FC

Фейк-Контроль

О переписке Игоря Процика

Комментарии

Нас опять буквально завалили очередным взломом почты. В этот раз слитая переписка была подана под следующим соусом:

We have hacked e-mail correspondence of US Army Attache Assistant in Kiev Jason Gresh and a high ranking official from Ukrainian General Staff Igor Protsyk.

В распоряжение общественности был предоставлен архив с сообщениями якобы из почтового ящика igor.protsyk@gmail.com. В архиве две папки — “most interesting” с тремя скандальными письмами, растиражированными по интернету, и “all” с полным архивом из 86 сообщений.

После того, как мы проанализировали папку all, о трёх «самых интересных» письмах, можно написать следующее:

Письмо #1: от GreshJP@state.gov к igor.protsyk@gmail.com, доставленное 9 Mar 2014 08:57:15 -0700.

Оно довольно сильно отличается от остальных пяти писем с того же адреса GreshJP@state.gov к igor.protsyk@gmail.com, которые есть в папке “all” (не только уровнем английского языка). В частности, оно написано исключительно в формате text/plain (остальные — multipart/related, с html-частью), а также не имеет в конце текста сообщения пометки “SBU This email is UNCLASSIFIED” (SBU, Sensitive But Unclassified – один из типов классификации государственной информации США).

Письмо #2: от igor.protsyk@gmail.com к krivonis.te@gmail.com, доставленное 11 Mar 2014 05:50:36 -0700.

Imgur

Это письмо, в отличие от всех других отправленных от igor.protsyk@gmail.com из архива, содержит валидную DKIM-подпись и заголовки, подтверждающие доставку к krivonis.te@gmail.com. Наличие этих заголовков напрямую указывает, что сообщение было извлечено из почтового ящика krivonis.te@gmail.com, а не igor.protsyk@gmail.com (то есть, из ящика получателя, хотя архив не из его почты).

Соответственно, у хакеров был доступ не только к почтовому ящику igor.protsyk@gmail.com, но и к ящику krivonis.te@gmail.com, этот факт справедлив и для письма #3.

Письмо #3: от krivonis.te@gmail.com к kolyarny@gmail.com (кстати, в интернете единственные упоминания об этом ящике – из этого “слива”) и igor.protsyk@gmail.com, доставленное 11 Mar 2014 09:20:47 -0700.

Также в архиве находится письмо от no-reply@accounts.google.com к protsyk@ukr.net с попыткой восстановить пароль, доставленное 11 Mar 2014 05:47:11 -0700 (до отправления писем #2 и #3). Судя по тому, что в архиве есть ещё 21 письмо, адресованное protsyk@ukr.net, письма на этот адрес переадресовываются на igor.protsyk@gmail.com.

Выводы можете сделать сами, однако вот к чему пришли мы:

  1. хакеры заявили, что у них есть доступ к ящикам GreshJP@state.gov и igor.protsyk@gmail.com. Очевидно, что при этом никаким слитым письмам между двумя этими адресами верить нельзя, потому что они могли быть написаны самими хакерами. Вероятнее всего, доступа к GreshJP@state.gov у них не было, потому что письмо #1 им пришлось неумело сфабриковывать на основе остальных пяти легитимных писем от GreshJP@state.gov из ящика igor.protsyk@gmail.com.

  2. письмо от no-reply@accounts.google.com позволяет предположить, что письма #2 и #3 были отправлены после того, как ящик igor.protsyk@gmail.com был скомпрометирован, соответственно они могли быть отправлено самими хакерами.

  3. письмо #2 подтверждает то, что у хакеров был доступ к ящику krivonis.te@gmail.com, соответственно письмо #3 могло быть написано самими хакерами.

В этот раз скандальный взлом почты с провокациями в Крыму имени “Украинского анонимуса” сделан намного менее топорно, чем в прошлый. DKIM-подписи несомненно подтверждают, что ящики igor.protsyk@gmail.com и krivonis.te@gmail.com были взломаны. Однако, сравнение «тревожных» писем с остальным содержимым архива, позволяет считать, что сообщения, заботливо выложенные в отдельную директорию “most interesting” с большой долей вероятности были либо сфабрикованы, либо отправлены самими хакерами.

Комментарии