Zes jaar geleden, een Russisch sprekende cybersecurity-onderzoeker ontving een ongevraagde e-mail van Kate S. Milton.

Milton beweerde te werken voor het in Moskou gevestigde antivirusbedrijf Kaspersky. In een uitwisseling die begon in het haperende Engels en snel overging op het Russisch, Milton zei dat ze onder de indruk was van het werk van de onderzoeker op het gebied van exploits - de digitale lockpicks die door hackers worden gebruikt om in te breken in kwetsbare systemen - en wilde worden gekopieerd op alle nieuwe die de onderzoeker tegenkwam.

"Je hebt bijna altijd alle topprestaties, "Milton zei, na de onderzoeker een compliment te hebben gegeven over een bericht op haar website, waar ze vaak kwaadaardige software ontleedde.

"Opdat ons contact niet eenzijdig is, Ik bied je mijn hulp aan bij het analyseren van kwaadaardige virussen, en als ik nieuwe monsters krijg, zal ik ze delen, "Vervolgde Milton. "Wat denk je?"

De onderzoeker - die werkt als beveiligingsingenieur en daarnaast de site voor het delen van malware beheert - had altijd een redelijk goed idee dat Milton niet was wie ze zei dat ze was. Vorige maand, ze kreeg bevestiging via een FBI-aanklacht.

De aanklacht, openbaar gemaakt op 13 juli tilde het deksel op de Russische hackoperatie die gericht was op de Amerikaanse presidentsverkiezingen van 2016. Het identificeerde "Kate S. Milton" als een alias voor militaire inlichtingenofficier Ivan Yermakov, een van de 12 Russische spionnen die ervan worden beschuldigd in te breken in het Democratisch Nationaal Comité en zijn e-mails te publiceren in een poging de verkiezingen van 2016 te beïnvloeden.

De onderzoeker, die haar uitwisselingen met Milton aan The Associated Press gaf op voorwaarde van anonimiteit, zei dat ze niet blij was te horen dat ze had gecorrespondeerd met een vermeende Russische spion. Maar ze was ook niet bijzonder verrast.

"Dit onderzoeksgebied is een magneet voor verdachte mensen, " ze zei.

De onderzoeker en Milton voerden een handvol gesprekken tussen april 2011 en maart 2012. Maar zelfs hun schaarse uitwisselingen, samen met een paar digitale broodkruimels achtergelaten door Yermakov en zijn collega's, inzicht bieden in de mannen achter de toetsenborden van de belangrijkste inlichtingendienst van Rusland, of GRU.

____

Het is niet ongebruikelijk dat berichten zoals die van Milton uit het niets binnenkomen, vooral in de relatief kleine wereld van onafhankelijke malware-analisten.

"Er was niets bijzonders in haar benadering, " zei de onderzoeker. "Ik had zeer vergelijkbare interacties met amateur- en professionele onderzoekers uit verschillende landen."

Het paar correspondeerde een tijdje. Milton deelde op een bepaald moment een stukje kwaadaardige code en stuurde op een ander moment een hackgerelateerde YouTube-video, maar het contact verwaterde na een paar maanden.

Vervolgens, volgend jaar, Milton nam weer contact op.

"Het is allemaal werk geweest, werk, werk, " Milton zei bij wijze van verontschuldiging, voordat je snel ter zake komt. Ze had nieuwe lockpicks nodig.

"Ik weet dat je kunt helpen, " schreef ze. "Ik werk aan een nieuw project en ik heb echt contacten nodig die informatie kunnen verstrekken of contacten hebben met mensen die nieuwe exploits hebben. Ik ben bereid ervoor te betalen."

Vooral, Milton zei dat ze informatie wilde hebben over een recent onthulde kwetsbaarheid met de codenaam CVE-2012-0002 - een kritieke Microsoft-fout die hackers in staat zou kunnen stellen om op afstand sommige Windows-computers binnen te dringen. Milton had gehoord dat iemand al een werkend wapenfeit in elkaar had geflanst.

"Ik wil het graag hebben, " ze zei.

De onderzoeker aarzelde. De handel in exploits - voor gebruik door spionnen, politie, bewakingsbedrijven of criminelen - kan een louche zijn.

"Ik blijf meestal uit de buurt van potentiële kopers en verkopers, ’ zei ze tegen de AP.

Ze weigerde beleefd - en hoorde nooit meer van Milton.

____

Het Twitter-account van Milton - op wiens profielfoto "Lost" -ster Evangeline Lilly staat - is lange tijd inactief geweest. De laatste paar berichten bevatten dringende, onhandig geformuleerde oproepen voor exploits of tips over kwetsbaarheden.

"Help me een gedetailleerde beschrijving CVE-2011-0978 te vinden, " een bericht leest, verwijzend naar een bug in PHP, een codeertaal die vaak wordt gebruikt voor websites. "Heeft een werk-exploit nodig, " gaat het bericht verder, eindigend met een smiley.

Het is niet duidelijk of Yermakov voor de GRU werkte toen hij zich voor het eerst voordeed als Kate S. Milton. Miltons Twitter-stilte - die in 2011 begon - en de verwijzing naar een "nieuw project" in 2012 zou kunnen wijzen op een nieuwe baan.

In elk geval, Yermakov werkte niet voor het antivirusbedrijf Kaspersky - toen niet en nooit, aldus het bedrijf in een verklaring.

"We weten niet waarom hij zich zou hebben gepresenteerd als werknemer, " aldus de verklaring.

Berichten die door de AP naar het Gmail-account van Kate S. Milton werden gestuurd, werden niet teruggestuurd.

De uitwisselingen tussen Milton (Yermakov) en de onderzoeker konden op verschillende manieren worden gelezen.

Ze zouden kunnen aantonen dat de GRU mensen in de informatiebeveiligingsgemeenschap probeerde te cultiveren met het oog op het zo snel mogelijk krijgen van de nieuwste exploits, zei Cosimo Mortola, een analist van bedreigingsinformatie bij het cyberbeveiligingsbedrijf FireEye.

Het is ook mogelijk dat Yermakov aanvankelijk als onafhankelijke hacker heeft gewerkt, op zoek naar spionagetools voordat ze worden ingehuurd door de Russische militaire inlichtingendienst - een theorie die logisch is voor defensie- en buitenlands-beleidsanalist Pavel Felgenhauer.

"Voor cyber, je moet jongens inhuren die computers begrijpen en alles wat de oude spionnen bij de GRU niet begrijpen, " zei Felgenhauer. "Je vindt een goede hacker, je rekruteert hem en geeft hem een ​​opleiding en een rang - een luitenant of zoiets - en dan zal hij hetzelfde doen."

____

Het lekken van Miltons gesprekken laat zien hoe de felle publiciteit elementen van de methoden van de hackers onthult - en misschien zelfs hints over hun privéleven.

Het is mogelijk, bijvoorbeeld, dat Yermakov en veel van zijn collega's pendelen naar hun werk door de gewelfde ingang van Komsomolsky 22, een militaire basis in het hart van Moskou die dienst doet als thuisbasis van de vermeende hackereenheid 26165. Foto's van binnenuit laten zien dat het een goed onderhouden faciliteit is, met een gevel uit het tsaristische tijdperk, verzorgde gazons, bloembedden en schaduwrijke bomen op een centrale binnenplaats.

De AP en anderen hebben geprobeerd het digitale leven van de mannen te traceren, verwijzingen vinden naar enkele van degenen die door de FBI zijn aangeklaagd in academische artikelen over informatica en wiskunde, op de deelnemerslijsten van de Russische cyberbeveiligingsconferentie of – in het geval van Cpt. Nikolaj Kozachek, bijgenaamd "kazak"—geschreven in de kwaadaardige code gemaakt door Fancy Bear, the nickname long applied to the hacking squad before their identities were allegedly revealed by the FBI.

One of Kozachek's other nicknames also appears on a website that allowed users to mine tokens for new weapons to use in the first-person shooter videogame "Counter Strike:Global Offensive"—providing a flavor of the hackers' extracurricular interests.

The AP has also uncovered several social media profiles tied to another of Yermakov's indicted colleagues—Lt. Aleksey Lukashev, allegedly the man behind the successful phishing of the email account belonging to Hillary Clinton's campaign chairman, John Podesta.

Lukashev operated a Twitter account under the alias "Den Katenberg, " according to an analysis of the indictment as well as data supplied by the cybersecurity firm Secureworks and Twitter's "Find My Friends" feature.

A tipster using the Russian facial recognition search engine FindFace recently pointed the AP to a VKontatke account that, while using a different name, appears active and features photos of the same young, Slavic-looking man.

Many of his posts and his friends appear to originate from a district outside Moscow known as Voskresensky. The photos show him cross-country skiing at night, wading in emerald waters somewhere warm and visiting Yaroslavl, an ancient city northwest of Moscow. One video appeared to show Russia's 2017 Spasskaya Tower Festival, a military music festival popular with officers.

The AP could not establish with certainty that the man on the VKontatke account is Lukashev. Several people listed as friends either declined to comment when approached by the AP or said Lukashev's name was unknown to them.

Kort daarna, the profile's owner locked down his account, making his vacation snaps invisible to outsiders.

© 2018 The Associated Press. Alle rechten voorbehouden.