Denna tisdag, 31 juli kl. 2018 foto visar ingången till byggnaden för den ryska militära underrättelsetjänsten, namngavs i Robert Muellers 13 juli -åtal, som hem för GRU -enhet 26165 i Moskva, Ryssland. Läckaget av en påstådd rysk hackers samtal med en säkerhetsforskare visar mer om den skuggiga gruppen på 12 ryska spioner som FBI anklagade förra månaden för att ha riktat in sig i USA:s val 2016. (AP Photo/Alexander Zemlianichenko)
Sex år sedan, fick en rysktalande cybersäkerhetsforskare ett oönskat mejl från Kate S. Milton.
Milton hävdade att han arbetade för det Moskvabaserade antivirusföretaget Kaspersky. I ett utbyte som började med att stoppa engelska och snabbt gick över till ryska, Milton sa att hon var imponerad av forskarens arbete med exploater - de digitala låsplockarna som hackare använder för att bryta sig in i sårbara system - och ville bli kopierad om alla nya som forskaren stötte på.
"Du har nästan alltid alla toppmodeller, "Milton sa, efter att ha komplimangerat forskaren om ett inlägg på hennes webbplats, där hon ofta dissekerade skadlig programvara.
"Så att vår kontakt inte är ensidig, Jag skulle erbjuda dig min hjälp med att analysera skadliga virus, och när jag får nya prover delar jag, "Fortsatte Milton." Vad tycker du? "
Forskaren-som arbetar som säkerhetsingenjör och driver webbplatsen för delning av skadlig kod på sidan-hade alltid en ganska bra idé om att Milton inte var den hon sa att hon var. Förra månaden, hon fick bekräftelse via ett FBI -åtal.
Åtalet, offentliggjordes den 13 juli, lyfte locket på den ryska hackningsoperationen som riktade sig mot presidentvalet 2016 i USA. Den identifierade "Kate S. Milton" som ett alias för militär underrättelseofficer Ivan Yermakov, en av 12 ryska spioner anklagade för att ha brutit sig in i den demokratiska nationella kommittén och publicerat sina mejl i ett försök att påverka valet 2016.
Forskaren, som gav henne utbyten med Milton till Associated Press på villkor av anonymitet, sa att hon inte var glad över att få veta att hon hade korresponderat med en påstådd rysk spion. Men hon blev inte heller särskilt förvånad.
"Detta forskningsområde är en magnet för misstänkta människor, " Hon sa.
Forskaren och Milton deltog i en handfull samtal mellan april 2011 och mars 2012. Men även deras glesa utbyten, tillsammans med några digitala brödsmulor som lämnats efter av Yermakov och hans kollegor, ge inblick i männen bakom tangentborden vid Rysslands huvudsakliga underrättelsetjänst, eller GRU.
Den 14 maj, 2018, bilden visar en affisch inuti den ryska militärbasen i Moskva som namngavs i Robert Muellers 13 juli -åtal mot 12 ryska spioner. Läckt ut e -postkonversationer mellan en säkerhetsforskare och en av personerna i åtalet, Ivan Yermakov, vems enhet 26165 låg vid basen, avslöja ny insikt om den skuggiga gruppen spioner som anklagades för att ha brutit sig in i Demokratiska nationella kommittén under valet 2016. (AP Foto)
___
Det är inte ovanligt att meddelanden som Miltons kommer ut ur det blå, särskilt i den relativt små världen av oberoende malware -analytiker.
"Det var inget särskilt ovanligt i hennes tillvägagångssätt, "sa forskaren." Jag hade mycket liknande interaktioner med amatör- och professionella forskare från olika länder. "
Paret korresponderade ett tag. Milton delade vid ett tillfälle en skadlig kod och skickade över en hackarelaterad YouTube-video på en annan, men kontakten upphörde efter några månader.
Sedan, det följande året, Milton tog kontakt igen.
"Det har varit allt arbete, arbete, arbete, "Milton sa som en ursäkt, innan du snabbt kommer till sak. Hon behövde nya låsplockningar.
"Jag vet att du kan hjälpa, "skrev hon." Jag håller på med ett nytt projekt och jag behöver verkligen kontakter som kan ge information eller ha kontakter med människor som har nya exploater. Jag är villig att betala för dem. "
Särskilt, Milton sa att hon ville ha information om en nyligen avslöjad sårbarhet med kodnamnet CVE-2012-0002-en kritisk Microsoft-brist som kan göra det möjligt för hackare att på distans kompromissa vissa Windows-datorer. Milton hade hört att någon redan hade samlat ihop ett fungerande utnyttjande.
"Jag skulle vilja få det, " Hon sa.
I den här filfotot taget på lördagen, 14 juli kl. 2018, en man går förbi byggnaden för den ryska militära underrättelsetjänsten i Moskva, Ryssland. Läckaget av en påstådd rysk hackers samtal med en säkerhetsforskare visar mer om den skuggiga gruppen på 12 ryska spioner som FBI anklagade förra månaden för att ha riktat in sig i USA:s val 2016. (AP Photo/Pavel Golovkin, Fil)
Forskaren avskräckt. Handeln med bedrifter - för spioner, poliser, övervakningsföretag eller kriminella - kan vara en elak.
"Jag brukar undvika alla köpare och säljare av wannabe, "sa hon till AP.
Hon tackade nej - och hörde aldrig av Milton igen.
___
Miltons Twitter -konto - vars profilfoto har "Lost" -stjärnan Evangeline Lilly - är länge vilande. De senaste meddelandena är brådskande, besvärligt formulerade överklaganden för utnyttjanden eller tips om sårbarheter.
"Hjälp mig att hitta detaljerad beskrivning CVE-2011-0978, "ett meddelande lyder, med hänvisning till en bugg i PHP, ett kodningsspråk som ofta används för webbplatser. "Behöver en arbetsutnyttjande, "budskapet fortsätter, slutar med ett leende.
Det är inte klart om Yermakov arbetade för GRU när han först maskerade sig som Kate S. Milton. Miltons tystnad på Twitter - från 2011 - och hänvisningen till ett "nytt projekt" 2012 kan antyda ett nytt jobb.
Hur som helst, Yermakov arbetade inte för antivirusföretaget Kaspersky-inte då och aldrig, sa företaget i ett uttalande.
"Vi vet inte varför han påstås ha presenterat sig som anställd, "stod det i uttalandet.
På detta foto taget på tisdagen, 31 juli kl. 2018, en vy visar en byggnad av den ryska militära underrättelsetjänsten, ligger på Kirova Street 22, Khimki, som namngavs i ett åtal som tillkännagavs av en amerikansk federal jury som en del av en undersökning av påstådd rysk inblandning i USA:s presidentval 2016, i Khimki utanför Moskva, Ryssland. Läckaget av en påstådd rysk hackers samtal med en säkerhetsforskare visar mer om den skuggiga gruppen på 12 ryska spioner som FBI anklagade förra månaden för att ha riktat in sig i USA:s val 2016. (AP Photo/Alexander Zemlianichenko)
Meddelanden som AP skickade till Kate S. Miltons Gmail -konto returnerades inte.
Utbytet mellan Milton (Yermakov) och forskaren kunde läsas på olika sätt.
De kan visa att GRU försökte odla människor i informationssäkerhetssamhället med ett öga på att få de senaste utnyttjandena så snart som möjligt, sa Cosimo Mortola, en hot intelligence -analytiker på cybersäkerhetsföretaget FireEye.
Det är också möjligt att Yermakov från början hade arbetat som en oberoende hackare, rusar efter spionverktyg innan de anställs av rysk militär underrättelse - en teori som är vettig för försvars- och utrikespolitiska analytiker Pavel Felgenhauer.
"För cyber, du måste anställa pojkar som förstår datorer och allt de gamla spionerna på GRU inte förstår, "Felgenhauer sa." Du hittar en bra hackare, du rekryterar honom och ger honom lite utbildning och en rang - en löjtnant eller något - och sedan kommer han att göra samma saker. "
___
Läckaget av Miltons samtal visar hur publicitetens bländning avslöjar delar av hackarens metoder - och kanske till och med tips om deras privatliv.
Det är möjligt, till exempel, att Yermakov och många av hans kollegor pendlar till jobbet genom den välvda entrén till Komsomolsky 22, en militärbas i hjärtat av Moskva som fungerar som hem för den påstådda hackarens enhet 26165. Bilder som tagits inifrån visar att det är en välskött anläggning, med en fasad av tsaristiden, välskötta gräsmattor, rabatter och skuggiga träd på en central innergård.
AP och andra har försökt spåra mäns digitala liv, hitta referenser till några av de som anklagats av FBI i akademiska uppsatser om databehandling och matematik, på ryska cybersäkerhetskonferensdeltagarlistor eller - i fallet med Cpt. Nikolay Kozachek, smeknamnet "kazak" - skrivet in i den skadliga koden som skapats av Fancy Bear, the nickname long applied to the hacking squad before their identities were allegedly revealed by the FBI.
This photo taken on Monday, 14 maj 2018, a view inside the Russian military base at 20, Komsomolsky Prospect, named in Robert Mueller's July 13 indictment. The leak of an alleged Russian hacker's conversations with a security researcher shows how the glare of publicity is the shadowy group indicted by the FBI into focus. (AP Foto)
One of Kozachek's other nicknames also appears on a website that allowed users to mine tokens for new weapons to use in the first-person shooter videogame "Counter Strike:Global Offensive"—providing a flavor of the hackers' extracurricular interests.
The AP has also uncovered several social media profiles tied to another of Yermakov's indicted colleagues—Lt. Aleksey Lukashev, allegedly the man behind the successful phishing of the email account belonging to Hillary Clinton's campaign chairman, John Podesta.
Lukashev operated a Twitter account under the alias "Den Katenberg, " according to an analysis of the indictment as well as data supplied by the cybersecurity firm Secureworks and Twitter's "Find My Friends" feature.
A tipster using the Russian facial recognition search engine FindFace recently pointed the AP to a VKontatke account that, while using a different name, appears active and features photos of the same young, Slavic-looking man.
Many of his posts and his friends appear to originate from a district outside Moscow known as Voskresensky. The photos show him cross-country skiing at night, wading in emerald waters somewhere warm and visiting Yaroslavl, an ancient city northwest of Moscow. One video appeared to show Russia's 2017 Spasskaya Tower Festival, a military music festival popular with officers.
The AP could not establish with certainty that the man on the VKontatke account is Lukashev. Several people listed as friends either declined to comment when approached by the AP or said Lukashev's name was unknown to them.
Kort därefter, the profile's owner locked down his account, making his vacation snaps invisible to outsiders.
© 2018 Associated Press. Alla rättigheter förbehållna.
