1. How File Metadata Works
FORENSIC ANALYSIS 821 FILES EXAMINED
When you save a file in Microsoft Office -- an Excel spreadsheet, a Word document -- Windows stamps it with metadata. One of those fields is "Company". It records the registered company name of the Windows installation on the computer that created the file.
If your organization bought legitimate Windows licenses and registered them to "Central Election Commission," every file created on those computers will carry that company name in the metadata. This is automatic. The user does not choose it. It is embedded by the operating system.
If, however, your computer runs a pirated copy of Windows -- one cracked and redistributed by a piracy group -- the company field will carry the piracy group's name instead. The piracy group is the one that "registered" the software during the cracking process. Their name becomes the digital fingerprint on every document the computer produces.
Think of the Company metadata field as a rubber stamp that Windows automatically presses onto every document. A legitimate installation stamps the organization's name. A pirated installation stamps the piracy group's name. The CEC's official election files carry the piracy group's stamp.
2. То, что мы обнаружили
ОФИЦИАЛЬНЫЕ ФАЙЛЫ ЦИК АРХИВ ВАЯБЭК МЭШИН
OWL восстановил 821 официальный файл выборов с elections.am -- официального сайта Центральной избирательной комиссии Республики Армения -- через Wayback Machine. Это собственные файлы ЦИК: списки избирателей, результаты выборов, данные избирательных участков, процедурные документы. Мы извлекли и проанализировали метаданные каждого файла.
Вот что содержит поле метаданных компании во всех 821 файлах:
| Поле компании | Файлы | Что это |
|---|---|---|
| ЦИК | 313 | Официальная Центральная избирательная комиссия |
| СПеЦиалиСТ RePack | 98 | Российский русификатор пиратских версий Windows |
| Grizli777 | 17 | Еще одна пиратская/неофициальная сборка Windows |
| Compass | 9 | Неизвестный происхождение |
| Hewlett-Packard Company | 3 | Сканнерное программное обеспечение HP |
| tsik | 2 | То же, что и ЦИК, вариант в нижнем регистре |
Тридцать одиннадцать файлов были созданы на правильно зарегистрированных компьютерах ЦИК. Вот как должны выглядеть метаданные. Но 98 файлов имеют название компании "СПеЦиалиСТ RePack", и 17 файлов имеют "Grizli777".
Это не названия отделов. Это не названия поставщиков. Это русскоязычные группы пиратов.
3. Кто такие "СПециалиСТ РеПак" и "Гризли777"?
ПУБЛИЧНО ДОКУМЕНТИРОВАНО ОПАСНОСТЬ ПО СЕБЕБЕЗОПАСНОСТИ
СПециалиСТ РеПак
СПециалиСТ РеПак - это известная русскоязычная пиратская операция, которая перепаковывает Microsoft Windows и Microsoft Office с разлоченной активацией. Они активно действуют годами на русскоязычных пиратских форумах и торрент-сайтах. Их "репаки" - это модифицированные установки Windows, где активация лицензии была обходена - программное обеспечение функционирует без действительного лицензионного ключа.
Когда СПециалиСТ РеПак разбивает и перепаковывает Windows или Office, они регистрируют его собственным именем в качестве "Компании". Это имя затем встроено в метаданные каждого файла, созданного на этой установке. Это цифровое эквивалентно нахождению "загружено с сайта пиратов" на официальном государственном документе.
Поищите "СПециалиСТ РеПак" в любом поисковом движке. Результаты - это пиратские форумы, торрент-списки и предупреждения о вредоносных программах. Это не является двусмысленным.
Гризли777
Гризли777 - это еще один пиратский сборка Windows, распространяемая на русскоязычных каналах пиратов. Применяется та же принцип: разлоченная установка регистрируется с этим именем, и оно появляется в метаданных Компании каждого файла, созданного на компьютерах, на которых она работает.
Между двумя группами 115 официальных файлов ЦИК имеют отпечатки пиратского российского программного обеспечения.
98 официальных избирательных файлов с elections.am имеют метаданные от SPециалиСТ РеПак, документированной российской пиратской группы. 17 еще имеют отпечаток Гризли777, еще одной пиратской российской сборки. Оба имени появляются в поле метаданных Компании - поле, которое автоматически устанавливается операционной системой, а не пользователем. Компьютеры ЦИК работают на пиратском российском программном обеспечении.
4. Программное обеспечение на компьютерах ЦИК
Извлеченные метаданные
Метаданные файлов также регистрируют, какая программа создала каждый файл. Вот что работает на компьютерах ЦИК:
| Программное обеспечение | Файлы | Примечание |
|---|---|---|
| Microsoft Excel 2010 | 56 | Конец поддержки: октябрь 2020 года |
| Microsoft Excel 2016 | 7 | Конец основной поддержки: октябрь 2020 года |
| Microsoft Word 2010 | 4 | Конец поддержки: октябрь 2020 года |
| Microsoft Word 2016 | 2 | Конец основной поддержки: октябрь 2020 года |
| Программное обеспечение сканера Canon | 15 | Сканирование документов |
| HP Smart Document Scan 2.70 | 2 | Сканирование документов |
Большинство файлов было создано в Microsoft Office 2010 -- продукт, который Microsoft перестала поддерживать с обновлениями безопасности в октябре 2020 года. Не говоря уже о том, что он пиратский, программное обеспечение устарело. Даже если бы оно было легальным, оно не получало бы никаких исправлений безопасности.
Но это не законное. Это пиратство. То есть оно никогда не получало правильных обновлений безопасности -- ни когда оно было актуальным, ни сейчас.
5. Почему это важно
НАЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМНЫЙ ПРОВАЛ
Это не история о лицензиях на программное обеспечение. ЦИК мог задолживать Майкрософту деньги за годы нелицензированного использования, и это было бы наименее важнойшей частью. Реальные проблемы связаны с тем, что пиратское программное обеспечение означает для безопасности выборов.
Нет обновлений безопасности
Пиратские установки Windows обычно не могут получать официальные обновления безопасности от Microsoft. Windows Update либо отказывается устанавливать исправления на неактивированные копии, либо пиратская группа взлома активации ломается при применении обновлений. Результат: компьютеры ЦИК, которые обрабатывают данные избирателей, работали без исправлений годами.
Каждая уязвимость, обнаруженная в Windows с 2010 года - каждое обнародованное эксплойт, каждое ноль-днев - остается открытой на этих машинах. Это компьютеры, которые обрабатывают списки избирателей, подсчитывают результаты выборов и хранят личные данные граждан Армении.
Компрометация цепочки поставок
Когда пиратская группа "перепаковывает" Windows, они изменяют установку. Они удаляют проверку лицензии. Они добавляют свой взлом активации. Они могут добавить и другие вещи.
Пиратские перепаковки программного обеспечения являются документированным вектором распространения вредоносного ПО. Исследователи безопасности неоднократно обнаруживали бэкдоры, кейлоггеры, криптовалютные майнеры и трояны удаленного доступа, включенные в пиратские установки Windows и Office. Когда ЦИК установил версию Windows от SPecialiST RePack, они установили все, что в ней положил SPecialiST RePack. Без.forensic audit of the machines themselves.
ЦИК не скачал Windows от Microsoft. Они скачали его от русской пиратской группы. Все на этих компьютерах - каждый список избирателей, каждый результат выборов, каждая часть личных данных - обрабатывались на программном обеспечении, которое неизвестная сторона изменила, прежде чем ЦИК когда-либо к нему притронулся.
Русский вектор
Обе SPecialiST RePack и Grizli777 являются операциями на русском языке. Их перепаковки распространяются через русские пиратские форумы и торрент-сайты.
Это важно из-за того, кто являются документированными угрозами для Армении. Российские службенные организации - ФСБ, ГРУ - не теоретические противники для Армении. Они документированные. В стране, где российские операции влияния являются активным вопросом, учреждение, ответственное за администрирование выборов, работает на компьютерах с программным обеспечением, полученным из русских каналов пиратства.
Чтобы быть точным: нет доказательств того, что SPecialiST RePack или Grizli777 связаны с российскими разведслужбами. СутьNarrower and more damning. ЦИК выбрал получать свое программное обеспечение из непроверенных русских источников, а не от Microsoft.插入任何恶意内容来源是未知的 - но ЦИК сделал это возможным, выбрав пиратское программное обеспечение вместо легитимного.
Юридическая лицемерие
Уголовный кодекс Армении (статья 158) усекает программное пиратство. Правительство привлекает к уголовной ответственности личности и предприятия за использование нелицензированного программного обеспечения. Однако собственное правительство - Центризбирком - тело, которое администрирует демоkraticheский процесс - работает на пиратском программном обеспечении.
Учреждение, которое организует выборы, не может даже организовать законное лицензионное соглашение на программное обеспечение.
Что еще они экономят?
Если ЦИК использует пиратское программное обеспечение, чтобы сэкономить на лицензиях, какие еще уголки они экономят? Ответ, на основе наших других расследований, - многие.
- Тот же ЦИК опубликовал официальный файл, показывая 98% turnout on one sheet and 53% on the other - a 2.2 million vote discrepancy.
- Тот же ЦИК's election files were overwhelmingly created by one person -- 591 out of 821 files -- with no separation of duties.
- Тот же ЦИК's voter data has been exposed through security failures.
Пиратское программное обеспечение - не изолированная пропущенная деталь. Это часть 패턴а. Учреждение, которое не инвестирует в базовую лицензирование программного обеспечения, не инвестирует в целостность данных, аудитрейлы, контроль доступа или любую другую инфраструктуру, которая делает выборы достоверными.
Пиратское программное обеспечение. Неисправленные системы. Нет разделения обязанностей. Противоречивые данные в официальных файлах. Открытые данные избирателей. Каждое обнаружение по itself. Вместе они описывают систему администрирования выборов, которая не справляется с каждым уровнем базовой институциональной гигиены.
6. Представьте Ваш банк
Представьте, что вы узнаете, что ваш банк обрабатывает ваше финансовое данные на компьютере с программным обеспечением, которое было скачано с сайта пиратов. Не купленного у Microsoft. Не лицензированного через поставщика. Загружено с русского торрент-сайта, взломанного анонимной группой и установленного на машине, которая обрабатывает ваши номера счетов, ваши транзакции, вашу личную информацию.
Вы бы сразу закрыли свой счет. Вы бы подавали жалобу в регулятор. Вы бы предполагали - правильно - что банк, который готов использовать пиратское программное обеспечение, готов экономить на всех других аспектах.
Теперь замените "ваш банк" на "учреждение, которое администрирует выборы вашей страны". Замените "ваш счет" на "ваш голос". ЦИК - это такой банк. Ваш голос - это счет, который они управляют. И они работают на пиратском российском программном обеспечении.
7. Международные стандарты
ДЕМОКРАТИЧЕСКИЕ НОРМЫ
Ни одна серьезная демократия не проводит свои выборы на пиратском программном обеспечении. Это не высокий порог. Это абсолютно минимальное требование.
Организация по безопасности и сотрудничеству в Европе / Бюро демократии и выборов (OSCE/ODIHR) регулярно оценивает техническую инфраструктуру избирательных систем государств-членов. Их рекомендации последовательно подчеркивают важность безопасной, проверяемой, правильно поддерживаемой ИТ-инфраструктуры для избирательных процессов.
Использование пиратского программного обеспечения нарушает каждое из этих принципов:
- Безопасность: Пиратское программное обеспечение не может получать обновления безопасности и может содержать встроенный вредоносный код.
- Проверяемость: Пиратская установка имеет неизвестную историю изменений. Её нельзя проверить по отношению к известному базису.
- Правильно поддерживаемая: Организация, использующая пиратское программное обеспечение, по определению, отказалась от системы поддержки и обслуживания продавца.
Если наблюдатели выборов от OSCE/ODIHR знали, что ЦИК обрабатывает данные выборов на компьютерах с разорванным Windows от SPecialiST RePack, это было бы в первых абзацах их отчета оценки.
8. Вопрос на 7 июня 2026 года
НЕПРЕРЫВНОЕ РИСКО
Следующие парламентские выборы Армении запланированы на 7 июня 2026 года. Их будет проводить та же Центральная избирательная комиссия.
Метаданные в файлах ЦИК сообщают нам, на что работали их компьютеры, когда эти файлы были созданы. Они не сообщают нам, на что они работают сегодня. Возможно -- в теории -- ЦИК уже обновилась до законного, лицензированного, полностью обновленного программного обеспечения.
Но не было никакого публичного объявления об таком обновлении. Результаты аудита не были опубликованы. Не было выдано никаких отчетов о прозрачности о информационной инфраструктуре ЦИК. Файлы, которые мы анализировали, были самыми последними доступными файлами с elections.am.
Обновилась ли Центральная избирательная комиссия до законного, лицензированного, правильно обновленного программного обеспечения перед выборами 7 июня 2026 года? Если да, то когда? Проведен ли независимый IT-аудит? Были ли виртуальные машины, которые несли отпечатки специалиста RePack и Grizli777, судебно-экспертизированы на наличие вредоносного ПО?
Если ответ на любой из этих вопросов "нет" -- то следующие выборы Армении будут проведены на той же пиратской российской программе, о которой говорится в этой инвестигации.
9. Методология
Повторяемость
Эта расследование основано полностью на публично доступных данных. Каждый шаг может быть независимо воспроизведен.
- Восстановление файлов: 821 файла были восстановлены из elections.am с помощью Wayback Machine (web.archive.org). Это неизмененные копии файлов, которые были размещены на официальном сайте ЦИК.
- Извлечение метаданных: Поле метаданных компании было извлечено из каждого файла с использованием стандартных инструментов анализа документов. Это поле устанавливается автоматически операционной системой Windows и не может быть легко изменено конечными пользователями.
- Идентификация: Значения компании "SPecialiST RePack" и "Grizli777" были идентифицированы как группы пиратов с помощью публичных документов — они широко обсуждаются на форумах безопасности, базах данных пиратов и сайтах анализа вредоносного ПО.
Ни один файл не был изменен. Доступ к никаким системам не был осуществлен. Вовлечение в хакерские действия не предусмотрено. ЦИК опубликовал эти файлы с именами групп пиратов, встроенными в их метаданные. Мы прочитали их.