V jedné ze stanic „lvovské podzemky“ jsme se sešli s hacktivistou ze skupiny FalconsFlame. Tato skupina je povědomá mnoha výraznými hackerskými operacemi s útoky na weby ruských teroristů, nabouranými cloudovými úložišti a telefony ruských vojáků zúčastněných v bojích na Donbasu. Hacktivisté z FalconsFlame společně s hackerskými skupinami CyberHunta, Trinity a RUH8 také tvoří Ukrajinskou kybernetickou alianci (Ukrainia Cyber Alliance), která získala světový věhlas po sérii hackerských útoků na kancelář asistenta prezidenta RF Vladislava Surkova (SurkovLeaks).

Řekli jsme si, že tento rozhovor nepovedeme ve formátu „otázka – odpověď“, ale jako vyprávění o některé operaci ukrajinských hacktivistů, která se dosud nedostala na veřejnost a mohla by se zařadit do učebnic dějepisu na téma kybernetické války za svobodu a samostatnost Ukrajiny.

Myšlenka „vytáhnout ze skříně“ příběh dosud neznámé hackerské operace se mému společníkovi zjevně zalíbila, protože vyndal z ošoupaného batohu menší notebook, začal si procházet archivy a zároveň zahájil vyprávění…

„Začátkem roku 2015 ukrajinské hackerské skupiny stály před volbou: buď nabourávat oblíbené blogery a protagonisty Novoruska, nebo najít způsob, jak tento proces zautomatizovat.

Jako cíl jsme si zvolili prostor, na němž aktivně vedlo své propagandistické aktivity proti Ukrajině mnoho „agresivních ruských vatníků“. Šlo o oblíbenou blogerskou platformu CONT.WS, jejíž návštěvnost dosahovala cca 200.000 uživatelů denně…

Docela rychle jsme získali přístup ke správě portálu:

Začali jsme číst interní korespondenci a pracovat na některých uživatelích.

Nakonec jsme měli k dispozici přístupové údaje VŠECH uživatelů projektu, i když hesla byla kódovaná a jejich rozluštění by tak mohlo nějakou dobu trvat:
K řešení tohoto problému jsme přistupovali kreativně a phishingovým útokem se k přístupovým údajům uživatelům dostali. Jejich data byla zanalyzována a mezi aktivními uživateli Contu odhaleno mnoho uvědomělých stoupenců Novoruska a placených ruských blogerů. Nasbíraná data jsme anonymně zaslali příslušníkům SBU a správcům webu Mírotvorce.

Takto byl vyhledán např. Bělorus Aljaxej Žukau s trvalým pobytem v Doněcku, který působil u nezákonných banditských formací, alias uživatel ales0ne.

Nebo také uživatel messer, z nějž se vyklubal voják z povolání, veterán podněsterského Ministerstva vnitra Sergej Leščenko, předseda Svazu veteránů zvláštních jednotek Dněstr a správce webu veteránů zvláštních jednotek. Sdílel své dovednosti, jak chystat minové nástrahy proti ukrajinským vojákům.

A velká spousta dalších 🙂

Pak jsme začali jménem uživatelů tohoto portálu sdílet příspěvky, které vybočovaly z ideologické linie tohoto „vatového“ projektu. V jednom z našich článků nám „poskytl rozhovor“ Zacharčenko, který prohlásil:

Zacharčenko: „S tou válkou to můžeme skončit. Putina brzy odvezou do Haagu“ (odkaz)

Často jsme prostě trollovali agenty Novoruska v jejich vlastním stylu. Takto jsme třeba sdíleli vtipný příběh se zdravotní sestrou, která nakojila „rotu opolčenců“.

Zanedlouho na cont.ws vyšel první článek v ukrajinštině, v němž jsme uživatelům pověděli, že web nabourali ukrajinští hackeři.

Útočili jsme na ně stále znovu a oni pokračovali ve svých nemotorných pokusech záplatovat díry a trhliny v systému správy webu. Nakonec po několika měsících permanentních hackerských útoků začali admini portálu škemrat, abychom je nechali na pokoji, a nabízeli finanční odstupné. Vzhledem k tomu, že systémy agresora nenabouráváme z merkantilních, ale z ideologických důvodů, stalo se podmínkou „příměří“ splnění našich požadavků: admini nám poskytnou dekódované přístupové údaje uživatelů, kteří nás zajímají, a vyčlení speciální stránku pro zveřejňování článků, my na oplátku nebudeme nabourání veřejně avizovat.
Správci cont.ws samozřejmě souhlasili a takto začala jejich tajná spolupráce s ukrajinskými hacktivisty. Dne 14. dubna 2015 napsali status o útoku ukrajinských hackerů na web a „poděkovali“ za technický audit webu.

Citace: „Samostatně chceme poděkovat hackerům za to, že nám v pravý čas ukázali díry v technické části webu, které jsme odstranili. Takový audit by stál dost velké peníze, kdyby se měl speciálně objednat.
Zajímavé také je, že mnoho lidí z nějakého důvodu usoudilo, že Cont je místem, kde ukrajinští občané nesmí vyjádřit svůj názor. Návštěvníci a uživatelé Contu mohou zastávat jakýkoli názor a podělit se o něj…“

Tato chvíle odstartovala naši svobodnou činnost na cont.ws: během roku zde bylo zveřejněno několik set článků dokazujících fakta ruské agrese, mimochodem přes 200 publikací jsme převzali i z InformNapalmu. Získali jsme také přístupové údaje stovek uživatelů tohoto portálu.

Dnes už o této epopeji můžeme veřejně povědět, protože nedávno začali správci Contu naše interní „minské dohody“ jednostranně porušovat. Příčina by mohla být v tom, že jejich kremelští kurátoři začali něco tušit a požadovat striktní moderování publikací. Mezi správci Contu jsou mimochodem i zaměstnanci Ministerstva informací „DLR“ a mnoho dalších nikoli řadových bojových propagandistů. 

Když se správci webu rozhodli, že na ujednání naší dohody „zapomenou“, je asi ten pravý čas jim je veřejně připomenout.

Poodhalil jsem roušku pouze jedné z mnoha operací, které se předtím nevystavovaly na odiv. Mimochodem ať se ruští blogeři nediví, proč se přístupové údaje k jejich stránkám tak pohotově dostávají do rukou ukrajinským hacktivistům: admini portálů ruské propagandy jsou totiž ochotni v honbě za počtem uživatelů prozradit jejich údaje komukoliv, jen aby jejich projekt zůstal nad vodou.

Mimochodem projekt Cont není jen tuctovým ruským webem, čemuž nasvědčuje nejen 200.000 návštěvníků denně. Díky rozboru přístupových oprávnění a uživatelských profilů dospěli hacktivisté z kybernetické aliance k závěru, že je cont.ws jedním z koleček v soukolí ruské propagandy, což je vidět na grafu.

Výraz „jsme zrazeni“ se tak plně hodí i jako charakteristika správců ruských portálů. Těším se na další setkání“.

Vedle tohoto příběhu jsme probrali s protagonistou našeho rozhovoru i mnoho dalších stránek kybernetické války, ty však přesahují rámec této publikace.
Svět ukrajinského hacktivismu je velice zajímavý a rozmanitý, i my budeme pokračovat v jeho zkoumání, komunikaci s hacktivisty a prezentaci příspěvků o jejich vítězstvích ve válce za svobodu a samostatnost Ukrajiny.

Informace pro tento článek exkluzivně poskytli hackivisté z Ukrajinské kybernetické aliance k analýze a zpracování. Komunita InformNapalm neručí za zdrojové informace a jejich původ.

V případě převzetí nebo použití tohoto příspěvku je nutno uvést funkční odkaz na autory a na náš projekt.
(Creative Commons — Attribution 4.0 International — CC BY 4.0)
Chcete být pohotově informování o nových vyšetřováních od InformNapalmu přeložených do češtiny? Staňte se fanoušky stránky InformNapalm Česko na Facebooku.

Originál publikován dne 8. listopadu 2016

Překlad: Svatoslav Ščyhol