Российские киберпреступники «CyberBerkut»: компания дезинформации и пропаганды

Информационные операции, проводимые Россией против своих противников, часто изображаются как хорошо спланированные задачи, выполняемые секретными отделами спецподразделений. Это позволяет понять стратегические и долгосрочные цели, которые Кремль пытается достичь в отношении дезинформационной и пропагандистской деятельности. Анализ некоторых кибератак и спецопераций по дезинформации совершенных Россией позволяет сделать вывод о том, что Кремль задействует хакеров среди гражданского населения.
Они, относительно независимо, выполняют различные задачи которые представляют интерес государственной структуре, после чего вербуются сотрудниками ГРУ или ФСБ, как только докажут свою полезность. Одна из таких групп — «CyberBerkut», созданная в 2014 году и работающая против Украины. Ее основной задачей является делегитимизировать ее законно избранные органы власти, а также подорвать позиции страны в глазах западных союзников.

Первые действия «CyberBerkut» были отмечены в марте 2014 года в рамках широкой враждебной операции России против Украины после незаконной аннексии Крымского полуострова и вторжения на Восток Украины. В то время группа провела несколько враждебных операций в киберпространстве, направленных на дестабилизацию украинского государства. Эти действия включали, среди прочего, распределенные атаки типа «отказ в обслуживании» (DDoS), сетевые вторжения, перехват DNS и уничтожение данных. Группа позиционировала себя как пророссийская хакерская массовая организация, созданная украинскими гражданами, недовольными проевропейскими изменениями в стране.
СМОТРИ ТАКЖЕ
Истинное лицо секретной армии Путина. Часть 1 Однако уровень организации «CyberBerkut» и координация действий с российскими военными, а также политическими наступательными действиями вызывает сомнение о негосударственном характере группы. Несмотря на то, что доказать четкую и прямую связь между Кремлем и «CyberBerkut» трудно, вероятно, что между ними существуют прочные косвенные связи, и хакеры не являются теми, кто диктует свои условия в этой связке. Анализ показывает, что совпадение целей между группой и другими организациями, участвующими в конкретных российских операциях, а также инструменты и информация, используемые группой в этих операциях, могут быть навязаны Кремлем. Есть свидетельства того, что «CyberBerkut» координировал свою деятельность с группой «APT28» (группа хакеров, вероятно связанная с ГРУ, имеющая более известное название как Fancy Bear), которую, по мнению экспертов, курирует ГРУ. Степень такой координации показывает, что один и тот же человек или организация, контролирует оба объекта, чтобы обеспечить определенный уровень работы и информационного потока.

Учитывая специфику российской гибридной войны, которая широко использует пропаганду и дезинформацию во многих областях своей работы, «CyberBerkut» должен выступать в качестве силы, которая продвигает враждебную деятельность РФ в киберпространстве под четким контролем спецслужб. Тем не менее, возможно, что вначале после создания, в Кремле предоставили определенный уровень независимости для хакерской группы, чтобы «CyberBerkut» рассматривали как не причастное к государству образование. Такой шаг позволил бы группе развивать свои естественные сильные стороны.
СМОТРИ ТАКЖЕ
Поставки російської зброї: як «підставляють» Україну В подтверждении данной теории свидетельствует определенный сдвиг сдвиг  в методах работы киберпреступников. В конце 2014 года группа начала уделять больше внимания утечкам данных, а не атакам на IT-инфраструктуру и проведению кибератак. С тех пор «CyberBerkut»  специализировались на информационных операциях, направленных на общественное мнение в Украине и за рубежом. Группа стала достаточно успешной, чтобы получить освещение в СМИ и стать узнаваемой во многих странах мира.

«CyberBerkut» сохраняли высокий уровень организованности в отношении основной цели. Несмотря на то, что группа была активна в течение относительно длительного времени, они не изменили вектор направленности и не сменили область интересов.
СМОТРИ ТАКЖЕ
Дави «диких гусей» – спасай Африку С самого начала деятельность «CyberBerkut» была направлена против Украины, независимо от характера операций – кибератаки, пропаганда или дезинформация. Большая часть зарегистрированной деятельности группы осуществлялась в течение первых двух лет существования, однако она оставалась активной все время до настоящего времени. Вероятно, что во время обострения конфликта «CyberBerkut» также начинают более активную фазу деятельности.

Самой характерной тактикой группы в последние годы были «утечки данных». В отличие от многих других групп хакеров, заинтересованных в том, чтобы завоевать доверие широкой аудитории, «CyberBerkut» не предоставляют информацию о том, как и когда они смогли получить информацию. Таким образом, можно предположить, что, по крайней мере, часть просочившейся информации и документов не была получена самой группой.
СМОТРИ ТАКЖЕ
“Палац Путіна” та український бандюк Также невозможно оценить значимость многих из этих документов, а также их подлинность. Это говорит о том, что либо группа не придает большого значения подлинности информации, которую она распространяет, либо она просто предоставляется с материалами, поступающими от третьих лиц, и «CyberBerkut» просто не могут проверить достоверность информации. Вероятно, это смесь того и другого, что указывает на роль группы в российском аппарате дезинформации, как центра распространения конкретных антиукраинских настроений.

Опираясь на совершенные киберпреступления, можно сделать вывод, что «CyberBerkut» может легко выбирать инструменты и тактику из относительно своего арсенала в зависимости от текущих задач. Тем не менее, с 2014 года хоть хакеры и выполняли задачи относительно широкого спектра, уже осенью того же года, группа полностью перешла на программу пропаганды и дезинформации и больше не была замечена в крупных взломах кибернетической инфраструктуры Украины. Есть два возможных объяснения: группа испытала отток квалифицированных кадров и не смогла пополнить ряды такими же профессионалами; было принято стратегическое решение изменить профиль и специализироваться на распространении дезинформации.

Не исключено, что «CyberBerkut» с некоторой точки зрения должны был служить подставной организацией, отвлекающей внимание СМИ и общественного мнения от других групп, таких как «Fancy Bear». Несмотря на это, совершенно точно можно сказать, что «CyberBerkut» действовали на пользу, так называемых, Л-ДНР и четко координировали свои действия с российским правительством. Учитывая тот факт, что оккупированная часть Донецкой и Луганской областей остается недоступной для международных наблюдателей и украинских военных, все же поддержка этих территорий «CyberBerkut» говорит сама за себя.

Пропаганда и дезинформация, распространяемые группой хакеров, различаются по темам, однако большинство из них нацелены на то, чтобы вселить страх в аудиторию. Это давно известная российская тактика. Страх как первичная эмоция преобладает над большинством других реакций и побуждает к мгновенным и компульсивным действиям, так называемой реакции “бей или беги”. В реальной жизни это приводит либо к избеганию источника страха (бегство), либо к попыткам смягчить или устранить его (борьба). В случае информационных операций, проводимых в контролируемых государством пропагандистских СМИ, а также в киберпространстве, где объекты влияния в большинстве случаев лишены какой-либо возможной реакции, страх приводит к разочарованию, которое затем передается довольно пассивным, но все же значимым образом. Например, разжигание ненависти и оказание поддержки экстремистским движениям или авторитарным политическим режимам, которые преподносятся как “реально” контролирующие ситуацию. Часто, они противостоят, якобы, бессильным правовым системам. Таким образом, России выгодно постоянно поддерживать определенный уровень страха среди аудитории с помощью хорошо продуманных нарративов. Одним из таких примеров является теория заговора о том, что “США разместили во многих странах мира биохимические лаборатории, откуда был распространен вирус COVID-19.

Данный пример представляет собой типичную операцию по утечке информации «CyberBerkut», где источник и надежность информации не могут быть доказаны, но это не имеет значения, поскольку эффект измеряется с точки зрения психологической реакции населения. Другой, более сложный пример, это операция типа “взлом и утечка”. В этом случае группа пытается взломать какую-то цель, получить реальную информацию и использовать ее по своему усмотрению. Стоит отметить, что взломанная цель может не содержать для злоумышленника полезной информации, однако тот факт, что она была взломана, может использоваться для оправдания поддельной информации, распространяемой пропагандистами. Основная цель операций “взлом и утечка” — дискредитация мотивации и возможностей цели, а также последующее высмеивание ее. Это был случай операции, проведенной «CyberBerkut» в 2015 году против Украинской армии в рамках информационной политики Министерства Украины. Хакерам удалось получить доступ к нескольким электронным письмам МАУ и разместить их в сети. Эксперты считают, что электронные письма являются подлинными.

Атака на украинские госучреждения типична для «CyberBerkut» и уже за первые два года существования группе удалось сформировать относительно большой портфель таких жертв. Вначале группа использовала свои технические возможности, чтобы нарушить функционирование политических и военных структур и, следовательно, подорвать их надежность в самый активный период российского наступления. Несколько DDoS-атак были направлены, в частности, на веб-сайт премьер-министра Украины и ЦИК (Центральная избирательная комиссия) Украины.. Таким образом, Россия могла бы привести аргументы Кремля, чтобы подорвать демократический выбор украинского народа и разыграть проблему, как на международном, так и на внутреннем уровне.

«CyberBerkut» также нацелен на негосударственные организации и субъектов. В 2014 году группа провела DDoS-атаку на ПриватБанк, владельцем которого на тот момент был олигарх Игорь Коломойский. В том же году Коломойский был назначен правительством Украины губернатором Днепропетровской области и поддерживал территориальную целостность Украины перед лицом российской агрессии. Операция проводилась с помощью ботнета по найму. В мае и ноябре 2015 года «CyberBerkut» пытались скомпрометировать НПО (неправительственная организация) «Открытое общество» утечкой данных. Утекшие документы должны были доказать серьезную неэффективность управления в Министерстве финансов Украины и попытаться связать его с Джорджем Соросом, американским миллиардером и основателем «Открытого общества», который открыто критиковал российский режим и лично Владимира Путина. В атаке на Сороса, «CyberBerkut» использовал одно из хорошо известных пропагандистских направлений в России, которое изображает ее, как “страну-жертву, атакованную коррумпированными западными либеральными элитами, провоцирующими «цветные революции»”. Также «CyberBerkut» преследовали независимых журналистов, активно расследующих российскую агрессию и вмешательство в Украину. Ярким примером такой акции является операция против Дэвида Саттера в 2016 году, американского журналиста, чьи украденные электронные письма просочились в результате фишинг-атаки. Украденные сообщения содержали информацию о предполагаемой причастности Национального фонда за демократию (NED) к украинской революции. NED — грантовый фонд США, который оказывает финансовую поддержку неправительственным организациям по всему миру. Одним из основных источников финансирования NED являются правительственные агентства США. Украв электронных письма Саттера «CyberBerkut» попытались использовать ту же стратегию, что и в случае с Соросом, обвиняя США в финансировании антироссийские революции.

Чтобы лучше понять природу операций «CyberBerkut» и возможности группы в отношении распространения производимой дезинформации, стоит изучить дело якобы инсценированного обезглавливания военного корреспондента США Джеймса Фоули, который был схвачен и убит ИГИЛ в Сирии в 2014 году. Фоули сразу же стал “вирусным” и был освещен влиятельными мировыми СМИ, так как был первым гражданином США, убитым террористами ИГИЛ. Убийство также было жестоким по своему характеру. Казнь была осуществлена Мохаммедом Эмвази (Джихади Джон), снята на видео и выпущена ИГИЛ для распространения идеологического послания группы. Это видео было хорошо подготовлено, как с точки зрения пропаганды, так и с точки зрения технических стандартов.

Джеймс Фоули

Через несколько дней после публикации видео, некоторые СМИ сообщили, что, по словам “международной судебно-медицинской компании, которая работала на полицию по всей Великобритании”, зафиксированный момент обезглавливания, вероятно, был инсценирован, поскольку из перерезанного горла Фоули не шла кровь. При этом анонимные эксперты указанной компании утверждали, что “никто не оспаривает, что в какой-то момент произошла казнь”.

Кадры из видео казни Фоули, расследованные крминалистами

Криминалистическая экспертиза сфокусировалась на технических деталях видеозаписи и не отрицала, что обезглавливание действительно имело место быть. Это помогло подготовить почву для изощренной информационной операции, которую «CyberBerkut» последовательно проводит против США в отношении текущей политической ситуации в Украине.

Спустя почти год после того, как ИГИЛ опубликовало свое видео, «CyberBerkut» выложили в сеть в июле 2015 года документы, предположительно принадлежащие одному из сотрудников сенатора Джона Маккейна. Хакеры утверждали, что во время своего визита в Украину в 2015 году, который действительно состоялся, Маккейн встретился с неким сотрудником, чье устройство якобы было взломано, и «CyberBerkut» получили доступ к конфиденциальным документам. Ключевым открытием группы стало видео, которое якобы доказывает, что обезглавливание Фоули было инсценировано гораздо более изощренным способом, чем об этом сообщали СМИ в 2014 году.

Видео, якобы добытое из личной информации некоего сотрудника согласно сведениям «CyberBerkut»

На видео показана съемочная группа, оснащенная профессиональным освещением и камерами в каком-то месте, похожем на студию, и двух мужчин, похожих на Эмвази и Фоли, стоящих перед зеленым экраном, который широко используется для отображения цифрового фона. Видео без звука и выглядит так, будто команда репетировала казнь. Связь с видео, выпущенным ИГИЛ, очевидна. Это говорит о том, что все обезглавливание могло быть инсценировано и происходило не в Сирии. Позже «CyberBerkut» выпустили аналитическое видео, в котором группа кадр за кадром пыталась доказать, что обезглавливание было сфальсифицировано. Это должно было узаконить первое видео и улучшить обмен сообщениями о том, что Маккейн был причастен к инсценировке дела.

Кампания была очень успешной с точки зрения охвата. Утечка информации была распространена многими СМИ и «CyberBerkut» несколько раз был назван группой хакеров активистов, завоевавшей всемирное доверие и признание. Модель распространения этой кампании была типичной для российских операций по дезинформации и влиянию. Впервые он появился на сайте «CyberBerkut», который остается нишевым источником информации и никоим образом не может считаться надежным. Затем его опубликовал Пол Джозеф Уотсон, соратник Алекса Джонса, чей веб-сайт «InfoWars» распространяет ультраправые теории заговора, часто совпадающие с российской пропагандой. Оттуда он быстро распространился по нескольким блогам, веб-сайтам, посвященным технологиям, средствам массовой информации, местным СМИ, социальным сетям и другим веб-сайтам, ориентированным на сообщества, которые собирают единомышленников, ищущих альтернативу основным, независимым источникам. Все они стали усилителями дезинформирующего воздействия и обеспечили “достоверность” операции. Одним из примеров является польская местная газета Gazeta Wrocławska, которая не только усилила сообщения «CyberBerkut», но даже проигнорировала его оригинальный комментарий на английском языке и ошибочно заявила, что Уотсон считал, что США создали ИГИЛ. Газета даже не пыталась оценить достоверность материала, оставив его читателям.

Скриншот с сайта Gazeta Wrocławska

Эта информация по-прежнему доступна в Интернете, хотя с момента ее первого обнародования прошло шесть лет. Все это время дезинформация продолжала влиять на неосведомленных пользователей Интернета, рассказывая о том, что США замышляют заговоры против других стран и готовы пойти на войну без веских причин.

Тем не менее, необходимо отметить, что «CyberBerkut» не особо заботятся о своем авторитете как независимой активистской организации, которая действует под эгидой правды. В отличие от большинства независимых групп, которые собирают идеологически мотивированных IT-специалистов, «CyberBerkut»  прилагает очень мало усилий, если вообще прилагает какие-либо усилия, чтобы убедить целевую аудиторию в правдивости и независимости собранных данных.

Удивительно, но, несмотря на все свидетельства тесных связей «CyberBerkut» с Россией и, так называемыми властями «Л-ДНР», их все еще считают независимой группой хакеров. Большинство доступных источников называют группу “хактивистами”, “онлайн-сообществом” или “русскими хакерами”, добавляя приставку — “пророссийские”, да и то не всегда. Не смотря на это, наблюдение и анализ деятельности «CyberBerkut»  за последние семь лет предоставляют достаточно данных для утверждения того, что группа, скорее всего, была создана российскими или контролируемыми Россией предприятиями с намерением убедить всех, что группа является независимой организацией и добровольно действует против Украины. Такая структура дает Кремлю полный залог конфиденциальности, одновременно обеспечивая большую часть оперативной пропаганды и дезинформации.

Источник: https://myc.news/rassledovaniya_/rossijskie_kiberprestupniki__kompaniya_dezinformacii_i_propagandy

от gaslo

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *