Saskaņā ar Mandiant datiem vismaz trīs iespējamie haktivistu grupējumi, kas darbojas Krievijas interesēs, visticamāk, to dara sadarbībā ar Krievijas valsts finansiālu atbalstu.
Google piederošais draudu izlūkošanas un incidentu reaģēšanas uzņēmums ar mērenu pārliecību apgalvoja, ka “iespējamo haktīvistu Telegram kanālu “XakNet Team”, “Infoccentr” un “CyberArmyofRussia_Reborn” moderatori koordinē savas darbības ar Krievijas federācijas armijas ģenerālštāba galvenās izlūkošanas pārvaldi, jeb tā saucamo GRU.
Mandiant vērtējums balstās uz pierādījumiem, ka no Ukrainas organizācijām nozagto datu noplūde notika 24 stundu laikā pēc ļaunprātīgiem datu dzēšanas ļaunatūras (wiper) incidentiem, ko veica ar Krievijas valsti saistītais grupējums APT28 (zināms arī kā Fancy Bear, Sofacy vai Strontium).
Rezultātā secinot, ka 4 no 16 datu noplūdēm, no šīm grupām, sakrita ar APT28 ļaunatūras uzbrukumiem datu dzēšanai, kuros tika izmantots ļaunatūras paveids dēvēts par CaddyWiper.
APT28, kas darbojas vismaz kopš 2009. gada, ir saistīta ar GRU un 2016. gadā pievērsa sabiedrības uzmanību ar ielaušanos Democratic National Committee (DNC) (Demokrātu nacionālajā komitejā) ASV prezidenta vēlēšanu priekšvakarā.
Lai gan tā dēvētie haktīvistu grupējumi ir veikuši izkliedētos Pakalpojumatteices (DDoS) uzbrukumus un tīmekļa vietņu uzlaušanu, lai vērstos pret Ukrainu, ir pazīmes, ka šīs dažādās grupas ir viltus aizsegs informācijas operācijām un destruktīvām kiberdarbībām.
Tomēr precīzs attiecību raksturs un saistība ar Krievijas valsti joprojām nav zināma, lai gan tas liecina vai nu par pašu GRU virsnieku tiešu iesaistīšanos, vai arī par to, ka Telegram kanālus vada moderatori.
Šo argumentāciju pamato XakNet veiktā “unikālā” tehniskā artefakta noplūde, ko APT28 izmantoja, kompromitējot Ukrainas tīklu, un tas, ka pirms CyberArmyofRussia_Reborn datu publiskošanas notiek APT28 ielaušanās operācijas.
Kiberdrošības uzņēmums norādīja, ka ir atklāta arī zināma līmeņa koordinācija starp XakNet Team un Infoccentr, kā arī prokrievisko grupu KillNet.
Mandiant sniedzis arī komentāru, ziņojot:
“Karš Ukrainā ir arī pavēris jaunas iespējas izprast Krievijas kiberprogrammu kopumu, koordināciju un efektivitāti, tostarp sociālo plašsaziņas līdzekļu platformu izmantošanu.”
