Георгий Рошка — российский террорист. Почту президента Франции взломали сотрудники ГРУ

03.06.2023

За хакерской атакой на президента Франции стоит Кремль.

Как пишет The Insider , в опубликованном 5 мая массиве взломанной переписки Эммануэля Макрона и его штаба обнаружен ряд писем, которые были изменены пользователем по имени Георгий Петрович Рошка - об этом свидетельствуют метаданные писем.

Те документы, где The Insider обнаружил следы Георгия Рошки (а таких не меньше 9), представляют собой финансовые документы штаба Макрона, вот один из них:

(чтобы увеличить, нажмите на изображение)

Реальным автором документа, судя по тем же метаданным, был казначей штаба Макрона - Седрик О (это не аббревиатура, а полное имя). Но затем документ был изменен неким Георгием Рошкой. Человек с именем Георгий Петрович Рошка работает в ЗАО «Эврика», производящей вычислительную технику и программное обеспечение, основными клиентами которой являются российские государственные органы, в том числе Минобороны и спецслужбы.

Так, например, известно, что ЗАО «Эврика» получало от ФСБ лицензии на осуществление деятельности по защите гостайны, а также выполняло контракты для в АО «НПО «Квант», работающее на Минобороны. Именно «Квант» называют ключевым посредником между Минобороны и хакерами, причем это взаимодействие длится как минимум с 2009 года.

Георгий Рошка - программист, который участвовал в профильных конференциях, например «Параллельные вычислительные технологии», прошедшей в 2014 году в Ростове-на-Дону. На момент публикаций Рошка на запрос The Insider не ответил.

Напомним, вчера, 5 мая, интернет-портал WikiLeaks опубликовал ссылку на взломанную переписку кандидата в президенты Франции Эмманюэля Макрона и его окружения, состоящую из нескольких сотен тысяч электронных писем, фото и приложений, датированных периодом до 24 апреля 2017 года. Размер массива около 9 ГБ.

Команда Макрона, сообщила, что документы были получены несколько недель назад в результате взлома персональных и рабочих почтовых ящиков некоторых представителей движения «Вперед!» и отметила, что помимо реальных писем и документов в массиве есть и фейки.

Ранее японская компания Trend Micro подтвердила, что за кибер-атакой на ресурсы Макрона (которую штаб зафиксировал еще в феврале) стоят российская хакерская группировка Pawn Storm, также известная как Fancy Bear и APT28. Та же группировка ранее совершала многочисленные кибер-атаки в других западных странах, в том числе США, где в преддверии президентских выборов взломанная почта Демократической партии также была передана для распространения WikiLeaks.

Напомним, основателем WikiLeaks является Джулиан Ассанж, известный в том числе своим шоу на телеканале Russia Today.

Отметим, что ранее целый ряд независимых компаний в области информационной безопасности независимо друг от друга подтвердили связь Fancy Bear/APT28 с российскими властями (среди них, в том числе, и эксперты Google). Одной из первых стала именно компания Trend Micro, которая обнаружила мощную хакерскую группу с особым стилем атак, названную компанией Pawn Storm. Компании удалось установить, что одна и та же группа использовалась и при атаке на российских оппозиционеров, и при атаке на американские сервера (позже это подтвердил еще целый ряд компаний). Подробнее об этих атаках эксперт Trend Micro рассказал в интервью The Insider.

Ранее российские хакеры уже были замечены в том, что в выкладываемых массивах перемежают реальные документы с фейками. Так было, например, при выкладке массивов фонда «Открытое общество» Джорджа Сороса, где вместе с реальными файлами были выложены грубо подделанные документы, призванные создать впечатление, будто деньги от фонда получает Алексей Навальный.

Вечером 5 мая 2017 года один из двух кандидатов в президенты Франции Эммануэль Макрон за полтора дня до решающего второго тура выборов стал жертвой масштабной хакерской атаки . Неизвестные опубликовали около 9 ГБ документов из почтовых ящиков предвыборного штаба бывшего инвестиционного банкира и министра экономики.

Таким образом, французский политик стал очередной жертвой «политических» взломов, когда неизвестные выкладывают в свободный доступ конфиденциальную переписку политиков: это началось с диппочты американских дипломатов на Wikileaks, затем была Демократическая партия США, российский премьер-министр Дмитрий Медведев и другие политики РФ, а теперь французский кандидат в президенты.

Судя по всему, в современном информационном обществе у политиков уже не может быть абсолютно никаких секретов от публики.

Нужно заметить, что до этой утечки документов ставленник бывшего президента Макрон считался явным лидером по результатам опросов, заметно опережая праворадикального кандидата Марин Ле Пен, которая выступает за выход из Евросоюза, жёсткие меры против мигрантов, против глобализации и за национальное возрождение Франции в стиле «Сделаем Францию снова великой!». По последним опросам, рейтинг Макрона составлял 62%. За последние 50 лет предвыборные опросы отличались от реальных результатов выборов, в среднем, на 3,9% .

Политическое движение Макрона подтвердило факт взлома. «Движение En Marche! Этим вечером стало жертвой массированной и скоординированной хакерской атаки, - сказано в официальном заявлении . - Различная внутренняя информация быстро распространилась по социальным медиа». Движение сказало, что документы демонстрируют нормальную работу политической партии, но в социальных медиа их смешивают с поддельными документами, которые сеют «сомнение и дезинформацию».

Предвыборная бухгалтерия

Представители британской исследовательской фирмы Digital Forensic Research Lab считают, что первоначальное распространение документов и хештега #MacronLeaks осуществляли ультраправые американские националисты, а затем волну подхватило ключевое ядро французских сторонников Марин Ле Пен. Специалисты говорят, что первым хештег появился в твиттере американского активиста Джека Пособеца (Jack Posobiec) (он сам говорит , что взял ссылки из ветки /pol/ на 4chan и просто придумал хештег). Анализ его твиттера показывает, что изначально Джек использовал хештег #MacronGate. По статистике, именно американские пользователи наиболее активно распространяли новость на первом этапе.

Министр внутренних дел Франции предупредил журналистов французских СМИ об осторожности при публикации деталей из конфиденциальной переписки En Marche!, ведь ровно за сутки до официального дня выборов начинает действовать запрет на публикацию любой информации, которая может повлиять на результат голосования. Публикация такой информации может привести к заведению уголовных дел, сказал министр. Такой запрет будет действовать до момента закрытия последних избирательных участков в воскресенье 18:00 GMT.

Официальное заявление En Marche! сделано вчера в 23:56 по местному времени, когда оставалось четыре минуты до вступления в силу запрета.

Детальное расследование взлома пока не приведено. Виталий Кремез, директор по исследованиям американской компании по информационной безопасности Flashpoint, сообщил, что его обзор ситуации указывает на работу известной хакерской группы APT28 (Fancy Bear) , которая специализируется на кибершпионаже.

Кремез сказал, что в апреле APT28 зарегистрировала ряд доменных имён, которые похожи на названия официальных серверов En Marche! Среди них onedrive-en-marche.fr и mail-en-marche.fr. Эти домены могли использоваться для целевой рассылки писем для фишинга и установки зловредов на компьютеры, с которых могли сниматься учётные данные для взлома почтовых серверов En Marche! Кремез считает, что это более широкий подход и серьёзный объём усилий, чем показали хакеры во время вмешательства в американскую предвыборную кампанию.

В апреле специалисты компании Trend Micro говорили , что атака на En Marche! в марте осуществлялась той же хакерской группой, которая проводила взлом почтовых серверов Демократической партии США, то есть хакерской группой APT28 (Fancy Bear).

В опубликованном 5 мая массиве взломанной переписки Эммануэля Макрона и его штаба обнаружен ряд писем, которые были изменены пользователем по имени Георгий Петрович Рошка - об этом свидетельствуют метаданные писем.

Те документы, где The Insider обнаружил следы Георгия Рошки (а таких не меньше 6), представляют собой финансовые документы штаба Макрона, вот один из них:

Напомним, основателем WikiLeaks является Джулиан Ассанж, известный в том числе своим шоу на телеканале Russia Today.

Оригинал взят у avmalgin в Георгий Петрович, у вас ус отклеился

В опубликованном 5 мая массиве взломанной переписки Эммануэля Макрона и его штаба обнаружен ряд писем, которые были изменены пользователем по имени Георгий Петрович Рошка — об этом свидетельствуют метаданные писем.

Реальным автором документа, судя по тем же метаданным, был казначей штаба Макрона — Седрик О (это не аббревиатура, а полное имя). Но затем документ был изменен неким Георгием Рошкой. Человек с именем Георгий Петрович Рошка работает в ЗАО «Эврика», производящей вычислительную технику и программное обеспечение, основными клиентами которой являются российские государственные органы, в том числе Минобороны и спецслужбы.

Георгий Рошка — программист, который участвовал в профильных конференциях, например «Параллельные вычислительные технологии», прошедшей в 2014 году в Ростове-на-Дону. На момент публикаций Рошка на запрос The Insider не ответил.

Напомним, основателем WikiLeaks является Джулиан Ассанж, известный в том числе своим шоу на телеканале Russia Today.

This post is also available in:

В четверг Управление по информационной безопасности правительства Франции заявило , что не выявило никакого «российского следа» в кибератаке на Эммануэля Макрона. Чуть более расплывчато выступил Владимир Путин, заявив накануне, что если это и были российские хакеры, то точно не связанные с государством. Однако же, как удалось выяснить The Insider, взломавшие Макрона имели самое прямое отношение к государству – ими были действующие сотрудники Главного разведывательного управления российских вооруженных сил.

В 2016 году напротив имени Георгия Рошки значилось «Войсковая часть №26165, специалист».

85-й главный центр специальной службы ГРУ, он же — войсковая часть №26165, специализируется на криптографии.

Хакеры ГРУ

Бывшего руководителя 85-го главного центра специальной службы ГРУ Сергея Гизунова после загадочной смерти главы ГРУ Игоря Сергуна прочили на его место, но он стал лишь заместителем нового главы — Игоря Коробова. И Гизунов, и Коробов сегодня находятся под американскими санкциями в связи с «действиями по подрыву демократии в США» — то есть именно в связи с хакерскими атаками. Но если Коробов попал под санкции просто как глава ГРУ, то Гизунов к кибератакам мог иметь самое прямое отношение — он специалист по криптографии, имеющий по этой тематике целый ряд научных работ. Той же тематикой занимался и подчиненный ему 85-й главный центр специальной службы, расположенный в Москве по адресу Комсомольский проспект, д. 20. Именно в это историческое здание (бывшие Хамовнические казармы, построенные еще при Александре I), судя по всему, и ходил на службу Георгий Рошка.

Сергей Зайцев, который от лица «Эврики» также ездил с Рошкой на ПАВТ-2014, а затем засветился как сотрудник Центра специальных разработок Министерства обороны РФ, в 2016 и 2017 году в списке участников не фигурирует. Но вот что любопытно: если в 2016 году Рошка зарегистрирован от войсковой части, то в 2017 году он значится как «научный сотрудник Центра стратегических разработок». Скорее всего, имеется в виду все тот же Центр специальных разработок Минобороны (сложно ведь представить, что Рошка вдруг устроился на работу к Кудрину). Но нельзя исключать, что эта должность была просто прикрытием: просто надо было что-то внести в анкету. Но почему Рошка в 2014 году представлялся сотрудником компании «Эврика» — это тоже было прикрытием? Или он все-таки имеет какое-то к ней отношение?

«Эврика» и фабрика хакеров

«Настоящим сообщаем, что Рошка Георгий Петрович в период с 01.01.2003 года по 10.05.2017 в ЗАО «ЭВРИКА» ИНН 7827008143 не работал на постоянной основе и с ним не заключались договора гражданско-правого характера. Также Рошка Георгий Петрович не обнаружен в списках слушателей учебного центра, а также в базе электронных адресов домена.eureca.ru».

Проверить правдивость этого ответа не представляется возможным. Но именно учебный центр «Эврики» представляет особый интерес. Формально он проводит "курсы по информационным технологиям". Но хорошо знакомые с компанией источники The Insider (попросившие об анонимности), сообщили, что тот самый «учебный центр» «Эврики» среди прочего занимается подготовкой будущих хакеров среди сотрудников спецслужб.

Любопытно, что, как удалось выяснить проекту «Муниципальный сканер», один из трех совладельцев «Эврики» Александр Киналь в февраля этого года приобрел квартиру в элитном доме на Каменном острове Санкт-Петербурга по адресу 2-я Березовая аллея, д 19. The Insider об этом легендарном доме, в котором проживает ближайшее окружение Владимира Путина, в том числе его друг по дзюдо Аркадий Ротенберг, бывший управделами президента Владимир Кожин, некоторые члены кооператива «Озеро» (Николай Шамалов, Юрий Ковальчук, Сергей Фурсенко и Виктор Мячин) и экс-глава Малышевской преступной группировки . Именно квартиру Петрова площадью 478,7 кв.м (ориентировочная стоимость примерно $9 млн) по данным «Муниципального сканера» и купил совладелец «Эврики».

Стадия отрицания

Любопытно, что Владимир Путин отрицает связь хакеров с Россией уже не так категорично , мол — они могут быть просто российскими патриотами, которые действуют независимо от государства:

«Фон межгосударственных отношений имеет значение и в этом случае, потому что хакеры – это же люди свободные, как художники: настроение у них хорошее, они встали с утра и занимаются тем, что картины рисуют. Так же и хакеры. Они проснулись сегодня, прочитали, что там что-то происходит в межгосударственных отношениях; если они настроены патриотически, они начинают вносить свою лепту, как они считают, правильную, в борьбу с теми, кто плохо отзывается о России. Возможно? Теоретически возможно. На государственном уровне мы никогда этим не занимаемся, вот что самое важное, вот что самое главное.»

История про «свободных художников» появилась не случайно. Десятки организаций в сфере кибербезопасности из разных стран, изучившие деятельность группировок, известных как Fancy Bear и Cozy Bear, собрали достаточно данных, свидетельствующих о том, что представители этих двух группировок действуют из крупных городов России, владеют русским языком, работают по российскому рабочему времени (отдыхая в те дни, которые в России являются выходными) и атакуют те цели, которые могут интересовать российское правительство — как за рубежом (Хиллари Клинтон, Эммануэль Макрон, целый ряд европейских политиков и журналистов, НАТОвские военные объекты, цели в Украине и Грузии и т.д.), так и внутри страны (оппозиционеры, журналисты, сотрудники НКО). Отрицать связь хакеров из этих двух группировок с Россией сегодня уже невозможно. Но можно попытаться представить их как независимых субъектов. Примерно так же, как независимыми акторами представляли «ополченцев Новороссии».

Ранее это оправдание опровергалось лишь косвенными свидетельствами (например, тем фактом, что операции Fancy Bear и Cozy Bear, по оценкам экспертов, требовали постоянно работающего большого штата хорошо подготовленных сотрудников и серьезных финансовых средств — «свободным художникам» это не под силу). Теперь же участие ГРУ подтверждено прямыми доказательствами. Попытки Путина все тем, что «кто-то вставил флешку с именем какого-то российского гражданина», также едва ли кого-то убедят: имя Рошки никогда ранее не всплывало ни в связи с хакерами, ни в связи с ГРУ (и, возможно, не всплыло бы, не будь этого расследования), поэтому использоваться для провокации оно не могло.

О том, где еще могли располагаться «фабрики хакеров» и кто курировал их работу от Кремля — читайте в следующих расследованиях The Insider.

Материал подготовлен при участии:

Анастасии Кириленко, Сергея Канева, Ивы Цой, Анны Бегиашвили

просмотров

Сохранить ВКонтакте