Украински КиберАлианс (УКА, англ. Ukrainian Cyber Alliance, UCA) е общност от украински киберактивисти от различни градове на Украйна и краища на света. Съюзът се появи през пролетта на 2016 г. от сливането на двете групи FalconsFlame и Trinity, към които по-късно се присъедини RUH8. Активистите от алианса са известни с десетките си успешни операции срещу руското правителство и неговите проксита в окупираните украински територии, предприети в отговор на анексирането на Крим и окупирането на част от Донбас. От три години активистите подпомагат службите за сигурност на Украйна за повишаване на киберсигурността на страната и отстраняване на уязвими места в обекти от критичната инфраструктура.

Една от най-известните акции на UCA е проникването в пощата на канцеларията на Владислав Сурков – помощник на президента на РФ и неофициален ръководител на руските операци в Украйна до оставката му на 18 февруари тази година. Операцията стана популярна като #SurkovLeaks, а по предоставените от активистите данни и досега работят и публикуват материали уважавани разследващи групи и журналисти в различни страни по света.

Украински кибералианс предава ексклузивно получените данни за проверка, анализ, проучване и публикуване на международната разследваща общност InformNapalm, както и на силовите структури на Украйна в интерес на борбата с руската агресия. С някои от операциите може да се запознаете в обзорния материал за 2016 година.

Обиски у трима активисти от алианса

Рано сутринта на 25 февруари започнаха обиски едновременно у трима активисти от UCA. Претърсванията у киберспециалистите ссе вписват в цяла поредица атаки от страна на службите, прокуратурата и съда в Украйна срещу волонтери, доброволци от фронта и активисти през последните месеци.

Формално обявената причина за обиските е случай от октомври 2019 година в Одеса, когато  за няколко минути на таблото на Одеското международно летище на мястото на логото на компаниите се появи снимката на Грета Таунберг с надпис “F#ck you Gretta”. Но впечатленията от начина, по който са проведени обиските по-скоро навеждат на мисълта, че правоохранителите са били по-заинтересовани от изземването на компютърната техника.

Накоро UCA проведе кампания за заздравяване на информационната сигурност на украинските държавни органи и други критични обекти на украинската инфраструктура под името #FuckResponsibleDisclosure или #FRD. В рамките на кампанията групата информираше публично за открити уязвимости в сайтове, или включени към интернет системи на различни украински организации, а конфиденциално уведомяваше за характера на уязвимостта украинските служби за сигурност.
Компютърните системи на летището в Одеса също бяха сред откритите уязвими звена. Украински кибер алианс два пъти публикува съобщения за открити слабости в системите на одеското летище – веднъж преди година, и веднъж седмица преди инцидента от 16 октомври 2019 с таблото на летището. И в двата случая службите за сигурност на Украйна са надлежно уведомени за резултатите от проверките.

Заповедта за обиск е издадена от съда в гр. Одеса по случая с появяването за кратък период на снимката на Грета Таунберг с надпис “F#ck you Gretta” на мястото на знаците на самолетните компании .  Траялите цял ден обиски в домовете на активистите и на техни роднини са проведени от одески полицаи, въпреки, че те се намират в Киев.

На 26 февруари активистите от Ukrainian Cyber Alliance дадоха пресконференция по повод направените обиски. Публикуваме запис и резюме на изказванията. Пълната разшифровка на пресконференцията е в украинския текст на материала.

Запис от пресконференцията

Активистите разказаха, че на 25 февруари полицията е претърсила домовете на  Андрий Переверзий (също и дома на майка му, където е детето му), Олександър Галущенко и Андрий Баранович (по-известен като Шон Таунсенд, говорител на UCA). Въпреки че всички тези жилища са в Киев, претърсванията са проведени от полицейските служители от район „Малиновски“ в Одеса, заедно със служители на СБУ и киберполицията от Одеса и Киев, и местни служители от отдела за бързо реагиране (KORD) (Подразделение за извънредни ситуации към Националната полиция, чието ниво е толкова високо и комплексно, че често може да превиши възможностите на оперативните и разследващите звена).

При всеки от обиските полицаите са акцентирали вниманието си върху събирането на възможно най-много компютърен хардуер, иззети са дори устройства, които не могат да съдържат никаква полезна за разследването информация, като безжичен рутер, счупен ноутбук без твърд диск и личният телефон на детето на Переверзий. Разследващите са проявявали интерес основно към всички налични комуникации между членовете на UCA и изглежда не са се интересували особено от летището в Одеса.

Вадим Колоколников, адвокатът, представляващ групата, подчерта, че обиските са извършени с множество нарушения: вместо да копират данните, разследващите конфискуват цялото оборудване, което е забранено от закона; в заповедта за претърсване не са посочени лицата, упълномощени да го проведат, а заповедта потвърждава, че полицията е водила тайно следене и наблюдение на заподозрените, което е разрешено само в случаи на най-тежки престъпления.

Членовете на UCA отбелязват, че всички активисти са опитни професионалисти по сигурността на информацията и кампанията #FRD е стартирана до голяма степен, за да компенсира липсата на специализирани знания сред персонала на правителствените агенции, отговарящи за киберсигурността в Украйна. „Към днешна дата Украински Кибер Алианс обединява специалисти по киберсигурност, киберзащита и информационна сигурност. Всеки от нас е сертифициран специалист и да ни обвиняват, че публикуваме някакви снимки, защото нямаме какво да правим, е най-малко абсурдно“ – Казва Андрий Первезий.

Активистите обявиха, че в правоохранителните органи на Украйна няма компетентни кадри, които могат да извлекат информация от иззетите ноутбуци и всякакви манипулации по този въпрос ще бъдат незабавно пресичани като неверни.

Членовете на UCA заявиха, че не са отговорни за пробива в системата на одеското летище на 16 октомври и никога не са нарушавали украинския закон. Точно обратното, освен стандартните уведомления до службите за сигурност, са информирали и частната компания, собственик на летището, както и Мнистерство на инфраструктурата на Украйна за уязвимите места в системата на летището. Министерството е отказало да вземе отношение, оправдавайки се с факта, че летището е частна собственост, извън техния контрол, а компанията собственик не е предприела никакви действия за защита на системата си. Вместо това, по всяка вероятност, използва връзките си с корумпирани служители, за да отмъсти на UCA. Адвокатът

Киберактивистите използваха ситуацията, за да поставят отново проблема с частната собственост на критична инфраструктура и недостатъчното лостове на правителствените служби, отговарящи за защитата на украинската инфраструктура срещу кибератаки, с които да принудят частните компании да се занимават с информационната си сигурност. В тази връзка UCA настоятелно препоръчва да се създаде регистър на критичната инфраструктура в Украйна, която е частна собственост, и да се въведат разпоредби, които да позволяват на държавните агенции да контролират нивото на информационна сигурност на тези обекти от инфраструктурата.

Адвокатът на UCA заяви, че в момента подготвят поредица от официални жалби относно унищожаването на имущество по време на претърсванията, конфискуването на ценно имущество и злоупотребата с власт от страна на полицията. Той не изключи и възможността за търсене на наказателна отговорност за злоупотребата с държавна власт от лица в одеската полиция.

Членовете на UCA заявиха, че официално преустановяват сътрудничеството на групата с украинските служби за сигурност докато или бъде произнесено справдедливо решение на съда, или бъдат свалени всички обвинения.

За работата на Украински Кибер Алианс за повишаване на киберсигурността на украинската държава

Артем Карпински : Вече трета поредна година Украински Кибер Алианс, без да пести нито собствените си ресурси, нито скъпоструващото си време, официално се занимава с проблемите на киберсигурността и на обекти от критичната инфраструктура в страната. За цялото време на дейността ни не е имало случай, в който UCA да е обвинен в пробив или нарушаване на целостта на автоматизираните системи в тази страна.
Ето защо преустановяваме по-нататъшната си дейност в тази страна, докато не бъде възстановена справедливостта, докато тези безсмислени и глупави обвинения не бъдат свалени от нашите членове. И докато не бъдат поднесени поне някакви извинения от органите на реда, от властите. “
Информирането за уязвимост на обекти от критичната инфраструктура и на държавни институции при нас винаги минава през пълна процедура. Информираме отговорния орган, независимо дали това е СБУ (Службата за сигурност на Украйна), РНБО (Съвет за национална сигурност и отбрана), или киберполицията. След това публикуваме недетайлизирана информация за откритата уязвимост. Защото публичното осведомяване е начин да накараме служителите да направят нещо относно информационната сигурност и киберсигурността в тази страна. При това западните партньори отделят доста пари, милиони безвъзмездни средства се изразходват за актуализация на киберсигурността на държавно ниво. И тези пари не отиват никъде … ”

Андрий Перевезий: Има видео, което следователите не намериха, на което е заснета цялата ни работа по FRD. Лично аз заснемам всичко, което се прави  – снимам видеоклип на екрана докато провеждаме операцията, за да не кажат после, че е имало някакъв пробив. Видеото е с открит достъп.

За начина, по който са проведени обиските

Олександър Галущенко: “Според действащото законодателство изземването на информационни носители е забранено. Трябва да се правят копия на диска.
Всъщност те направиха копия от ноутбуците. Но после по инструкция на някакъв наблюдаващ прокурор, който беше в непрекъсната връзка със следователа заявиха: “вземаме всичко, копия не вземаме, трябват ни оригиналите!”. Това е доста странно и повече носи елемент на сплашване, и опит да спрат работата ни, да спрат системата. При това прибраха даже WiFi рутера, за който присъстващия експерт им каза, че е излишно, но след няколко позвънявания одеският прокурор пак заяви: “Вземайте всичко!”.

Андрий Перевезий: “При мене обиски имаше на три адреса – у майка ми, в дома, където живее детето ми, и в моето жилище. Интересен показател за професионализма на обискиращите е, че са иззели ноутбук без батерия, без твърд диск и без оперативна памет. Защо им е, и досега е загадка за мене. Както и защо за иззели телефона на детето ми. В моето жилище на обиска присъстваха 5 сътрудника от КОРД, които при влизането счупиха вратата, прерязаха кабела за интернет и стояха в пълно бойно снаряжение в коридора до 7 вечерта, плашейки съседите. При това отказапа да се представят отговориха: “съгласно чл.5, ние сме в униформа, и можем и да не се представяме.”. За всичко това имаме съответни видеозаписи.
Аз съм единственият, от когото не успяха да вземат нищо. В заповедта за обиск ясно е записано „да се запознаят“. Искате паролата – моля, искате втората парола – моля. Присъстваше одески прокурор, който през цялото време крещеше на следователа: „изземай!“. Благодарение на адвоката и моето настояване да се действа по закон не се получи. Самите следствени действия ми е много трудно да определя както като професионални, така и като законни.

Олександър Галущенко на въпрос от залата за използването на средства за РЕБ по време на обиска: Аз самият бях удивен. Има обикновени средства за РЕБ, които заглушават всичко, а има сериозни, които заглушават избирателно. И когато представител на одеската СБУ стои до тебе и ти казва: „Ще ти набера номера на адвоката ти“, а твоят телефон не вижда мрежата… значи момчетата са дошли с микробуса, стоят някъде и работят. Това е много скъпо оборудване, и за да бъде използвано за подобни цели, значи има финансова компенсация.
Андрий Перевезий: Да добавя нещо по финансовата страна на въпроса. Самия факт, че при трима човека са изпратени служители от КОРД, което от оперативна гледна точка е сериозно. Трябва дя се напрегнеш, за да задействаш КОРД. Отделно ако се изчислят командировъчните на СБУ от Одеса, следователи от Одеса, киберполицаи от град Одеса. За мене е загадка защо щом искат да направят обиски, не ги провеждат служители на киевската полиция, а изпращат хора от Одеса? Това което зная е, че доколкото всяка от оперативните групи беше придружавана от представител на киевската киберполиция, киевските киберполицаи са били предупредени за обиските в 4 часа сутринта..

Представител на адвокатската група “Barristers”: Формално няма ограничения за използване на специални подразделения при обиск. Но има въпроси относно целесъобразността и законосъобразността. Отчитайки, че макар обискът да е проведен въз основа на съдебна заповед, но наказателното производство е по абсолютно измислена квалификация, на практика изфабрикувано производство, и предвид това, че не беше предоставено разрешение от съдия за участие на привлечени лица (сътрудниците на КОРД, оперативните и т.н.) в обиска, може да се говори за превишаване на правомощията или за злоупотреба с власт, и за възможност за досъдебно разследване по отношение на следователя и участващите служители (КОРД и оперативните спецработници). В рамките на това разследване трябва да се извърши проверка на основанията за включването на тези служители и дали това не е превишаване на правомощията, както и да се определи стойността на нанесената вреда на държавата.

За сигурността на данните от иззетите носители и на източниците на активистите

Артем Карпинський: Ние се грижим много добре за нашата proaction security, грижим се за безопасността и съхраняването на натрупаните данни. Много обичаме криптографията. Затова заявяваме, че иззетите данни се намират в пълна безопасност. Всякакви манипулации и спекулации по този въпрос от сорта на „ето, отворихме ги“, „намерихме кореспонденция“, „имаме пълен достъп“ от страна на органите на реда ще бъдат твърдо пресичани. Правоохранителните органи нямат необходимата компетентност да извлекат данните от нашите твърди дискове. Защото ние воюваме вече 6-та година с много по-силен враг. В пъти по-силен от „нашата правоохранителна система“.
Затова не се безпокоим за нито една от нашите кореспонденции, защото няма никаква възможност да се доберат до нея. Използваме криптографска защита и редовно чистим историята си. Затова официално ще заявим, че е фейк всеки опит да бъде представено неща като изплували от нашите ноутбуци.

За стартиралите информационни манипулации

 Въпрос от журналист: “Относно Одеското летище. В медиите разпространиха информация, че е била спряна работата на информационното табло на летището, макар че всъщност там само се появи само една картинка със снимка на Грета Тунберг на мястото на логото на самолетната компания. Как бихте обяснили това, и как го обясниха разследващите?

Андрий Перевезий: Въпреки, че при мене беше старшия на групата следователи, не поясни по никакъв начин какво се е случило на летището изобщо.
Информация, че е било извадено от строя информационното табло на летището се появи в медиите едва вчера. Ако погледнете новините за 16 октомври 2019 г., във всички „кешове“ ще намерите само информация, че вместо логото на авиокомпанията се е появила снимка на Грета Тунберг с надпис. И толкова. Вчера доста медии започнаха да разпространяват информацията, че графикът на таблото е бил променен, че летището в Одеса е понесло големи щети, едва ли не е било сринато. И се наложило да изключи информационната система. Тази информация се появи едва вчера. Преди тази информация не беше налична в мрежата.

В заключение

Представител на адвокатската група “Barristers”:
„Обстоятелствата при обиските дават основание твърдим, че органите на досъдебното разследване умишлено са квалифицирали посоченото наказателно производство неправилно, за да получат достъп до кореспонденцията, телефонните разговори и възможността за наблюдение на членове на Украински Кибер Алианс.

За да бъде намерено нещо, за което да се закачат, дори да не е свързано с това разследване. На практика членовете на UCA са посочили на Службата за сигурност, както и на администрацията на летището, че имат пропуски в системата за сигурност. Седмица по-късно някой се е възползвал от тези пропуски, но вместо да признаят вината си, след като са били предупредени и да потърсят виновни сред ръководството на Службата за сигурност на летището, както винаги отговорността се прехвърля върху тези, които са опитали да предотвратят подобни последствия.

Във връзка с това очевидно Службата за сигурност се опитва да намери поне нещо, което може да сбъде използвано да бъдат компрометирани членовете на Украински КиберАлианс. При това го прави очевидно незаконно. Службата за сигурност на Украйна (СБУ) би трябвало да има задължението и възможността да предотврати тези действия, включително и като се свърже своевременно с членовете на УКА и да им окаже помощ, след като те са намерили редица пропуски и надлежно са информирали СБУ за тях. Вместо това хората, които помагат на държавата, получават наказателно преследване и наказателно производство. Това е пореден пример за натиск от Службата за сигурност върху ІТ сектора, върху гражданското общество, които изискват Службата за сигурност да работи адекватно“.

Артем Карпинский:  Спираме всякаква дейност, която има връзка със сътрудничество с държавните и правоохранителните органи на Украйна. Разбира се, това не означава, че спираме дейността си, касаеща страната-агресор. Спираме сътрудничеството си до момента, в койта не стане ясно какво се случва от страна на държавата по отношение на нашата група.
Ще се концентрираме върху изследователска и просветителска работа, но спираме активната ни дейност в помощ на държавата.

Видео с обзор на операциите на Украински КиберАлианс през 2016 година

Още материали от InformNapalm:

• Съвременни руски РЕБ комплекси забелязани в Донбас (СНИМКИ)
• Международната следствена група JIT публикува записи от прихванати разговори на терористите, с позоваване на SurkovLeaks
• SurkovLeaks (part 3): анализ на кореспонденцията на първия заместник на Сурков Инал Ардзинба
• SurkovLeaks (part 2): Хакери активисти публикуваха нова партида от пощата на помощника на президента на Русия
• Началникът на разузнаването на 2-и АК под контрола на украински хакери. Part 5: ПСНР-8
• Агресивната руска soft power в Европа
• Кибервойна: обзор на най-успешните публични операции на «Украинския Кибер Алианс» през 2016
• Абхазия, резервният план на Кремъл. Руски алгоритъм от канцеларията на Сурков за овладяване на чужда държава
• Броят на руснаците сред наблюдателите на ОССЕ в Донбас се е увеличил. Забелязани манипулации в докладите им
• Скандален план за Украйна ту се появява, ту изчезва на сайта на Конференцията по сигурност в Мюнхен
• Украинският журналист Станислав Асеев – 31 месеца в плен. За ужаса в донецката „Изолация“
• Неогласената война на новия украински властови елит срещу бойните офицери от ВСУ и патриотите
• Доброволци публикуваха мащабна интерактивна база с данни за руската агресия
• Татарстан мълчи, търпи и чака удобен случай. Коренните народи в РФ – между асимилацията и самоопределението

Материалът е подготвен специално за InformNapalm
(Creative Commons — Attribution 4.0 International — CC BY 4.0)
Споделяйте с приятели в социалните мрежи.
InformNapalm във Facebook / Тwitter / Telegram