Slik stjal russisk etterretningstjeneste dokumenter og delte dem med sportsjournalister over hele verden

I perioden 12. september 2016 til 28. august 2017 publiserte nettstedene fancybear.net og fancybear.org konfidensielle dokumenter stjålet fra WADA, USADA, IAAF og FIFA.

Like etter publiserte nyhetssteder over hele verden detaljer om store internasjonale idrettsutøvere under store overskrifter.

Omfattende og avslørende tiltale

Idrettspolitikk.no har lest hele tiltalebeslutningen mot de syv navngitte russerne som jobbet for den russiske etterretningstjenesten GRU og som utga seg for å være hackergruppa Fancy Bears.

Tiltalen mot de syv russerne er blant annet et resultat av sjefetterforsker Robert Müllers gransking av Donald Trumps koblinger til Russland og er undertegnet delstatsadvokat Scott W. Brady i Pennsylvania.

Fancy Bears ble, ifølge det 41-siders dokumentet, etablert som en hevn og motsvar mot avsløringene av russisk doping under OL i Sotsji og utestengelsen av Russland fra friidrett i OL i Rio i 2016.

Utøvere som ble navngitt og som senere har fått mistenksomhetens lys over seg er blant andre sykkelrytteren Sir Bradley Wiggins, tennisspillerne Serena Williams og Rafael Nadal, turneren Simone Biles, fridrettstjernen Mo Farah og vår hjemlige friidrettsutøver Henrik Ingebrigtsen.

I hovedsak dreide avsløringene seg om såkalte unntaksbestemmelser fra dopingregelverket eller overvåking av utøvere etter mistenkelige blodverdier.

Organisasjonene som ble angrepet

De russiske etterretningsagentene gikk til dataangrep på syv store institusjoner (i tillegg til mindre enheter):

  • Det internasjonale antidopingbyrået (WADA)
  • Det amerikanske antidopingbyrået (USADA)
  • Det Canadiske antidopingbyrået (CCES)
  • Det internasjonale friidrettsforbundet (IAAF)
  • Den internasjonale voldgiftsdomstolen (CAS)
  • Det internasjonale fotballforbundet (FIFA)

De tilegnet seg informasjon om nesten 250 utøvere fra 30 forskjellige land.

Brukte sofistikerte metoder

De brukte flere forskjellige metoder, blant annet å spre såkalt malware eller spearphishing-eposter. I de fleste tilfellene registrerte de domenenavn som lignet på domenenavnene til de organisasjonene de ønsket å tømme for data.

I tilfellet WADA registrerte de domenenavnene wada.awa.org og wada.arna.org og opprettet nettsider identiske med WADAs. WADA selv har domenenavnet wada.ama.org.

I august 2016 sendte hackerne en epost til elleve ansatte i WADA og utga seg for å være WADAs IT-sjef som ba om at de måtte bekrefte sine eposter, passord og brukernavn.

De skal også ha speilet epostkontoer til ansatte i WADA og sendt epost til andre ansatte i organisasjonen og bedt dem om å klikke seg inn på en vedlagt lenke (spearphising).

Flere ansatte i WADA skal ha bitt på og GRU-offiserene kunne da laste ned sensitiv informasjon ved hjelp av deres passord og via deres IP-adresser.

Tilsvarende metode skal være brukt på de andre organisasjonene.

Ønsket eksponering

Siden hovedmålet var å slå tilbake mot den massive pressedekningen av russisk doping, var det viktig for hackergruppa å få spredd dokumentene og informasjonen til vestlige medier.

Det gjorde de først ved å legge ut informasjon på de to omtalte nettstedene fancybear.net og fancybear.org. I enkelte tilfeller forfalsket de også dokumenter, som de la ut på disse sidene.

I perioden 12. september 2016 til 17. januar 2018 drev de aktiv kampanje rettet mot journalister over hele verden.

Via Twitter-kontoene @fancybears og fancybearsHT skal de ha sendt direktemeldinger til 116 journalister og tilbudt dem stjålne dokumenter.

I tidsrommet 19. september 2016 og 20. juli 2018 skal de ha utvekslet eposter med ca. 70 journalister og i avtaler med journalistene skal de ha stilt krav om at de skulle referere til Fancy Bears i sakene de skrev og sende en lenke tilbake til hackerne når saken var publisert.

Ønsket eksklusivitet

Mange av journalistene som hadde kontakt med de russiske etterretningsoffiserene skal ha forsøkt å få til eksklusive saker, og en av journalistene prøvde å få eksklusiv tilgang til alle framtidige avsløringer, ifølge tiltalebeslutningen.

Etter at Fancy Bears hadde mottatt lenkene fra journalister som skrev om de lekkede dokumentene prøvde de å spinne disse sakene på nettet.

Ta kontakt hvis du ønsker å bruke innhold fra bloggen eller har tips: aselliaas@gmail.com.

Følg Idrettspolitikk.no på Facebook: https://www.facebook.com/idrettspolitikk/