Олександр Кузьменко War 15 October 2024, 15:21

Айтівці, можновладці та медійники отримали масову розсилку листів із погрозами вчинення теракту. Хто за цим стоїть і до чого тут палії автівок ЗСУ

У понеділок, 14 жовтня, низкою областей України прокотилася хвиля повідомлень про фейкові замінування навчальних закладів, торгівельно-розважальних центрів, установ та адмінбудівель. Email з погрозами надійшли на адреси численних компаній, журналістських редакцій (в тому числі dev.ua) та простих українців. Ми спробували розібратися, що відомо про цю атаку та хто така Fire Cells Group, яка згадується в листах.

Хто отримав повідомлення з погрозами й чи справді була вибухівка

Департамент комунікації Національної поліції повідомив, що правоохоронці вчора отримали понад 2000 викликів, в основному це була інформація про мінування адмінбудівель. Переважна більшість повідомлень була надіслана з російських IP-адрес.

«Такі повідомлення — це почерк російських спецслужб, якими вони ведуть проти України гібридну війну, намагаючись спричинити масову паніку та виснажити систему державних та правоохоронних органів», — повідомили в Нацполіції.

Інформацію про нібито мінування отримували навчальні заклади торгівельно-розважальні та бізнес-центри, установи та адмінбудівлі в Києві, Сумах, Хмельницькому, Ужгороді, Одесі, Полтаві, Івано-Франківську Миколаєві та Житомирі.

Зокрема, у Києві нібито замінували Київський національний університет культури та мистецтв та приміщення Вищої ради правосуддя. У Полтаві було евакуйовано студентів і викладачів педагогічного університету.

Міністерство закордонних справ заявило, що погрози про замінування отримали понад 60 дипломатичних установ та структурних підрозділів, у деяких випадках тимчасово зупинили консульське обслуговування українських громадян.

Дещо персоналізованіші листи з погрозами отримали журналісти «РБК-Україна» та «Радіо Свобода». За словами CEO «РБК-Україна», ці листи приходили «купі людей».

«Учора весь день така дичина гуляла. Поліція та СБУ приїжджали», — розповів він в коментарі dev.ua.

«Фігассє, спам пішов. Це вже кримінальна стаття чи ще ні?», — написав у Facebook Сергій Мітяєв, співзасновник Gagadget.com

«Ми взагалі не знали про погрози, оскільки лист потрапив в спам. Тому ми його знайшли лише після повідомлень інших редакцій про погрози. Але ми дбаємо про безпеку колег, які працюють в офісі й у випадку, якби ми отримали погрози вчасно, ми б попросили їх негайно покинути приміщення і звернулися б в поліцію», — розповіла директорка ГО «Детектор медіа» Галина Петренко.

Також телеграм-канал «Підслухано в IT» повідомив, що листи з погрозами також отримали кілька бізнес-центрів у Києві, через що деякі ІТ-компанії, зокрема WIX і MacPaw, відпустили своїх співробітників додому (dev.ua попросив їх прокоментувати цю ситуацію, ми оновимо матеріал, якщо отримаємо відповідь).

У коментарях до цього допису одразу кілька айтівців підтвердили, що вони або їхні компанії також отримали подібні листи з погрозами. «Лист прийшов на загальну пошту. Там навіть наша адреса не була вказана, то просто проігнорували», — розповів dev.ua Антон, контент-редактор сайту portativ.ua.

Усі виклики виявились неправдивими. Зокрема, представники Національної поліції перевірили офіс Радіо Свобода в Києві й не виявили там вибухового пристрою.

До чого тут журналістки «Радіо Свобода»

Нещодавно на платформах «Радіо Свобода» вийшло розслідування про те, як російські спецслужби вербують українців, зокрема неповнолітніх, за гроші для підпалів автомобілів українських військових, у тому числі працівників ТЦК. Авторками розслідування були вказані Ірина Сисак, Валерія Єгошина та Юлія Химерик.

«Нам відомо, що три наші журналістки згадуються в масово розісланих електронних листах із погрозами про замінування. Ці журналістки нещодавно опублікували розслідування про те, як російські спецслужби вербують підлітків для здійснення підпалів автомобілів українських військових. Ми не можемо пояснити мотивацію цих обурливих погроз. Ми не піддаємося залякуванням і підтримуємо наших журналістів, які продовжуватимуть інформувати українську аудиторію безстрашно та неупереджено», — прокоментував ситуацію президент «Радіо Свобода» Стівен Капус.

Одна з авторок статті про паліїв автівок ТЦК в коментарі dev.ua повідомила, що не готова коментувати розсилку листів з погрозами й послалася на позицію озвучену президентом «Радіо Свобода».

Що відомо про Fire Cells Group

Як з’ясували журналісти «Радіо Свобода» Ассаулюк Олександр Віталійович, який значиться відправником листів із погрозами, проживає в окупованому росією Криму та має російський паспорт.

Крім того, у соцмережах Fire Cells Group, яка взяла на себе відповідальність за «масові мінування», активно розповсюджують повідомлення із закликами палити авто українських військовослужбовців і демонструють результати підпалів. Раніше dev.ua розповідав, як отримав пропозицію щодо «підпалу тачок ТЦК».

«Пропонуємо як одноразове виконання завдань, так і роботу на постійній основі. Викрадення, підпали, викрадення людей, вирішення делікатних питань. Завдання є по всій території України, рф і країн СНД», — йдеться в дописах на каналі Fire Cells Group. За ці завдання зловмисники пропонують від $100, а за переслідування військовослужбовців ТЦК — $1000.

У своєму телеграм-каналі, який створили наприкінці серпня 2024 року, Fire Cells Group активно рекламують й інші групи, які виступають проти «роздачі» повісток в Україні. Крім того, зловмисники рекомендували послуги юридичного центру KSK Law Group, який нібито допомагає «військовозобов’язаним, що постраждали від дій ТЦК». Коли в dev.ua поцікавилися в KSK Law Group, що їм відомо про таку «рекламу», там були дуже здивовані, і відповіли, що вперше про це чують.

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка працює при Держспецзв’язку, повідомила, що вже тривалий час відстежується активність угруповання Fire Cells Group. Воно отримало позначення UAC-0050.

За даними CERT-UA протягом вересня — жовтня 2024 року ці зловмисники зламали комп’ютери бухгалтерів і здійснили не менше ніж 30 спроб викрадення грошей з рахунків українських підприємств та ФОПів, створюючи підробки фінансових платежів.

«Суми таких платежів варіюються від десятків тисяч до декількох мільйонів гривень, а час на викрадення може складати від декількох діб до декількох годин з моменту первинного ураження комп’ютера. Здебільшого ланцюг викрадення грошей передбачає їх подальшу конвертацію в криптовалюту», — зазначають в CERT-UA.

dev.ua також дізнався, що домен fcg.cx, яку вказав у листі нібито представник Fire Cells Group Олександр Ассаулюк, був створений лише 28 вересня. Він був зареєстрований через британського реєстратора CentralNic Ltd. (Лондон). Дані про того, хто реєстрував домен, приховані. Але вказана країна — реєстранта США.

Наразі цей сайт не працює. Але в кеші Google ще можна знайти згадки, що адміністратори сайту реєстрували на своєму домені такі поштові адреси як, [email protected] або [email protected].

У Службі Безпеки України говорять, що розцінюють вчорашні масові погрози як ІПСО.

«Випадок із масовою розсилкою повідомлень про фейкові мінування варто розглядати через призму ІПСО (психологічна операція), спрямованої на поширення панічних настроїв у громадян нашої держави», — повідомили в пресслужбі СБУ в коментарі для «Радіо Свобода».

Читайте головні IT-новини країни в нашому Telegram

Ризотто з голубом і коноплі замість ліків. Минулої осені росіяни провели операцію з розсиланням спаму та крінжової дезінформації спрямованої на українців

Російські спецслужби розповсюджують ІПСО проти DOC.ua. Інвестори сервісу підключають СБУ