Russiske Fancy Bear med nye dataangrep på antidopingorganisasjoner

Microsoft – som hjelper nasjonale og internasjonale antidopingorganisasjoner med datasikkerhet – meldte på mandag at 16 idretts- og antidopingorganisasjoner er angrepet av russiske hackere som kan knyttes til russiske myndigheter.

Det er New York Times som først meldte dette.

Angrepene skal ha startet 16. september, kun få dager før Verdens antidopingbyrå (WADA) meldte at Russland risikerer ytterligere suspensjoner og utestengelse fra internasjonal idrett, fordi det var oppdaget uregelmessigheter i datasettet dopinglaboratoriet i Moskva hadde levert ut til WADA i januar i år.

Da var det snakk om at personer i Russland hadde slettet en mengde positive dopingprøver.

Microsoft har ikke nevnt hvilke organisasjoner det dreier seg om, men sier at noen av angrepene var vellykket.

Disse angrepene legger press på den russiske presidenten Vladimir Putin og kan bidra til at russiske utøvere blir utestengt i lang tid, i tillegg til at Det russiske antidopingbyrået (RUSADA) kan bli suspendert igjen.

LES MICROSOFTS UTTALELSE HER.

Ny leder og opphevet suspensjon

Det russiske antidopingbyrået (RUSADA) ble i 2015 suspendert av WADA i 2015 etter avsløringene om omfattende statlig organisert doping. I 2017 tok Jurij Ganus over ledervervet i den omstridte organisasjonen.

Tilsynelatende lever han farlig, siden to av han forgjengere har lidd en plutselig død etter at de ønsket å stå fram med sin kunnskap om dopingjuks i Russland.

Tidligere denne måneden sa Jurij Ganus til Idrettspolitikk.no at sterke krefter i det russiske sikkerhetsapparatet og med kontakter høyt opp i systemet jobbet for å sabotere han arbeid med å gjøre Russland dopingfritt.

På spørsmål om han vet hvem som har utført jukset, svarte han:

– Det vet jeg ikke. Jeg spurte sportsminister Kolobkov hvem det kan ha vært som har manipulert prøvene. Men han holdt munnen og ønsket ikke å dele noe av informasjonen med RUSADA.

– Den som har organisert utleveringen av datatene og som har det fulle og hele ansvaret er Kolobkov. Han er sjef for all sport i Russland. Jeg tror ikke Kolobkov selv har manipulert prøvene, men han har ansvaret for hele prosessen og han burde fortelle hva som har skjedd.

– De eller de som har manipulert prøvene er profesjonelle og befinner seg høyt opp i systemet.

Jurij Ganus sier at han ikke vet hvem det er som har gjort dette og at han vil navngi vedkommende straks han får vite om det.

– Jeg forstår det simpelthen ikke. Den eller de som har manipulert prøvene arbeider mot nasjonale interesser.

Ganus mener at dette ikke er snakk om enkeltpersoner, men at det finnes en klikk i statsapparatet som har vært imot å åpne laboratoriet i Moskva for inspeksjon og at dette miljøet har forbindelser helt til topps i regjeringen eller hos mektige personer i statsapparatet.

Idrettspolitikk.no har tatt kontakt med Jurij Ganus om de nye opplysningene om at russiske interesser skal ha hacket vestlige antidopingorganisasjoner, men har ikke fått svar.

Saken fortsetter under bildet.

RUSADA-sjef Jurij Ganus snakker med Idrettspolitikk.no på Play the Game-konferansen i Colorado Springs. Foto: Andreas Selliaas

Massive dataangrep

En av aktørene som skal ha utført de forskjellige dataangrepene er hacker-gruppa Fancy Bear. De har stått sentralt i Russland-etterforskningen etter at Donald Trump vant presidentvalget i 2016 og har tidligere blitt avslørt som hackere av blant andre WADA og Det amerikanske antidopingbyrået (USADA).

I perioden 12. september 2016 til 28. august 2017 publiserte nettstedene fancybear.net og fancybear.org konfidensielle dokumenter stjålet fra WADA, USADA, IAAF og FIFA.

Like etter publiserte nyhetssteder over hele verden detaljer om store internasjonale idrettsutøvere under store overskrifter.

Idrettspolitikk.no har lest hele den amerikanske tiltalebeslutningen mot de syv navngitte russerne som jobbet for den russiske militære etterretningstjenesten (GRU) og som utga seg for å være hackergruppa Fancy Bear. Tiltalebeslutningen ble offentliggjort høsten 2018.

Tiltalen mot de syv russerne er blant annet et resultat av sjefetterforsker Robert Müllers gransking av Donald Trumps koblinger til Russland og er undertegnet av delstatsadvokat Scott W. Brady i Pennsylvania.

Fancy Bear ble, ifølge det 41-siders dokumentet, etablert som en hevn og motsvar mot avsløringene av russisk doping under OL i Sotsji og utestengelsen av Russland fra friidrett i OL i Rio i 2016.

Utøvere som ble navngitt og som senere har fått mistenksomhetens lys over seg er blant andre sykkelrytteren Sir Bradley Wiggins, tennisspillerne Serena Williams og Rafael Nadal, turneren Simone Biles, fridrettstjernen Mo Farah og vår hjemlige friidrettsutøver Henrik Ingebrigtsen.

I hovedsak dreide avsløringene seg om såkalte unntaksbestemmelser fra dopingregelverket eller overvåking av utøvere etter mistenkelige blodverdier.

Organisasjonene som ble angrepet

De russiske etterretningsagentene gikk til dataangrep på syv store institusjoner (i tillegg til mindre enheter):

  • Det internasjonale antidopingbyrået (WADA)
  • Det amerikanske antidopingbyrået (USADA)
  • Det Canadiske antidopingbyrået (CCES)
  • Det internasjonale friidrettsforbundet (IAAF)
  • Den internasjonale voldgiftsdomstolen (CAS)
  • Det internasjonale fotballforbundet (FIFA)
  • De tilegnet seg informasjon om nesten 250 utøvere fra 30 forskjellige land.

Brukte sofistikerte metoder

De brukte flere forskjellige metoder, blant annet å spre såkalt malware eller spearphishing-eposter. I de fleste tilfellene registrerte de domenenavn som lignet på domenenavnene til de organisasjonene de ønsket å tømme for data.

I tilfellet WADA registrerte de domenenavnene wada.awa.org og wada.arna.org og opprettet nettsider identiske med WADAs. WADA selv har domenenavnet wada.ama.org.

I august 2016 sendte hackerne en epost til elleve ansatte i WADA og utga seg for å være WADAs IT-sjef som ba om at de måtte bekrefte sine eposter, passord og brukernavn.

De skal også ha speilet epostkontoer til ansatte i WADA og sendt epost til andre ansatte i organisasjonen og bedt dem om å klikke seg inn på en vedlagt lenke (spearphising).

Flere ansatte i WADA skal ha bitt på og GRU-offiserene kunne da laste ned sensitiv informasjon ved hjelp av deres passord og via deres IP-adresser.

Tilsvarende metode skal være brukt på de andre organisasjonene.

Ønsket eksponering

Siden hovedmålet var å slå tilbake mot den massive pressedekningen av russisk doping, var det viktig for hackergruppa å få spredd dokumentene og informasjonen til vestlige medier.

Det gjorde de først ved å legge ut informasjon på de to omtalte nettstedene fancybear.net og fancybear.org. I enkelte tilfeller forfalsket de også dokumenter, som de la ut på disse sidene.

I perioden 12. september 2016 til 17. januar 2018 drev de aktiv kampanje rettet mot journalister over hele verden.

Via Twitter-kontoene @fancybears og fancybearsHT skal de ha sendt direktemeldinger til 116 journalister og tilbudt dem stjålne dokumenter.

I tidsrommet 19. september 2016 og 20. juli 2018 skal de ha utvekslet eposter med ca. 70 journalister og i avtaler med journalistene skal de ha stilt krav om at de skulle referere til Fancy Bear i sakene de skrev og sende en lenke tilbake til hackerne når saken var publisert.

Ønsket eksklusivitet

Mange av journalistene som hadde kontakt med de russiske etterretningsoffiserene skal ha forsøkt å få til eksklusive saker, og en av journalistene prøvde å få eksklusiv tilgang til alle framtidige avsløringer, ifølge tiltalebeslutningen.

Etter at Fancy Bear hadde mottatt lenkene fra journalister som skrev om de lekkede dokumentene prøvde de å spinne disse sakene på nettet.

Opplysningene fra Microsoft viser at de samme metodene er brukt også denne gangen.

LES OGSÅ: Norske antidopingtopper skeptisk til russisk antidopingsjef

LES OGSÅ: Funnene i Robert Müellers rapport om Donald Trump og Russland ligner på funnene om WADA og Russland

PS: Likte du artikkelen? Gi et frivillig bidrag til Idrettspolitikk.no på Vipps til 95754675 eller send IPNO1 START til 2030 for månedlig bidrag på kr. 49,- eller IPNO2 til 2030 for enkeltbidrag på kr. 200,-.

Ta kontakt hvis du ønsker å bruke innhold fra siden eller har tips: idrettspolitikk@gmail.com

Følg Idrettspolitikk.no på Facebook: https://www.facebook.com/idrettspolitikk/