5 КЕЙСОВ ЦИФРОВЫХ АТАК НА УКРАИНСКИХ ЖУРНАЛИСТОВ

Автор: Ирина Чуливська, Лаборатория цифровой безопасности

Украинские журналисты находятся под прицелом хакерских атак. Прошлым летом Украина пострадала от двух масштабных вирусных атак WannaCry и NotPetya, которые остановили работу ряда редакций. Например, в июне 2017 из-за вируса NotPetya журналисты Ровенского телеканала «РТВ» потеряли доступ к файлам на своих рабочих компьютерах.

Персональная цифровая безопасность также остается вызовом, ведь случаи попыток взлома аккаунтов и хищения или изъятия носителей информации, к сожалению, не единичны.

По данным исследования Института массовой информации и Rory Peck Trust, 60% опрошенных журналистов-фрилансеров начиная с 2014 года сталкивались с онлайн-угрозами. Под особым вниманием находятся журналисты, расследующие факты коррупции, а также те, кто готовит материалы о событиях на оккупированном Донбассе и в аннексированном Крыму. Среди журналистов-фрилансеров, работающих в зоне АТО, с интернет-угрозами сталкивались 53%.

Мы рассмотрим пять реальных кейсов, которые произошли в последнее время с украинскими журналистами.

1. Фишинговые письма для взлома Gmail-аккаунтов

Фишинговые письма – один из самых распространенных способов кражи доступа к аккаунтам, с которым сталкиваются эксперты Лаборатории цифровой безопасности. Именно журналисты, также, как и правозащитники, становятся все более частой мишенью.

Согласно расследованию Associated Press, украинские журналисты были среди основных целей российской хакерской группы Fancy Bear в 2015-2016 годах. Последние занимались рассылкой очень достоверно составленных фишинговых писем. Большинство из них выглядели как сервисные письма от Google.

Например, такое письмо получила в апреле 2015 журналистка* KyivPost:

Адреса отправителей были очень качественно подделаны, среди них, например, «no-reply@accounts.google.con​», «no-reply@accounts.google.company», «no-reply@accounts.googlemail.com», «no-reply@accounts.google», «no-reply@accounts.google.inc​», «no-reply@accounts.google.corn», «no-reply@privacy.google.com​».

В данный момент украинские журналисты, особенно те, которые занимаются расследованием коррупции, продолжают получать фишинговые письма. Обычно такими письмами опять же пытаются заполучить пароль от Google-аккаунта.

Например, такое письмо получил киевский журналист * якобы от сервиса Google Drive.

После нажатия кнопки «Скачать», пользователя перенаправляет на сайт mail-account.in, который внешне напоминает страницу входа в аккаунт Google.

При этом, если ввести сюда пароль, то пользователя перенаправляет на настоящий сайт Google Drive с удаленным файлом. Иными слова, задача злоумышленника состоит в том, чтобы журналист, который откроет это окно и введет пароль, не догадался, что произошло что-то не то.

Еще один пример, полученный журналистом-расследователем*. Письмо от «Екатерины Остапенко» (вымышленное имя), якобы приславшей журналисту какие-то документы.

На самом деле это не вложенные файлы, а изображение, вставленное в письмо и ведущее по ссылке на googlen.autentification.goweb.kz, который также на самом деле фишинговый сайт, внешне напоминающий страницу входа в Gmail. При введении пароля, пользователь перенаправлялся обратно во «Входящие» на Gmail.

2. Вирусные файлы в почте

Журналисты время от времени получают письма с вредоносными файлами во вложении. Так, одна из известных украинских расследователей* в декабре 2017 года получила письмо якобы с ответом на запрос на информацию, которые украинские журналисты регулярно отправляют и получают.

Письмо пришло с адреса «st1m16@ukr.net» и содержало вложенный файл с названием «otvet1.doc».

На самом деле этот файл содержал вредоносный код. ОО «Лаборатория цифровой безопасности» (Digital Security Lab Ukraine) проанализировала этот вирус и обнаружила, что он использует уязвимости пакета программ Microsoft Office (CVE-2017-0199 и / или CVE-2017-8759), для которых компания Майкрософт уже выпустила обновление в апреле и сентябре 2017 года.

Похожий случай произошел в 2013 году, когда, после получения письма с файлом якобы от Министерства внутренних дел с адреса info@mvs.gov.ua, устройство директора журналистской организации ОО «Института массовой информации» Оксаны Романюк было взломано.

3. Взлом Facebook-аккаунтов

Многие украинские журналисты используют Facebook-мессенджер как один из основных способов общения с коллегами и источниками информации. Поэтому безопасность Facebook-аккаунтов также является важной.

В январе 2018 года, после публикации расследования об отпуске президента, один из сотрудников программы «Схемы. Коррупция в деталях» обнаружил, что его Facebook-аккаунт взломан, так как в него был осуществлен вход с неизвестного ему устройства.

Вероятно, взлом аккаунта был осуществлен через перехват СМС.

Также, журналисты в последнее время регулярно получают уведомления о попытках входа в их аккаунты с использованием неправильных паролей.

Например, в январе 2018 года журналистка* из Кривого Рога получила письмо от Facebook, согласно которому, кто-то пытался войти в ее аккаунт используя неправильный пароль.

4. Хищение носителей информации

В 2015 году у известного запорожского журналиста Тараса Билки из квартиры похитили носители информации: компьютер, фотоаппарат и карты памяти.

На одной из карт была важная информация, касающаяся еще неопубликованных журналистских материалов. В тот момент Билка готовил расследование о продаже наркотических веществ в запорожских аптеках.

«Да, действительно, готовится очень серьезное журналистское расследование. Информация собрана. И, по иронии, большинство документов было получено сегодня, – написал журналист.  – Еще одно, почему подозреваю, что искали именно носители информации. Дополнительно забрали 2 cd-диски … При этом не тронули кухню и коридор. Не взяли три телефона, один из которых moto-g. Не взяли дорогущий пауэр-бэнк на 23000 mA. Не взяли планшет Lenovo, который даже достали из чехла и просмотрели, но не прихватили. И L-book (очевидно, неграмотные)».

5. Проверка компьютеров и смартфонов на блокпостах

В Лабораторию цифровой безопасности журналисты неоднократно сообщали о случаях проверок устройств при пересечении границы с Крымом и на блокпостах. Чтобы избежать опасности для себя и коллег, журналисты не делают официальных заявлений об этом.

В одном из случаев пограничники в Крыму заставили ввести пароль от компьютера и смартфона, просматривали файлы, вставляли свои флэшки, вероятно, пробовали восстановить удаленные на этом ноутбуке файлы.

Публичных свидетельств нет, ведь пострадавшие предпочитают говорить об этом только в частных разговорах.

Таким образом, наличие особо чувствительной информации на устройствах журналистов, пересекающих границу и блокпосты с аннексированным Крымом или оккупированной частью Донбасса, – также важная составляющая безопасности.


*
имена журналистов не указаны из соображений безопасности