En kväll, över ett glas lättöl i Lviv tillsammans med hackningsaktivister från Ukrainas CyberAllians (UCA) och CyberHunta, tog vi upp frågan om blockeringen av ryska sociala medier i Ukraina.
Vi var alla överens om att VKontakte och Odnoklassniki är plattformar skräddarsydda för att sprida rysk propaganda och desinformation i den ukrainska mediemiljön. Plus att plattformarna är några av de viktigaste vapnen som Rysslands militära och politiska ledarskap har i sina hybridattacker mot Ukraina och andra länder.
Propagandisten och rekryteraren MARFA
Under samtalet nämnde en av hackningsaktivisterna en intressant historia om en liten operation som gick ut på att identifiera en lokal anti-ukrainsk förespråkare och en produktiv administratör för separatistiska grupper på sociala medier med ansvar för mer än tjugo aktiva grupper och 400 000 följeslagare. Tänk er, 400 000 följare, varav över 70 procent är ukrainska medborgare.
Sedan slutet av 2013 har samtliga av dem matats med krigsformation med välsignelser och stöd från ryska politiker, parlamentsledamöter och oligarker kopplade till den ryska regeringen. Med hjälp av våra vänner, hackningsaktivisterna, bestämde vi oss för att göra en detaljerad analys av denna riktade operation. Läs gärna våra tidigare artiklar om ämnet [1][2][3][4].
Den aktuella personen är Marfa Vasilyevna, en okänd administratör av separatistiska grupper på sociala medier. Hon har mer än tjugo aktiva anti-ukrainska grupper på VKontakte och Odnoklassniki, inklusive IA Novorossia, MIA Novorossia, Novorossia Today, Anti-Maidan Novorossia | SaveDonbassPeople | Anti-Maidan Novorossia Donetsk | Lugansk | Novorossia.
En effektiv ledtråd för att identifiera den verkliga personen bakom Marfas anonyma konto var från den arbetsrelaterade chatten tillhörande en propagandaofficer från folkrepublikerna Luhansk och Donetsk som tidigare hackats. Marfa rapporterade med stor sorg att en uppdaterad lista över journalister som ackrediterats av DNR, publicerad på Myrotvorets webbsida över krigsbrottslingar, innehöll information om henne och hennes make.
Det betyder att Marfas verkliga personuppgifter fanns någonstans bland de 5 000 inläggen på listan. De ukrainska hackningsaktivisterna som stöddes av Myrotvorets medarbetare började sin långa resa genom den hackade chatten hos Novorossinform och dess medarbetare i jakt på några användbara ledtrådar. Efter att ha granskat vad som visade sig vara Marfas nära kontakter [1][2] lyckades hackningsaktivisterna få reda på hennes e-postadress och telefonnummer (nedan).
Sökning efter namnet Borzova
En sökning efter e-postadressen letyaga-ya@yandex.ru på sociala medier angav en Facebook-sida som tillhör en viss Katia Borzova.
Dessutom ledde en sökning efter namnet “Borzova” i den publicerade listan över journalister till följande inlägg (nedan).
För- och efternamn och telefonnummer är analoga. En annan e-postadress anges emellertid i listan över ackrediterade journalister solnushkovasilek-8886@yandex.ru. Namnet på ägaren till detta e-postkonto heter Katia Stetsenko i ett av de dokument som lämnats till InformNapalm för analys. Samma mail-konto är kopplat till VK-kontot för Jekaterina Morozova (nedan).
Dumpningsfiler från DNR:s TV och Radio
Således har vi nu två e-postkonton och tre Jekaterina (eller informellt Katia): Borzova, Morozova och Stetsenko. Förvirrande, eller hur? Men kom ihåg, Katia nämnde sin man i chatten med sina kollegor. Sökningen efter ett av efternamnen resulterade i Denys Stetsenko. Han omnämns i dumpningsfilerna från DNR:s TV och Radios videooperatör och en anställd vid Radio Respublika.
Dataintrång hos chefredaktören för Radio Respublika
Eftersom det var för många med efternamnet Stetsenko på sociala medier, valde hackningsaktivisterna ett annat tillvägagångssätt. De bröt in i e-postkontot för chefredaktören för Radio Respublika, en propagandakanal där Stetsenko brukade arbeta tidigare. Där begärde hackningsaktivisterna information om Denys Stetsenko (från HR-avdelningen). Detta som en anställd i “ministeriet för statssäkerhet”.
Chat på Facebook med HR-anställda på radiostationen
Då, tack vare kontoägarens gästfrihet, bestämde sig aktivisterna för att chatta på Facebook med andra HR-anställda på radiostationen. Detta fick dem att upptäcka att Katia och Denys Stetsenko nyligen hade förhörts av DNR:s “ministerium för statssäkerhet”. Detta berodde på en artikel som misskrediterades DNR:s ledare Zakharchenko.
Hackningsaktivisterna hittar Denys Stetsenkos konto
Genom gemensamma ansträngningar kunde de ukrainska hackningsaktivisterna hitta kontot tillhörande Denys, Katias partner. Där hittade de en sida av Katia Borzova som senare bytte namn till Jekaterina Morozova. Hennes bilder hade tagits bort från VK-kontot tidigare men de hittades senare på webbplatser med hjälp av VKontakte sidcache. Det verkar som om den unga kvinnans hårfärg är densamma som den på bilden med huvudterroristen Zakharchenko. Detta foto har laddats upp i Marfa Vasilyevnas fotoalbum.
Därefter lade UCA:s hackningsaktivister in ”högväxeln” genom att utge sig för att vara en anställd i DNR:s “säkerhetsministerium” och begära passkopior av Denys och Marfa via ett annat hackat VK-konto som tillhör en annan rekryterare vid namn Vladimir Yezepchuk.
Samtal med Radio Respublikas chefredaktör
När Denys Stetsenko blev vän med rekryteraren Vladimir Yezepchuk upptäckte aktivisterna hur gammal Jekaterina var. Självklart fick de inte tillgång till passkopiorna. Under ett samtal med Radio Respublikas chefredaktör om Denys Stetsenkos personuppgifter, erkände han motvilligt att han kände Jekaterina och var beredd att bjuda in henne att chatta på nätet.
Jekaterina Sergeievna Borzova är Marfa
Därefter kontaktade hackningsaktivisterna Borzova med en begäran om att gå online på VKontakte. Det var lätt att få bekräftat att detta var den faktiska personen bakom Marfa-kontot. Katias (alias Marfas) splittrade personlighet blev ännu mer splittrad när en viss Elena, som hade samförvaltat Marfa-kontot tillsammans med Jekaterina, nämndes. Intressant nog var Jekaterina redan ifrågasatt av “ministeriet för statssäkerhet” om sin verksamhet på sociala medier.
Jekaterina Sergeievna Borzova
Möt Jekaterina Sergeievna Borzova, född 17 februari 1988. Skatteidentifikationsnummer: 3234303709. Bostadsadress: Vulitsa Varhanova 2, lägenhet 26, Mariupol, Donetsk län, Ukraina.
Google har bekräftat att ett kvinnligt kodnamn “Marfa” brukade rekrytera militanta och informatörer i Donbass mellan 2014 och 2015 i de ockuperade områdena. Vi har nu anledning att tro att “Marfa” är Jekaterina Borzova. Det är dock upp till den ukrainska underrättelsetjänsten och andra brottsbekämpande organ att bekräfta detta.
Ansvarsfriskrivning
Bevismaterialet har överförts till InformNapalm genom hacktivister från den ukrainska CyberAlliansen enbart för analys och bearbetning. InformNapalm ansvarar inte för materialets ursprung
Detta material är särskilt framtaget för InformNapalm och får återges enligt Creative Commons (CC-BY).
Vid all återgivning skall källan anges med länk till materialet. Vi uppmuntrar våra läsare att aktivt dela våra publikationer på sociala nätverk. Den breda allmänhetens kännedom är avgörande för att förstå krigets verklighet.