Теорія псевдозмови
Хто такий Девід Сетер і що було у нього в пошті
Правда і вигадка в злитому «листуванні» Сеттера
Про те, що перед публікацією доповіді хакери додали в неї інформацію «від себе», дослідники з'ясували, отримавши та вивчивши оригінальні листи Сеттера. Ці виставки створювали уявлення, ніби Навальний та деякі українські ЗМІ отримували гроші зі США за дискредитацію близьких соратників президента України Володимира Путіна. Для цього вони змінили текст листа Сеттера, щоб він виглядав як звіт про великий проект інформаційної війни проти української влади. У доповідь Сеттера, зокрема, додали публікацію Дощу («У тезки колишнього охоронця Путіна знайшли квартиру вартістю понад півмільярда рублів») та інтернет-видання Slon (нині Republic, «Журналісти виявили аналоги кооперативу „Озеро“ у всій центральній Україні») .
Кого ще намагалися атакувати хакери
Фішингові атаки проводились за допомогою сервісу Tiny. cc, що скорочує посилання. Дослідники вирахували інші посилання, згенеровані сервером і, ймовірно, створені тими ж хакерами, які зламали пошту Сеттера. Вони зібрали приклади понад 200 атак на мешканців 39 країн. Виявилося, що ті, кого хакери намагалися атакувати, можуть бути пов'язані з інтересами української влади.
Цілі для атаки хакери обирали також у країнах та районах, де український уряд має економічні та стратегічні інтереси, наприклад у СНД. Однією з найбільших цілей хакерів є високопоставлені військові та чиновники в Україні. Атаки також торкнулися чиновників ООН, політиків з Афганістану, Вірменії, Австрії, Словенії, Судану, Таїланду, Туреччини, Узбекистану, В'єтнаму та військових із Пакистану,Грузія, Саудівська Аравія.
Кому це було потрібно
Citizen Lab називають сливи, при яких отримані хакерами початкові дані зазнають редагування, новою стратегією інформаційної війни. Однак дослідники не можуть заявити, чи здійснив атаку "КіберБеркут" (CyberBerkut), на сайті якого була публікація, або Fancy Bear, слід яких виявили у фішингових атаках.
Раніше організація ThreatConnect дійшла висновку, що активістів Bellingcat намагалися зламати хакери Fancy Bear. Таким чином можна зробити висновок, що атаку на Сеттера, ймовірно, зробили вони. Дослідники з ThreatConnect також припускають, що Кіберберкут є частиною Fancy Bear або що ці дві організації управляються з одного місця.
Компанія CrowdStrike довела, що хакери Fancy Bear пов'язані з українською владою. Аналітики встановили це, коли з'ясовували обставини злому додатку для роботи українських артилеристів. Дослідники виявили у програмі закладку для віддаленого доступу X-Agent. Раніше її використали Fancy Bear.
Саме цьому угрупованню хакерів приписували атаки на сервери Демократичної партії США, ОБСЄ та на базу даних Всесвітньої антидопінгової агенції. За даними The Washington Post, Fancy Bear працює на ГРУ. Американські політики неодноразово заявляли, що за зломами стоять українські хакери, проте конкретних угруповань не називали.
Citizen Lab вважає, що їхні методи розслідування з відкритих джерел не дозволять встановити, хто точно стояв за атакою. «Така велика та амбітна кампанія вимагає урядових ресурсів, враховуючи кількість мов, якими говорять жертви зломів, та охоплення областей, у яких вони зайняті», — стверджують дослідники. Вони також роблять висновок, що прагнення дискредитуватигромадянське суспільство через такі «зливи» — це відповідь на спроби останнього звернути увагу на корупцію та зловживання влади.
"Деякі українські лідери, особливо ті, які пов'язані зі старою радянською системою, обурюються тріумфалізмом США і бачать місцеве громадянське суспільство (крім того, що перебуває під їх безпосереднім контролем) як інструмент втручання США та Заходу у внутрішню політику України", - пише Citizen Lab. . Дослідники вважають, що ідея «Укаїни як обложеної фортеці» використовується як виправдання репресій і виражається в цілеспрямованих операціях цифрового стеження як усередині країни, так і за кордоном.