Аналіз електронного листа із погрозами чеським школам у перші дні вересня 2024 року показав, що це — не хуліганський вчинок злісних прогульників. Навряд чи тут причетні і якісь “маніяки”. Швидше за все, це справа рук груп, причетних до російської війни проти України. Лінгвістичний аналіз електронних листів свідчить, що автор, очевидно, розмовляє російською мовою.
У листі з погрозами, які третій день надходять чеським та словацьким школам, зловмисники називаються «дніпропетровськими маніяками». Вони посилаються на серію вбивств в Україні у 2007 році, коли на Дніпропетровщині лютувала пара молодиків-садистів. Тоді вони жорстоко вбили понад 20 людей, зазвичай обраних навмання, і знімали злочини на відео. Однак це посилання може бути частиною гібридної війни і, швидше за все, є оманливим з метою дискредитації України в очах чеської громадськості.
Звідки ж надійшов лист?
Також автори листа посилаються на соцмережу Telegram. У Telegram, що належить російському бізнесмену Павлу Дурову, якого нещодавно заарештувала поліція у Франції, за даними чеської поліції, перед розсилкою другої партії погроз також було повідомлення про те, що це (повторне надсилання погроз) станеться.
Попередні дані аналізу, який опинився у розпорядженні редакції Seznam Zprávy, свідчать про те, що йдеться про групу, яка є частиною українсько-російського конфлікту. За словами експертів, вийти на слід справжніх злочинців буде важко, а може й неможливо. «В Інтернеті є багато дезінформації про війну, і дуже складно визначити справжнього відправника», — каже Йозеф Корбел, етичний хакер із компанії Citadelo. За словами Міхала Салата, директора з дослідження загроз охоронної компанії Gen (раніше Avast), це не обов’язково означає, що автори електронного листа походять з Росії чи України.
«Вона могла бути надіслана людиною з анонімної служби електронної пошти або з викраденої поштової скриньки. У електронних листах анонімність ускладнена. Але якщо зловмисник технічно підкований, він може впоратися з такою атакою практично з будь-якого місця», – пояснює експерт.
За словами Салата, поліція, Національне управління з кібербезпеки (NÚKIB) або Національний центр боротьби з тероризмом, екстремізмом і кіберзлочинністю (NCTEKK) мають варіанти для відстеження конкретного злочинця.
Що написано в електронному листі
“Дніпропетровські маніяки вас зустрінуть. Наш телеграм: * . Інформуємо вас, що ваша будівля була замінована. Ми не диктуватимемо вам умови, тому що вам це не цікавить. Ми просто подивимось на багато крові та жертв. Я вб’ю вас і ваших дітей! Cпрацювання вибухових пристроїв о 12:00. Час минув. Гра починається!” (В оригіналі без редакційних граматичних виправлень: „Přivítají vás dněpropetrovští maniaci. Náš telegram: * . Informujeme vás, že vaše budova byla zaminována. Nebudeme vám diktovat podmínky, protože vás to nezajímá. Jen se podíváme na spoustu krve a obětí. Zabiju vás i vaše děti! Aktivace výbušných zařízení ve 12:00. Čas vypršel. Hra začíná!“)
Редакція не публікує назву телеграм-каналу з етичних та безпекових міркувань. Наскільки зловмисник ускладнив розслідування для поліції та кіберорганів у випадку атаки на чеські школи, з’ясується пізніше. «Якби він був розумним, він міг би надіслати це з чиєїсь чужої електронної пошти. Таким чином, першим кроком слідчих може бути звернення до третьої сторони», – вважає Салат.
Аналіз мови: лист написано не чеською мовою
Експерт вважає, що йдеться про поганий переклад чеською мовою з російського жаргону. Це навіть не текст, створений штучним інтелектом. Про це свідчать перші два слова у листі, коли замість звичного «zdraví vás» зловмисник вживає незграбне «přivítají vás». Це може бути автоматичний переклад із російської фрази “приветствуют вас” або “вас встретят”.
«У випадку мовних моделей штучного інтелекту також не повинно статися, що чергується однина та множина», — додає Салат. Словацька версія електронного листа ідентична, тільки словацькою. Не виключено, що електронний лист з ідентичним формулюванням буде перекладений і розісланий також в інші країни ЄС.
Аналіз формулювання електронного листа за допомогою інструменту ZeroGPT заперечив, що текст був написаний за допомогою якоїсь мовної моделі.
«Загальнодоступні мовні моделі запрограмовані цілою серією запобіжних заходів, які не дозволяють використовувати формулювання, які передбачають насильство, маніпуляції, погрози тощо. Припущення таке, що оригінальний текст був написаний іншою мовою і з машинним перекладом», – каже Сватек.
Лінгвіст Томаш Ґланц підтверджує теорію, що текст написаний не чеською мовою. «Насправді жодне із семи речень у тексті не звучить повністю по-чеськи, хоча жодне з речень не містить явних граматичних чи орфографічних помилок», — розповів він.
«Українець так не написав би»
У чеському сегменті соцмереж подекуди з’явилися спекулятивні припущення, що за погрозами може стояти якийсь український учень. За словами Ґланца, це дуже сумнівно. Якби текст був українського походження, він міг би походити лише з окупованої росією частини України. «Фраза «дніпропетровські маніяки» вже викликає підозру. Під такою назвою місто Дніпропетровськ існувало лише з 1926 по 2016 рік, відтоді воно носить назву Дніпро (у Росії часто вживається русифікована форма Днєпр). Українці розуміють назву Дніпропетровськ як згадку про невільний період радянської влади під контролем з Москви», – пояснює мовознавець. Лінгвіст вважає малоймовірним, що текст був складений носієм чеської мови із досвідом писемного мовлення.
Утім, незважаючи на низьку ймовірність реальної загрози, важливо, щоб школи та установи завжди серйозно ставилися до погрозливих електронних листів. «Обережність є ключовою. Про будь-яку загрозу слід негайно повідомляти правоохоронні органи, які потім вживатимуть необхідних заходів для безпеки», — каже Петр Загалка з групи Thein Security.
На вказаному у листі акаунті в Telegram, на який посилаються “маніяки”, крім короткого опису азбукою особливо цікавим є зображення попереднього перегляду. Там зображена фотографія закривавленої руки, на якій ножем вирізано назву телеграм-каналу.
Надсилати сотні електронних листів одночасно — справа нескладна
Стандартна маркетингова кампанія може мати на кілька порядків більше охоплення. «Автор електронних листів спочатку мав зібрати вхідні скриньки всіх постраждалих шкіл. Він, швидше за все, зробив це якимось автоматизованим способом. Може допомогти у цьому список усіх акредитованих шкіл на сайті Міносвіти», – додає Корбел.
У таких випадках досвідчені зловмисники часто використовують анонімні поштові сервери, розташовані в центрах обробки даних по всьому світу. «Вони часто доступні в середовищі “темного інтернету” — Darknet», — говорить Вацлав Сватек, директор технологічної компанії ČMIS.
За словами Сватека, виконавці таких кампаній часто зловживають захищеними приватними службами, такими як Proton Mail. Там тільки особа, яка встановила поштову скриньку, має доступ до неї. Все середовище шифрується без можливості використання якогось «універсального» ключа.
«Технічне рішення полягає, наприклад, у блокуванні ненадійних і новостворених поштових серверів і доменів. Проте блокування таких служб, як Proton Mail, небажане. Це — суспільна послуга із акцентом на захист конфіденційності. Її зловживання для подібних цілей, на жаль, шкодить її репутації та добрим намірам. Крім того, ви ніколи не можете наперед знати, чи це просто пустопорожня погроза, чи існує реальний ризик того, що зловмисник серйозно ставиться до свого повідомлення. «На жаль, немає ефективного захисту без небажаних ефектів у подібних випадках», — додає Сватек.
Сервери в Швейцарії
Для надсилання таких повідомлень зловмисники використовують маскування за допомогою різних проксі-серверів (посередників між клієнтом і цільовим комп’ютером) і VPN. Або віртуальної приватної мережі, яка створює цифрове з’єднання між комп’ютером і віддаленим сервером, що належить постачальнику VPN, створення точкового тунелю, який шифрує персональні дані.
Популярними є сервіси в так званих мережах TOR, які допомагають ефективно анонімізувати джерело. У випадку зі згаданим сервісом Proton Mail, наприклад, це Швейцарія, де розташовані сервери. «З транскордонним співробітництвом завжди складніше. Але якщо зловмисник фізично перебуває десь у державах ЄС або принаймні використовує інфраструктуру з ЄС, у поліції є більше доказів», – зазначає Салат.
Необхідне навчання кіберзагрозам та реакції на них
Розвиток генеративного штучного інтелекту, який здатний готувати текст практично будь-якою мовою, однозначно підвищує ймовірність подібних атак. «ШІ ефективно зруйнував бар’єри у вигляді специфіки окремих мов. Типовою проблемою в ЄС була Чехія чи Литва. Тепер завдяки мовним моделям зловмисники мають у своєму розпорядженні ідеальний інструмент для створення текстів будь-якою мовою», — говорить Сватек.
Школи повинні краще підготуватися до подібних загроз у майбутньому. «Вони повинні використовувати оновлені системи безпеки та сервери електронної пошти. Регулярні оновлення програмного забезпечення та протоколів безпеки можуть запобігти використанню вразливостей», — вважає Загалка. Він також зазначає про важливість навчання працівників.
«Необхідне навчання кіберзагрозам, реагування на електронні листи з погрозами та кому повідомляти про них. І останнє, але не менш важливе, запровадити захист від спаму та вірусів. Важливо встановити ефективні фільтри, які відловлюють підозрілі електронні листи до того, як вони потраплять до поштових скриньок одержувачів», — додає Загалка.
Погрози в школах розслідує Національний центр проти тероризму, екстремізму та кібернетичної злочинності (NCTEKK). За словами його директора Бржетислава Брейхи, у зв’язку з цим поширення панічних повідомлень або погроз терористичними актами є кримінальним злочином. Правопорушнику або правопорушникам загрожує до 15 років позбавлення волі в особливо тяжких випадках.
«Метою таких дій може бути створення в суспільстві відчуття незахищеності, загрози та небезпеки. Враховуючи характер повідомлення, релевантність масштабу описаних атак виглядає низькою. Я хотів би подякувати громадськості за будь-яку відповідну інформацію про цю ситуацію, яку ми, звичайно, не недооцінюємо. Ми дуже інтенсивно працюємо над справою, використовуючи всі доступні ресурси та намагаючись отримати необхідну інформацію з віртуального середовища», – заявив Брейха.
Читайте також: Масове “мінування шкіл” у Чехії: безпрецедентна атака на навчальні заклади
