als er für ein privates Cybersicherheitsunternehmen arbeitete, musste er das DNC – während es sich mitten in einer Präsidentschaftskampagne befand – darüber informieren, was er in den Computernetzwerken der Organisation gefunden hatte.

Ihre Reaktion war ein reiner Schock, erinnerte sich Johnston. Es war ihr schlimmster Tag.



Obwohl die groben Umrisse des DNC-Hack jetzt sind sehr bekannt , seine Details sind mysteriös geblieben und haben scharfe und hartnäckige Fragen ausgelöst. Wie hat der DNC den Hack verpasst? Warum hat ein privater Sicherheitsberater und nicht das FBI seine Server untersucht? Und wie hat das DNC Johnstons Firma CrowdStrike überhaupt gefunden?

'Es war ihr schlimmster Tag.'



Johnstons Bericht – hier zum ersten Mal erzählt und in Interviews mit 15 Quellen des FBI, des DNC und des Verteidigungsministeriums belegt – löst einige dieser Fragen und fügt neue Informationen über den Hack selbst hinzu.

Ein politischer Außenseiter, der den Job im Wesentlichen zufällig bekam – der DNC rief buchstäblich den Verkaufsschalter von CrowdStrike an – Johnston war der leitende Ermittler, der die Art und den Umfang des Hacks feststellte, den er weniger als heimlichen Einbruch bezeichnete als als dreiste Plünderung.

(Eine Sprecherin des DNC, Xochitl Hinojosa, sagte, DNC-Anwälte hätten den Präsidenten von Crowdstrike angerufen, nicht den Verkaufsschalter.)



Trotz seiner zentralen Rolle hat Johnston nie mit Ermittlern gesprochen, die russische Einmischung untersuchen, geschweige denn mit den Medien. Aber für Menschen, die mit der Krise zu tun hatten, war er unverzichtbar, wie eine dem DNC nahestehende Quelle ausdrückte.

Johnston war auch weitgehend auf sich allein gestellt. Die Partei hatte CrowdStrike im Wesentlichen anstelle des FBI angeheuert – bis heute hatte das Bureau keinen Zugriff auf die Server des DNC. DNC-Beamte sagten, sie hätten die Entscheidung getroffen, sich für eine Privatfirma zu entscheiden, weil sie befürchteten, mitten in der Kampagne die Kontrolle über ihre Operationen zu verlieren. Darüber hinaus untersuchte das FBI Hillary Clintons Nutzung eines privaten E-Mail-Servers. Besser, dachte sich der DNC, die Dinge privat zu erledigen.

Es war eine Entscheidung, die Zweifel an der Untersuchung aufkommen lassen würde, obwohl Cybersicherheitsexperten die wichtigsten Ergebnisse von Johnston weitgehend akzeptiert haben.

Mandel Ngan / AFP / Getty Images



Debbie Wassermann Schultz.

An diesem Tag im Konferenzraum, als er seine Ergebnisse den Funktionären und Anwälten der Demokratischen Partei vorstellte, hörte die damalige Vorsitzende Debbie Wasserman Schultz über die Freisprecheinrichtung zu. Johnston sagte ihnen, dass ihre Computersysteme vollständig kompromittiert worden waren – nicht nur durch einen, sondern durch zwei. Ein ganzes Jahr lang schwelte Malware vom ersten Angriff im System des DNC. Die zweite Infiltration war erst ein paar Monate alt. Beide Malware-Gruppen wurden mit russischen Geheimdiensten in Verbindung gebracht.

Am verstörendsten: Die Hacker hatten Kopien aller E-Mails gesammelt und sie irgendwohin an jemanden geschickt. Jede einzelne E-Mail, die jeder DNC-Mitarbeiter tippte, war ausspioniert worden. Jedes Wort, jeder Witz, jede Silbe.

Es gab immer noch keine Warnung, dass Russland versuchen könnte, sich im Namen von Donald Trump einzumischen. Also hämmerten die DNC-Beamten Johnston mit Fragen: Was würde mit all ihren Informationen passieren? All die gestohlenen Daten? Was würden die Computerhacker damit machen?

Johnston wusste es nicht. Das FBI wusste es nicht.

Die Antworten würden kommen, wenn die gestohlenen E-Mails von WikiLeaks in einer Reihe verheerender, sorgfältig zeitlich abgestimmter Leaks veröffentlicht wurden. Und die Implikationen dessen, was Johnston herausgefunden hatte, sollten auch später kommen: Die russische Regierung könnte aktiv gegen Hillary Clinton gearbeitet haben, um bei der Wahl von Donald Trump zu helfen.

Stephen Voss für BuzzFeed-Nachrichten

Robert Johnston.

Aufgewachsen war Johnston ein Sportler, kein Cyberfreak. Er rang für seine High School in Satellite Beach, Florida, in der 165-Pfund-Gewichtsklasse. Als Teenager war es eines seiner ungewöhnlichen Hobbys, mit Büroklammern und Haarnadeln Schlösser zu knacken.

Er hatte hervorragende Noten und wurde 2004 in die Naval Academy in Annapolis, Maryland, aufgenommen. Ich habe nie mit Computern herumgebastelt, sagte er. Ich bin als Ringer in die Naval Academy eingetreten, und das war alles, was mich interessierte.

Der einzige Grund, warum er gegen russische Hacker an vorderster Front gelandet ist, ist, dass er im zweiten Semester ein Hauptfach wählen musste und er sich für Informatik entschied, weil sie marktgängig war. Zuerst fand er es langweilig. Dann, während seines Junior-Jahres, belegte er einen Computersicherheitskurs. Es hat sein Leben verändert.

'Auf der Stelle wollte ich alles und alles Cyber ​​machen.'

Die Disziplin des White-Hat-Hackings, sagte er, sei ein bisschen wie das Knacken von Schlössern gewesen, als er ein Teenager war. Das sei, als würde man es mit Computern machen, sagte Johnston. Wir würden lernen, wie man in Computer einbricht, wie man nachforscht, Forensik betreibt. Es hat mich einfach sofort interessiert. Genau in diesem Moment wollte ich alles und jeden Cyber ​​​​machen.

Johnston machte 2008 seinen Abschluss an der Naval Academy und wurde als Leutnant im Marine Corps eingesetzt, als einige Teile des Militärs begannen, Cyber ​​als den neuen Schlachtraum zu sehen. Um zu fliegen, zu kämpfen und zu gewinnen, und Luftwaffe Leitbild aus der damaligen Zeit, in der Luft, im Weltraum und im Cyberspace.

Aber die Denkweise des Marine Corps – mit seiner stolzen Betonung auf aggressive Taktiken – habe sich noch nicht geändert, sagte Johnston. Und das machte es paradoxerweise zu einem perfekten Ort für ihn, um in der Cyberwelt zu lernen und Rang zu erreichen. Der Aufstieg war einfach, weil niemand in diese Jobs gehen wollte. Sie verstanden nicht wirklich, dass Cyber ​​ein Schlachtfeld war.

Er leitete das Marine Corps Red Team, das versucht, sich in die Computer des Corps zu hacken, um seine Verteidigung zu testen. Er war überrascht, wie viele gut ausgebildete Militärs auf gefälschte Angriffe hereinfielen. Unmittelbar nach den Snowden-Leaks im Jahr 2013 habe das Team einen Test an 5.000 Mitarbeiter des Militärs geschickt: eine Phishing-E-Mail, die versucht, Empfänger dazu zu bringen, auf einen Link zu klicken, der Malware installiert. Die Betreffzeile lautete: SEAL-Team sechs führt eine Operation durch, bei der Edward Snowden getötet wird.

Wir mussten den Betrieb tatsächlich einstellen, sagte er. Der Phishing-Angriff war zu erfolgreich. Die Klickrate ging durch die Decke.

Stephen Voss für BuzzFeed-Nachrichten

Johnston in Washington, D.C.

Johnston wusste es nicht, aber im September 2015, als er sich darauf vorbereitete, die Marines zu verlassen, informierte die NSA das FBI, dass wahrscheinlich DNC-Computer gehackt wurden, sagten drei Quellen. Ein FBI-Agent rief dann das IT-Büro des DNC an und sagte, die Server der Organisation seien kompromittiert worden.

Dieser Teil der Geschichte wurde erzählt – wie wenig geschah sieben Monate lang. Das FBI versuchte regelmäßig, mit der Organisation in Kontakt zu treten, aber der DNC glaubte nicht, dass die Bedrohung real war.

Im April schließlich war die IT-Abteilung des DNC überzeugt, dass es ein Problem gab, und hochrangige demokratische Funktionäre machten sich Sorgen. Aber selbst dann riefen sie das FBI nicht an. Sie riefen den Verkaufsschalter von CrowdStrike an. (Letzte Woche haben Anwälte von BuzzFeed sowohl den DNC als auch CrowdStrike vorgeladen, um Informationen über den Hack und die Ermittlungen zu erhalten. Die Vorladung stand nicht im Zusammenhang mit dieser Geschichte, sondern mit einer Verleumdungsklage, die von einem russischen Geschäftsmann eingereicht wurde, der im von BuzzFeed veröffentlichten Trump-Dossier genannt wurde Neuigkeiten im Januar.)

Hast du einen Tipp? Sie können eine E-Mail an tips@buzzfeed.com senden. Um zu erfahren, wie Sie uns sicher erreichen, gehen Sie zu tipps.buzzfeed.com .

Bei CrowdStrike wurde der Fall Johnston zugewiesen, der neu im Unternehmen war, aber mit kampferprobten Fähigkeiten ausgestattet war, der bald mit dem IT-Chef von DNC telefonierte.

Das FBI denkt, wir haben ein Problem, etwas namens 'Dukes', sagte Johnston, der IT-Mitarbeiter habe es ihm gesagt. Die Herzöge sind ein anderer Name für APT 29, die Hacker, gegen die Johnston zuvor bei den Joint Chiefs gekämpft hatte.

Johnston schickte dem DNC ein Skript, das auf allen seinen Servern ausgeführt werden sollte, und sammelte dann den Ausgabecode. Für einen Außenstehenden mag es wie eine mühsame Arbeit erschienen sein, lange Datenstränge zu untersuchen. Aber innerhalb einer Stunde hatte Johnston es: eine unverwechselbare Kette von Computercode – Sabotage –, die nicht in das System gehörte. Es waren ausführbare Dateipfade – Beweise für Programme – die nicht dorthin gehörten. Sie stachen hervor wie ein glänzender Schraubenschlüssel, der in einem Automotor zurückgeblieben ist.

Und tatsächlich hatte Johnston dieses spezielle Stück Code schon einmal gesehen, als er noch im Pentagon war. Es war also leicht, diesen Erzfeind zu erkennen. An den verräterischen Unterschriften wusste er, wer es geschickt hatte. Dies war APT 29, sagte er. Später, als er mehr Zeit damit verbracht hatte, den DNC-Hack zu analysieren, glaubte er, dass die Demokraten durch die gleiche Explosion von etwa 50.000 Phishing-E-Mails kompromittiert worden waren, die die Computer der Joint Chiefs durchdrungen hatten.

Stephen Voss für BuzzFeed-Nachrichten

Von links: Adlumin VP Timothy Evans, leitender Ingenieur Don McLamb und Johnston.

Als er den DNC informierteIn diesem Konferenzraum präsentierte Johnston einen Bericht, in dem es im Wesentlichen hieß: Sie haben Daten zusammengetragen und gestohlen. Aber die politischen Funktionäre waren in der Welt der Geheimdienste kaum erfahren. Sie waren nicht nur entsetzt, sondern auch verwirrt. Sie sehen mich an, erinnert sich Johnston, und fragen: ‚Was machen sie mit den aufgenommenen Daten?‘

Damals wusste es niemand. Neben APT 29 hatte eine weitere Hackergruppe Malware in das System des DNC eingeführt. Es heißt APT 28 und ist auch mit dem russischen Geheimdienst verbunden. Andrei Soldatov, ein russischer investigativer Journalist und Sicherheitsexperte, sagte, es sei nicht kristallklar, welcher russische Spionagedienst hinter jeder Hackergruppe steckt, aber wie viele andere Cybersicherheitsermittler stimmte er zu, dass der russische Geheimdienst den Angriff durchgeführt hatte.

Also, sagte Johnston, denke ich an all diese früheren Hacks von Russland und anderen Gegnern wie China zurück. Ich denke zurück an den Hack der Joint Chiefs. Was haben sie mit diesen Daten gemacht? Nichts. Sie nahmen die Informationen zu Spionagezwecken mit. Sie haben es nicht an WikiLeaks weitergegeben.

„Sie sehen mich an“, erinnerte sich Johnston, „und sie fragen: „Was machen sie mit den aufgenommenen Daten?“

So sagte Johnston dem DNC im Mai 2016: Solche Diebstähle sind zur Normalität geworden, und die Hacker hatten nicht vor, mit dem, was sie entwendet hatten, etwas anzufangen.

Johnston macht sich deswegen jetzt einen Tritt. Ich übernehme die Verantwortung für dieses Stück, sagte er.

Der DNC und CrowdStrike, die jetzt mit dem FBI zusammenarbeiten, versuchten, alle verbleibende Malware zu entfernen und das Problem einzudämmen. Und sie entschieden sich für eine PR-Strategie. Wie könnte die DNC die Nachricht kontrollieren? Nichts dieser Größenordnung bleibt im Bereich der Politik ruhig, sagte Johnston. Wir mussten davor stehen. Also, sagte Johnston in einer von DNC-Beamten bestätigten Geschichte, beschlossen CrowdStrike und der DNC, die Geschichte der Washington Post zu übergeben, die die Geschichte am 14. Juni 2016 veröffentlichte: Hacker der russischen Regierung drangen in DNC ein und stahlen Oppositionsforschung zu Trump . Ich hielt es für einen klugen Schachzug, sagte Johnston.

Aber es kann nach hinten losgegangen sein.

Einen Tag nach dem Post-Artikel bekannte sich ein Twitter-Benutzer namens Guccifer 2.0 zu dem Hack und veröffentlichte im Internet angeblich gestohlene Materialien vom Server des DNC.

Johnston glaubt, dass die Geschichte der Washington Post die Taktik der Cyber-Angreifer verändert hat. Wir haben ihren Zeitplan beschleunigt. Ich glaube jetzt, dass sie die Informationen Ende Oktober oder eine Woche vor der Wahl veröffentlichen wollten, sagte er. Aber dann erkannten sie, dass wir herausgefunden hatten, wer sie waren. Ich glaube nicht, dass die russischen Geheimdienste damit gerechnet haben, erwarteten eine Erklärung und einen Artikel, der mit dem Finger auf sie zeigte.

Einen Monat später, Ende Juli 2016, begann WikiLeaks, Tausende von E-Mails zu veröffentlichen, die vom DNC-Server gehackt wurden. Diese Lecks, würden Geheimdienstbeamte sagen, wurden sorgfältig konstruiert und zeitlich abgestimmt.

Die gestohlenen E-Mails sorgten für Chaos. Wasserman Schultz, damals Vorsitzender des DNC, wurde durch Donna Brazile ersetzt, die gerade ein neues Buch veröffentlichte. Hacks , über den russischen Einbruch im DNC.

CrowdStrike hat bemerkenswerte Arbeit geleistet und dem DNC dabei geholfen, unser System nach dem Hacken zu beheben. Leider hätten wir mehr wissen müssen, aber das ist alles Teil der Geschichte, sagte Brazile gegenüber BuzzFeed News.

Johnston beendete seine Arbeit mit dem DNC im Juli 2016. Er verließ auch CrowdStrike und gründete seine eigene Cybersicherheitsfirma. Adlumin , mit Sitz in Washington, D.C.

Er ist sich der düsteren Tatsache bewusst, dass seine Analyse dazu beigetragen hat, die Grundlage zu legen, die schließlich zu den Ermittlungen des Sonderermittlers Robert Mueller, zu mehreren Ermittlungen auf dem Capitol Hill und zu den Erkenntnissen über Russlands Intervention auf Facebook und Twitter führte. Wenn der DNC-Hack nicht nach Russland zurückverfolgt worden wäre, wäre vieles davon vielleicht nie aufgetaucht.

Johnston hat es in den letzten anderthalb Jahren geschafft, sich zurückzuhalten, obwohl Washington von Trump und Russland besessen war. Er hat sich nicht versteckt, sagte er. Bei einem Steak und Scotch in einem Restaurant in DC sagte er, er habe aus einem einfachen Grund nicht darüber gesprochen: Niemand habe ihn darum gebeten. ●

AKTUALISIEREN

09. November 2017, 23:17 Uhr

Diese Geschichte wurde mit der Antwort des DNC aktualisiert.

Themen in diesem Artikel
  1. Russland