dnc-hack-2016 - RunkIntel

# DNC Hack 2016 ## Visão Geral O **DNC Hack 2016** foi uma operação de intrusão e influência conduzida pelo [[g0007-apt28|APT28]] (GRU Unidade 26165 / Fancy Bear) e pelo [[g0016-apt29|APT29]] (FSB) contra o **Comitê Nacional Democrata (DNC)** e a campanha presidencial de Hillary Clinton, durante as eleições presidenciais dos EUA em 2016. A operação resultou no vazamento estratégico de e-mails internos, pesquisas eleitorais e comúnicações de campanha, com impacto direto no processo democrático americano. A atribuição foi formalizada em dezembro de 2016 pelo **FBI e CIA**, e consolidada no **Relatório Mueller** de 2019, que resultou no indiciamento de **12 oficiais do GRU** por crimes de espionagem cibernética. ## Linha do Tempo | Data | Evento | |------|--------| | Mar/2016 | APT28 obtém acesso inicial à rede do DNC via spearphishing | | Abr/2016 | APT29 já havia comprometido a rede do DNC desde 2015; APT28 acessa de forma independente | | Jun/2016 | Empresa de segurança CrowdStrike é contratada; atribuição pública a atores russos | | Jul/2016 | WikiLeaks pública ~19.000 e-mails do DNC - vaza dias antes da Convenção Democrática | | Jul/2016 | Conta de e-mail de John Podesta (chefe de campanha de Clinton) comprometida via phishing | | Out/2016 | WikiLeaks pública e-mails de Podesta em série diária até as eleições | | Nov/2016 | Eleição presidencial; Trump vence | | Dez/2016 | FBI e CIA atribuem formalmente a operação à inteligência militar russa | | Jul/2018 | Relatório Mueller indicia 12 oficiais do GRU (Unidade 26165 e 74455) | ## Acesso Inicial e Técnicas O [[g0007-apt28|APT28]] utilizou múltiplos vetores para comprometer alvos: 1. **Spearphishing - Conta de Podesta** - E-mail de alerta falso do Google (março de 2016) levou Podesta a inserir credenciais em página de phishing. Erro humano ampliou significativamente o acesso. 2. **Spearphishing DNC** - Campanha de e-mails maliciosos com payloads [[chopstick|x-agent]] direcionados a funcionários do DNC. 3. **Malware X-Agent** - Keylogger e ferramenta de exfiltração; capturou teclas digitadas e screenshots de sistemas Windows comprometidos ([[t1056-input-capture|T1056]]). 4. **X-Tunnel** - Ferramenta de tunelamento para exfiltração criptografada de dados via conexões criptografadas. 5. **DCLeaks** - O GRU criou a persona "DCLeaks" como site de vazamento próprio antes de passar material ao WikiLeaks. 6. **"Guccifer 2.0"** - Persona online criada pelo GRU (Unidade 74455) para assumir responsabilidade pelos vazamentos e obscurecer a atribuição estatal. ## Táticas e Técnicas MITRE ATT&CK | Tática | Técnica | Detalhe | |--------|---------|---------| | Initial Access | [[t1566-phishing\|T1566 - Phishing]] | Spearphishing com links para páginas falsas de login Google | | Execution | [[t1059-command-scripting-interpreter\|T1059]] | Execução de payloads X-Agent | | Persistence | T1547 - Boot Autostart | Persistência via registro Windows | | Credential Access | [[t1056-input-capture\|T1056 - Keylogging]] | X-Agent captura teclas em sistemas DNC | | Collection | T1114 - Email Collection | Coleta de caixas postais internas do DNC | | Exfiltration | [[t1567-exfiltration-over-web-service\|T1567]] | Exfiltração via serviços web criptografados | | Impact | T1565 - Data Manipulation | Vazamento seletivo e estratégico de dados para influência | ## Atribuição **Confiança: ALTA** - múltiplas agências de inteligência e empresas privadas: - **CrowdStrike** (junho/2016) - Primeira atribuição pública: Fancy Bear (APT28) e Cozy Bear (APT29) - **FBI + CIA** (dezembro/2016) - Confirmação governamental; GRU como ator primário - **Relatório Mueller** (julho/2018) - Indiciamento de 12 oficiais do GRU nomeados individualmente - Unidade 26165 (fancy bear): intrusão nas redes DNC e DCCC - Unidade 74455 (Sandworm): operação DCLeaks e WikiLeaks como canal de distribuição **Artefatos técnicos:** Malware X-Agent compilado em russo; infraestrutura C2 com características atribuídas ao GRU; sobreposições de código com operações anteriores do APT28. ## Relevância para CTI Este caso é uma referência fundamental em CTI por múltiplas razões: - **Espionagem como arma de influência** - Não apenas coleta de inteligência, mas vazamento estratégico para influenciar eleições - **Separação de operações** - APT28 e APT29 operaram de forma independente no mesmo alvo, sem coordenação aparente - **Uso de personas** - Criação de DCLeaks e Guccifer 2.0 como camadas adicionais de negação plausível - **Supply chain humana** - Erro humano (Podesta clicando em phishing básico) como ponto de entrada crítico mesmo em alvos de alto valor - MITRE ATT&CK - APT28 (G0007) - [Senaté Intelligence Committee Report - Russian Active Measures](https://www.intelligence.senaté.gov/sites/default/files/documents/Report_Volume2.pdf) --- *Fonte: [Mueller Report - Grand Jury Indictment (12 GRU Officers)](https://www.justice.gov/file/1080281/download)* *Fonte: [CrowdStrike - Bears in the Midst: Intrusion into the Democratic National Committee](https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/)* *Fonte: [FBI Attribution Statement - December 2016](https://www.fbi.gov/news/press-releases/update-on-sony-investigation)*