Кібератаки Кремля в Польщі та в Україні

Сучасні суспільно-політичні події давно перетворилися на сценарії шпигунсько-детективних історій, що знімаються в Голлівуді або на платформі Netflix.

Одного прекрасного дня у інформаційний простір країни вривається анонімний Telegram-канал, який публікує дані, що були отримані зі, зламаної хакерами, електронної поштової скриньки високопосадовця, який не просто виконує державні обов’язки, але має політичне значення в контексті майбутніх виборів. А отже, він сам уособлює собою вразливе місце у суспільно-політичній стабільності держави, та має велике значення для нормально перебігу демократичних виборів. Крім усього іншого, дії цього посадовця не влаштовую Кремль, оскільки він діє проти їх інтересів.

З анонімного Telegram-каналу інформація перепубліковується спочатку на маргінальних медіа-майданчиках, а потім вже і топові авторитетні журналісти країни не можуть обійти цю інформацію своєю увагою.

Дискусія про скандал переходить на екрани провідних телеканалів, і ось, вже вся країна обговорює на принципи і пріоритети демократичного та економічного розвитку, а виключно докази скандалу та спростувань з боку офіційних органів.

Знайомий сценарій для громадян Польщі, чи не так?

9-го червня 2021 року на анонімному Telegram-каналі були опубліковані дані зі зламаної скриньки глави канцелярії прем’єр-міністра Польщі Міхала Дворчика та його дружини.

За словами Дворчика, хакери також проникли на його акаунти у соцмережах. На жаль, прем’єра цього “серіалу” відбулася не в Польщі, і задовго до 2021-го року. У березні 2019-го, за кілька днів до президентських виборів в Україні, у месенджері Telegram так само з’явився анонімний Telegram-канал, який публікував посилання та інформацію з веб-сайту, на якому була розміщена інформація зі зламаних електронних скриньок українських посадовців, політологів та політичних радників, які входили в оточення діючого президента Петра Порошенка.

На зазначеному веб-сайті були опубліковані тексти, скріншоти та посилання на дампи (архівовані файли) зламаних поштових переписок. Серед зламаного електронного листування були як тексти самих email-повідомлень, так і інші текстові та графічні файли, що були прикріплені до email-повідомлень як attachments.

Серед файлів доступних для завантаження з сайту я виявив також файл формату Microsoft Word з назвою російською мовою “!!! Общее описание всех документов, со ссылками на них + пометки” (українською – “Загальний опис усіх документів з посиланнями на них + примітки”).

У документі містилися пропозиції про те, яким чином краще подати для аудиторії знахідки зі зламаних поштових скриньок посадовців та людей, близьких до президента Петра Порошенка.

Ці пропозиції підкріплювалися посиланнями на конкретні документи зі зламаних поштових скриньок, які зберігалися на файлообміннику Google Disk. Ці документи являли собою драфти та копії різних договорів, офіційних документів, які відносилися до роботи компаній, з якими Петро Порошенко був пов’язаний до свого президентства.

Виявилося, що при переході за вказаними посиланнями на Google Disk можна побачити файли документів, а також встановити, хто був власником електронної поштової скриньки на GMail, на яку було зареєстровано цей Google Disk. Цією особою виявився Олександр Дубінський – український журналіст, що працював на телеканалі, який належав українському Ігорю Коломойському, а згодом став народним депутатом українського парламенту від партії нового президента “Слуга народу”.

Найбільш ймовірним поясненням цього є те, що при публікації даних та файлів зі зламаних скриньок онлайн, ті, хто створювали сайт і Telegram-канал для розповсюдження матеріалів, що були отримані від хакерських атак на email, просто забули вилучити з файлового масиву внутрішній документ, який використовувався для узгодження плану інформаційної атаки.

Однак, і український досвід використання хакерських зламів в якості політичних атак не є новим чи інноваційним. Ще у 2016-му році зловмисники здійснили кібератаку на Національний комітет Демократичної партії США. В результаті проведеного розслідування було встановлено, що зламати Демократичну партію США вдалось двом угрупуванням російських хакерів — Cozy Bear (CozyDuke або APT29) та Fancy Bear (Sofacy Group або APT28). Група Cozy Bear отримала несанкційований доступ до інформаційної системи ще влітку 2015 року, а Fancy Bear — в квітні 2016 року.

Заради легалізації викрадених даних було створене опудало, що мало служити фасадом для угрупування — «хакер» за прізвиськом Guccifer 2.0. Дане прізвисько було запозичене в іншого хакера — румунця Марселя Лазара Лехеля, котрий назвав себе Guccifer (злиття слів Gucci та Lucifer).

Марсель Лехель став відомим завдяки зламу поштових скриньок відомих людей (зокрема, сестри Джорджа Вокера Буша). В 2014 році він був засуджений в Румунії до 7 років ув’язнення, але згодом переданий до Сполучених Штатів. Вже в США Лехель заявив, що неодноразово зламував особистий поштовий сервер Гілларі Клінтон, коли та була державним секретарем США. Однак в липні 2016 року директор ФБР Джеймс Комі заявив, що Лазар збрехав і не зміг навести переконливі докази своєї причетності.

На думку аналітиків фірми ThreatConnect, швидше за все, Guccifer 2.0 — лише спроба російських спецслужб відвернути увагу від їхньої ролі у зламі інформаційних систем Демократичної партії.

Слід відзначити, що одним з ключових термінів, які застосовуються при атрибуції хакерських атак, тобто встановлення причетності хакерських груп до конкретних зламів, є поняття footprints (сліди). Я не є технічним спеціалістом, однак я можу сказати, що вбачаю за кібератаками на оточення українського президента Петра Порошенка наявність слідів російських спецслужб.

Що ж стосується зламів Демократичної партії, то американське слідство встановило, що це було вчинено хакерськими групами, причетними до спецслужб Росії.

Таким чином, російські спецслужби діють скрізь за одним і тим же сценарієм, вони зламують поштові скриньки політиків, щоб публікувати їх вміст під певним негативним наративом. Тим самим, маніпулюючи громадською думкою, щоб здійснити вплив на вибори, або на внутрішню суспільно-політичну ситуацію.

В мене немає сумніву, що скандал у Польщі, у зв’язку зі зламом поштової скриньки Міхала Дворчика, був організований та інспірований Кремлем.

Autor: Дмитро Золотухін, Засновник Інституту Постінформаційного Суспільства

Завдання реалізовується Міністерством Закордонних Справ Польщі в межах програми “Громадська дипломатія 2021”. Публікація відображає виключно думку автора/ів і не може ототожнюватись з офіційною позицією Міністерства Закордонних Справ Польщі.