In this report, Recorded Future provides an overview of Russia-nexus cyberespionage and influence operations activity related to the 2020 U.S. elections, including from advanced persistent threat (APT) groups, information operations (IO) entities, as well as likely front entities and non-state groups aimed at presidential candidates, political parties, elections infrastructure, media platforms, voting efforts, and the U.S. population at large. Assessments provided in this report are based on content in the Recorded Future Platform® and data from social media sites, local and regional news sites, academic studies, information security reporting, and other open sources available between January 1, 2020 and August 25, 2020. We compared this to historical data to determine changes in tactics, techniques, and procedures (TTPs) to reveal cyber threats, information operations (IO), and hybrid threats that incorporate aspects of both cyber and IO actions.

Executive Summary

The threat landscape of the upcoming election differs from 2016 and 2018; threat actors and activity groups who previously targeted elections have largely remained on the sidelines. Consistent with 2016 and 2018, however, is that Russia continues to pose the greatest threat to the 2020 U.S. presidential elections, based on past success in conducting phishing and cyberattack operations, a relentless persistence in directly targeting U.S. democratic institutions and organizations, and the conducting of information operations targeting the U.S. electorate via conventional and social media.

Contemporary Russian-directed information operations against the United States have been ongoing since at least 2016, with activity becoming more distributed internationally. Additionally, Russian threat activity groups continue to expand infrastructure and develop malware and exploits, but have been less active in targeting elections-related entities. Despite the lack of observable Russian state-sponsored hack-and-leak operations since January 2020, we cannot rule out the possibility of a leak appearing before the November election, given how damaging such activities were in advance of the 2016 vote. Russian threat actors and activity groups likely will continue to conduct cyberattacks and pursue information operations against the U.S. electorate up to, and even after, election day.

Unattributed threats to the election also remain a significant concern, the most salient of these being burgeoning conspiracy theories and their adherents in the form of the QAnon and Boogaloo movements. Additionally, non-attributable activity from cybercriminal or other elements possess capabilities to disrupt or harm the U.S. election and warrant constant vigilance on dark web and underground sources.

Key Judgments

• Les groupes russes spécialisés dans les menaces persistantes avancées constituent probablement la plus grande menace pour l'élection présidentielle américaine de 2020, malgré l'absence d'activités identifiées à ce jour contre ces cibles. Cette évaluation repose sur les efforts déployés par le passé contre les élections américaines de 2016 et 2018, ainsi que sur les réorganisations, les développements et les activités en cours identifiés par les agences de renseignement américaines et britanniques.
• Les opérations d'information devraient continuer à jouer un rôle majeur dans la perturbation des environnements sociaux et politiques aux États-Unis à l'approche des élections. Les recherches menées actuellement par le Stanford Cyber Policy Center, Graphika et d'autres organismes ont décrit l'évolution de ces efforts depuis 2016 et montré comment ces opérations continuent de cibler les élections à l'échelle internationale afin de diffuser des informations trompeuses.
• Bien qu'aucune opération de piratage et de divulgation d'informations confidentielles liée aux élections et impliquant des acteurs malveillants russes n'ait été identifiée à ce jour, il est probable que de tels contenus apparaissent avant les élections ; il existe des précédents historiques montrant que des entités telles que l'APT28 ont déjà diffusé ce type de données de manière différée.
• Ransomware likely poses an additional threat to elections-related infrastructure; carefully timed ransomware attacks within key battleground states have the potential to cause some limitations but are deemed unlikely to fully disrupt the 2020 election.
• Non-state groups also likely pose an information operations, influence, or protest threat to the elections; although not directly linked to Russian threat actors, Russian overt and covert influence operations have taken an interest in these groups and are amplifying their content and could potentially hijack or leverage these groups to conduct disruptive activities.
• La posture défensive des États-Unis et leur réponse aux cyberopérations réelles ou présumées peuvent présenter des défis pour tout attaquant potentiel, mais elles ne sont pas susceptibles de dissuader complètement un groupe déterminé.

Russia-Sponsored Elections Interference Efforts: 2016 and 2018

En 2016 et en 2018, des acteurs malveillants soutenus par l'État russe ont mené une campagne sans précédent contre les élections présidentielles et les élections de mi-mandat aux États-Unis, ciblant les partis politiques, les candidats et les infrastructures liées au vote. Une enquête du gouvernement américain sur les intrusions, les opérations d'information (IO) et d'autres activités connexes, menée par Robert Mueller III, a révélé que ces efforts étaient principalement dirigés par des entités associées à la Direction principale du renseignement (GRU, également appelée Direction générale [GU]) avec le soutien d'organisations telles que l'Agence de recherche sur l'information (IRA). La Direction principale russe/Direction principale du renseignement de l'état-major général des forces armées est la principale entité de renseignement militaire au sein de la Fédération de Russie. Cette organisation mène des missions stratégiques et tactiques de renseignement à l'étranger pour le gouvernement russe. Il est composé de sous-unités, dont plusieurs sont impliquées dans le cryptage, le renseignement d'origine électromagnétique, la désinformation et les activités d'intrusion. L'IRA est une entité médiatique commerciale qui s'est spécifiquement engagée dans des opérations d'influence sur les réseaux sociaux.

Threat Actors

Ahead of the 2016 U.S. presidential election, three Russian state-sponsored advanced persistent threat (APT) groups were involved in targeted intrusion activity; some of these threat actors also acted as “hybrid threats,” due to their involvement in information operations as well as targeted intrusions. The primary threat actors were identified as APT28, APT29, and the Main Intelligence Directorate/Main Directorate (GRU/GU) Unit 74455, which is tracked as Sandworm.

Organigramme des unités du GRU/GU impliquées dans l'ingérence électorale de 2016 (Source : Ars Technica)

APT28 et APT29 ont mené des intrusions ciblées contre le DNC, le DCCC et d'autres personnes et organisations liées aux élections. De plus, des membres du personnel de l'unité 26165 du GRU/GU ont été identifiés dans un acte d'accusation du ministère de la Justice (DoJ) en lien avec les activités de l'APT28, ainsi qu'avec des opérations distinctes de manipulation de l'information. Le personnel de l'unité 74455 du GRU/GU, l'organisation associée aux activités de Sandworm, a également été inculpé par le ministère américain de la Justice pour son rôle dans les tentatives d'ingérence électorale (telles que des opérations de piratage et de divulgation de données). Cependant, aucun des logiciels malveillants personnalisés attribués à Sandworm n'a été identifié sur les réseaux touchés par les intrusions. Pour cette raison, les efforts visant à perturber les élections de 2016 menés par cette organisation sont identifiés par le nom de l'unité (Unité 74455) plutôt que par le nom du groupe désignant les activités menaçantes (Sandworm).

Several other Russian groups have been linked to election interference activities:

• Le 25 janvier 2018, l'Agence néerlandaise de renseignement (AIVD) a rendu publiques des informations identifiant les opérateurs APT29 impliqués dans des intrusions contre la Convention nationale démocrate (DNC) et les reliant aux services de renseignement extérieurs russes (SVR). Le SVR est chargé de l'espionnage à l'étranger, des mesures actives, de la surveillance électronique dans les pays étrangers, etc.
• Also in 2018, Estonian Intelligence Services released reporting that APT29 operations were associated with both the SVR and the Russian Federal Security Service (FSB).
• Selon un acte d’accusation du ministère de la Justice, deux unités militaires du GRU/GU associées à APT28 et Sandworm - l’unité 26165 et l’unité 74455, respectivement - ont utilisé de faux acteurs de façade, DCLeaks, Guccifer 2.0 et AnPoland, ainsi que Wikileaks, pour blanchir des données exfiltrées et revendiquer la responsabilité d’intrusions contre des ressources ciblées.
• Finally, Russian-based troll farms — most notably the Internet Research Agency (IRA) — conducted mass dissemination of disinformation or inflammatory material in order to destabilize the U.S. domestic social environment ahead of the election, working as a force multiplier for other operations conducted by APT28, Sandworm, and APT29.

En 2018, certains de ces mêmes groupes menaçants et opérations d'influence ont ciblé les élections de mi-mandat aux États-Unis. APT28 a mené des opérations de spearphishing visant trois candidats aux élections législatives. Bien qu'il ne soit pas certain que ces efforts aient été couronnés de succès, Microsoft a publié des informations identifiant les cibles probables de cette activité comme étant le Sénat américain, un groupe de réflexion politique et une organisation politique à but non lucratif. Le ministère américain de la Justice a également engagé des poursuites pénales contre des entités russes impliquées dans des opérations d'influence pour « ...des publicités sur les réseaux sociaux, l'enregistrement de noms de domaine, l'achat de serveurs proxy et la promotion de publications sur les réseaux sociaux », entre autres. Les États-Unis auraient pris des mesures pour dissuader ces derniers en ciblant l'IRA basé à Saint-Pétersbourg, le rendant temporairement inaccessible. Bien que certaines de leurs opérations aient été prétendument perturbées, les efforts russes visant à perturber les processus démocratiques américains sont restés largement inchangés et, même à ce moment-là, il était évident que les acteurs malveillants soutenus par l'État russe adaptaient leur stratégie.

Tactics, Techniques, and Procedures (TTPs)

Some of the main TTPs conducted by these threat groups in both the 2016 and 2018 elections can be broken down as follows:

Victimology

Ces groupes ont ciblé un large éventail d'institutions démocratiques américaines. Lors de l'élection présidentielle de 2016, les auteurs de menaces ont ciblé les partis politiques, les candidats et leur personnel de campagne, les prestataires électoraux (tels que VR Systems), les commissions électorales des États, les données d'inscription des électeurs, les fondations caritatives, les groupes de réflexion et la population américaine dans son ensemble. Lors des élections de mi-mandat de 2018, la portée du ciblage a été largement réduite aux candidats, au personnel de campagne et aux Américains présents sur les réseaux sociaux. Le rétrécissement de la cible pourrait s'expliquer par les contraintes pesant sur les activités des auteurs de la menace en raison du renforcement de la sécurité autour des infrastructures électorales vulnérables, par le fait que les élections de mi-mandat sont considérées comme moins importantes pour les auteurs de la menace, ou par l'absence de nécessité (il n'est peut-être pas nécessaire de mener fréquemment des intrusions dans les infrastructures hébergeant les données d'inscription des électeurs, car ces informations ne changent pas radicalement en peu de temps).

Threat Actor Activity Since January 2020

Since January 2020, several Russian APT groups have been active against U.S.-based entities not related to the elections, as well as international entities with a potential nexus to the election. Although Recorded Future has not identified any direct intrusion activity by threat activity groups against U.S. elections infrastructure, candidates, political parties, or voting efforts as of this writing in advance of the 2020 presidential election, that does not preclude such efforts from materializing. Recorded Future has found that, in this same time frame, Russian APT groups have been developing malware which could potentially be used to target elections-related entities. Furthermore, Recorded Future identified infrastructure development, evolving TTPs, and changes to malware during this same time frame.

Although it is very likely that Russian threat actors have improved their operations, these threat groups have also continued to use some of the same approaches to intrusions that they have historically applied. Therefore, changes to operations and shifts in behavior are likely not indicative of a wholesale abandonment of previous tools, but rather an example of both flexibility in adapting operations when necessary and pragmatism in ensuring the mission is completed successfully.

Activity Targeting the Candidates and Political Parties

Il est probable que les auteurs de menaces continuent de s'intéresser aux candidats, à leurs affiliés et, plus largement, aux partis politiques américains en raison de leur rôle dans la campagne ou de leurs relations avec les personnes impliquées dans les élections. Cette évaluation repose en partie sur un rapport indiquant que le gouvernement russe tente d'interférer dans l'élection présidentielle américaine de 2020. Le rapport ne précise pas en quoi consisteraient ces tentatives d'ingérence. Cependant, Recorded Future a recherché toute activité menée par des acteurs malveillants soutenus par l'État russe visant le président sortant Donald Trump, sa famille ou des personnalités associées à sa campagne depuis janvier 2020, mais n'a trouvé aucune référence à de telles tentatives à la date de rédaction du présent rapport. Les recherches en open source n'ont pas non plus permis de trouver de contenu pertinent. Nous avons également recherché toute activité attribuée à des acteurs malveillants soutenus par l'État russe visant l'ancien vice-président Joe Biden, la sénatrice Kamala Harris, la famille Biden, la famille Harris ou d'autres personnalités associées à la campagne depuis janvier 2020. Aucun indice d'activité d'intrusion n'a été détecté à l'encontre de ces personnes.

Since January 2020, there have been no indications of Russian APTs targeting the Republican National Committee (RNC), National Republican Congressional Committee (NRCC), or the National Republican Senatorial Committee (NRSC). Similar research into Russian APT groups’ targeting of the DNC or the Democratic National Convention Committee (DNCC) identified a total of 20 instances — all to historical items; none were indicative of any present or imminent threat aimed at the DNC or DCCC. Although these searches do not appear to reveal any ongoing or imminent threat against the political parties, as of this writing, it also does not preclude such efforts from the list of potential threats either. These references may be summarized generally as follows:

• Two results were references in social media to historical reporting associated with the 2016 intrusion into the DNC.
• At least six of these references were found in forum posts focused on disputing the assessments and findings of the intelligence community and information security industry in attributing the 2016 U.S. presidential election interference operations to Russian APT groups.
• One local news website also disputed the intelligence community findings.
• 10 references were to news websites or court documents associated with the reporting of Russian APT activity against the 2016 U.S. presidential election.
• One item that referenced this activity has since been removed from social media.

Threat Actors

APT28

Depuis janvier 2020, APT28 s'est livré à un certain nombre d'activités, telles que le développement d'infrastructures, des tentatives de spearphishing et le développement de logiciels malveillants. Parmi ceux-ci, seul le spearphishing présente un lien potentiel avec les élections, notamment une attaque présumée de phishing contre Burisma Holdings.

Attempted Spearphishing Activity

Le 13 janvier 2020, la société de cybersécurité Area 1 a publié un rapport intitulé « Phishing Burisma Holdings », qui décrit les tentatives de spearphishing qu'elle attribue au GRU/GU contre Burisma Holdings, une société énergétique basée à Kiev, en Ukraine. Selon le rapport, la campagne, active depuis au moins novembre 2019, utilisait des domaines qui imitaient ceux utilisés par des partenaires légitimes ou des filiales liées à Burisma Holdings. Burisma Holdings présente un intérêt particulier, car le fils de Joe Biden, Hunter Biden, a précédemment siégé au conseil d'administration de Burisma Holdings. Une initiative parallèle, sans lien avec la tentative d'hameçonnage, telle que rapportée par le Washington Post, a révélé plusieurs tentatives de la part d'affiliés de l'administration américaine actuelle visant à obtenir des informations concernant des enregistrements audio de Joe Biden en relation avec l'ancien président ukrainien Petro Porochenko. Cette activité comprenait la sollicitation d'informations auprès d'Andriy Derkach, un membre du Parlement ukrainien ayant des liens avec des groupes pro-russes.

One of the TTPs described in the Area 1 report includes the use of websites which mirror genuine login pages across multiple attack surfaces (for example, mimicking a Roundcube installation and Outlook 365 logins via Sharepoint) in an effort to obtain credentials for the targeted entities. This TTP aligns with previous methodologies employed by APT28 during the 2018 U.S. midterm election as well as the 2016 U.S. presidential election. In the course of the campaign, the threat actor leveraged various email-related authentication technologies to establish legitimacy. In particular, the threat actor used Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM) (cryptographic hash), both of which are used by a recipient to verify the identity of a sender. In doing so, the threat actor registered their SPF with a yandex[.]net Mail Exchange (MX) record, suggesting this action was conducted by a Russian-based threat actor.

APT28 a déjà mené des opérations de type « piratage et divulgation », ciblant des entités afin d'obtenir des informations sensibles qui sont ensuite divulguées dans le but de nuire à l'entité ciblée ou à des organisations et personnes affiliées. Il s'agit notamment des efforts déployés contre la campagne de l'ancienne secrétaire d'État Hillary Clinton lors de l'élection présidentielle américaine de 2016, ainsi que contre des organisations liées au sport international pendant les Jeux olympiques de 2016. Compte tenu de son implication dans ces campagnes et des liens entre Burisma Holdings et les climats politiques américain et ukrainien, il y a de fortes chances que ce groupe menaçant mène cette campagne dans le but d'obtenir des informations qui seront ensuite diffusées dans le cadre d'une opération d'information.

Capture d'écran des enregistrements de domaine et de certificat Sharepoint, ADFS, OneDrive (Source : Recorded Future)

Outlook

U.S. officials or organizations have a greater awareness of and are more prepared for the potential of foreign interference to the November 2020 elections. Russian threat actors or activity groups are likely sensitive to measures the U.S. has taken to defend the 2020 elections and factoring that into their calculus. Based on these changes, it is likely any threat activity that may emerge from Russia against the 2020 U.S. presidential election will manifest differently from past efforts.

Russian threat activity groups who had conducted intrusions and operations against political parties and candidates in 2016 and 2018 have largely refrained from acting as of this writing. Although there has been no identified activity from Russian threat activity groups against elections-related entities yet, there has been activity by these groups in relation to malware development and intrusions against other entities in the U.S. Additionally, there have been attempts to spearphish entities abroad that have a nexus to the election, due to their association with Democratic presidential candidate Joe Biden. It is unclear at the time of writing if those efforts were successful. Recorded Future notes that, in a separate effort, some audio content has begun to be released that appears to relate to Biden, although this content has not been validated by third-parties as authentic or unaltered. Given that threat activity groups like APT28 have previously waited to release information they have obtained via targeted intrusions in order to maximize their impact, it is possible that a similar approach to delayed information release could occur in advance of the election.

Information operations are much more amenable to threat actor anonymity and very difficult to combat. Recorded Future observes that such operations remain an ongoing and real threat to the 2020 U.S. presidential election. Recorded Future has identified how the presence of Russian domestic and foreign operations conducted by the One Africa, One Success WhatsApp group, EBLA, and troll farms in Nigeria and Ghana reveal a shift away from more centralized and controlled operations to distributed and resilient information operations networks. Although many such efforts have been identified and taken down, there are still likely more remaining, operating unseen. While the fragmentation of such operations could point to the success of a U.S. operation to disrupt IRA influence efforts during the 2018 U.S. midterm elections, it is likely that they also reveal a degree of persistence and resilience of these operations, in the near term.

Russian threat actors or activity groups actively sought to use domestic American assets to bypass social media’s increasingly difficult advertising restrictions against foreign nationals, as well as to increase the difficulty in accurately detecting false personas or personas influenced by nefarious objectives. As social media platforms continue to limit the availability of advertisements and ability for foreign nationals to engage in U.S. political discourse, we continue to expect that engagement with Americans will remain a priority by Russian influence operations assets to bypass ad restrictions, establishing intelligence assets, and astroturf divisive content.

The expansion of conspiracy groups like QAnon or anti-government groups like the Boogaloo movement pose an additional threat to the election. These leaderless groups have the potential to be infiltrated and co-opted by a foreign threat actor seeking to disrupt the election. Adherents to the QAnon conspiracy have already displayed a willingness to engage in “information warfare” and several of their followers have committed criminal acts. In a similar fashion, several adherents to the Boogaloo Movement have committed murder or attempted murder and attempted domestic terrorism in the hopes of acting on their anti-government creed, to bring about a second U.S. civil war. The group has had a visible presence in recent “reopen” and BLM protests, appearing in body armor and heavily armed. This group presents itself both as a physical threat to election security, should the group choose to target election-related assets or polling places, as well as an online threat to spreading disinformation, which could eventually skew towards election related topics in an anti-government narrative.

Editor's Note Cet article est un extrait d'un rapport complet. Pour lire l'analyse complète, click here to download the report as a PDF.