Open Source Signal #031 / Сигнал відкритих джерел

Editorial frame

What this is: A bilingual editorial filter for public-interest OSINT. Each item explains what happened, why it matters, how a reader can use the insight, and where the method or evidence has limits.

What this is not: Doxxing, live targeting, stolen-data workflows, private-person deanonymization, credential hunting, revenge calls, unsafe operational guidance or unverified accusations against private people.

Rubric map

📡 Signal One

🗺️ Map Room

⚖️ War Crimes Verification

🤖 AI Verification

🛰️ Infrastructure Signals

🛡️ Investigator OPSEC

📡Signal OneГоловний сигнал

#01

Russia’s Belarus-border drone infrastructure becomes a mappable attack system

Source: Radio Free Europe/Radio Liberty · 12 June 2026

What happened

Radio Free Europe/Radio Liberty identified and analysed a network of Russian airfields and launch complexes built near the Belarusian border and assessed as possible launch infrastructure for Shahed/Geran-type attack drones. The investigation uses satellite imagery, Ukrainian military and expert comments, Belarus-related incident reporting and route analysis to describe at least five sites in Russia’s Bryansk, Oryol and Smolensk regions.

Why it matters

This is not only a story about separate launch pads. It shows how attack infrastructure, airspace corridors, communications support, storage, shelters and route geography can become one evidence system. For Ukrainian accountability work, that helps separate visible infrastructure, route inference, official claims and later incident evidence.

How to use it

Build an evidence table for each site: site name, source image date, visible infrastructure, construction change, probable function, corroborating reports, route relevance and confidence level. Use time-series imagery and archived public statements rather than one dramatic image, because the change history is the stronger evidence.

Limits

Satellite imagery can show infrastructure and probable function, but it does not by itself prove a specific launch, operator or command chain. Belarus-route claims must be separated into confirmed airspace events, analyst inference and military reporting. Do not publish coordinates, route detail or facility details in a way that adds operational value.

Російська дронова інфраструктура біля Білорусі стає видимою системою атак

Джерело: Radio Free Europe/Radio Liberty · 12 червня 2026

Що сталося

Радіо Свобода виявило й проаналізувало мережу російських аеродромів і пускових комплексів біля білоруського кордону, які можуть використовуватися для запуску ударних дронів типу Shahed/Geran. Розслідування спирається на супутникові знімки, коментарі українських військових і експертів, повідомлення про інциденти в Білорусі та аналіз можливих маршрутів.

Чому це важливо

Це не лише історія про окремі пускові майданчики. Матеріал показує, як інфраструктура атак, повітряні коридори, ретрансляція зв’язку, склади, укриття й географія маршрутів складаються в одну доказову систему. Для української роботи з притягнення до відповідальності це допомагає розділяти видиму інфраструктуру, аналітичні припущення, офіційні заяви та докази конкретних наслідків атак.

Як це застосувати

Для кожного об’єкта варто вести таблицю: назва, дата знімка, видимі елементи інфраструктури, зміни в будівництві, імовірна функція, підтвердження з інших джерел, зв’язок із маршрутами й рівень упевненості. Сильнішим доказом буде не один кадр, а послідовність знімків і заархівованих публічних заяв.

Обмеження

Супутникове зображення може показати інфраструктуру та її ймовірну функцію, але не доводить конкретний запуск, конкретного оператора або командний ланцюг. Твердження про білоруський маршрут треба відділяти від підтверджених подій у повітряному просторі, аналітичних висновків і військових повідомлень. Не публікуйте координати, деталі маршрутів або подробиці об’єктів так, щоб це мало оперативну цінність.

satellite-imageryshahedbelarus-corridorattack-infrastructuresource-status

🗺️Map RoomКартографічна кімната

#02

Building-scale anti-drone cages are now satellite-visible infrastructure indicators

Source: Business Insider · 12 June 2026

What happened

Business Insider published a Vantor satellite-imagery based report showing a large anti-drone cage structure around a Russian munitions-linked facility in Cheboksary. The article connects the visible protective structure with later public after-action footage and official claims about a Ukrainian strike.

Why it matters

Protective structures are becoming useful infrastructure indicators. For investigators, they can show what facilities Russian actors consider exposed, which sites changed over time, and how wartime adaptation appears in commercial imagery. The public value is the method: recognising hardening, not celebrating or guiding attacks.

How to use it

Treat protective structures as one field in an infrastructure file: imagery date, visible hardening type, before/after comparison, facility category, public-source corroboration, claim status and uncertainty. Keep imagery interpretation separate from claims about strike effectiveness.

Limits

Do not use this material for target selection, route advice, coordinates, live vulnerability assessment or weapons-performance claims. A visible cage does not prove what is inside a facility, how well it works or who made a later strike decision.

Протидронні конструкції навколо будівель стали індикатором для супутникової перевірки

Джерело: Business Insider · 12 червня 2026

Що сталося

Business Insider опублікував матеріал на основі супутникового знімка Vantor, де видно велику протидронну конструкцію навколо російського об’єкта, пов’язаного з виробництвом компонентів для боєприпасів. Матеріал зіставляє видиму захисну конструкцію з пізнішими публічними відео після удару та офіційними заявами.

Чому це важливо

Захисні конструкції стають помітними індикаторами інфраструктури. Для дослідників вони можуть показувати, які об’єкти російські структури вважають уразливими, як вони змінюються з часом і як воєнна адаптація проявляється на комерційних знімках. Суспільна цінність тут у методі розпізнавання змін, а не в допомозі для атак.

Як це застосувати

Розглядайте захисні конструкції як окреме поле в картці інфраструктурного об’єкта: дата знімка, тип видимого укріплення, порівняння до/після, категорія об’єкта, підтвердження з публічних джерел, статус заяв і рівень непевності. Інтерпретацію знімків треба відділяти від тверджень про результативність ударів.

Обмеження

Не використовуйте такий матеріал для вибору цілей, порад щодо маршрутів, публікації координат, поточної оцінки вразливостей або висновків про ефективність зброї. Видима протидронна конструкція не доводить, що саме розміщено всередині, наскільки вона ефективна або хто ухвалив рішення про подальший удар.

satellite-imageryinfrastructure-hardeningmap-roomsource-statusrisk-watch

⚖️War Crimes VerificationВерифікація воєнних злочинів

#03

Cultural-property harm needs a register, not only a headline count

Source: Interfax-Ukraine · 15 June 2026

What happened

Interfax-Ukraine reported that Ukraine’s Prosecutor General said Russian forces had damaged or destroyed nearly 2,000 cultural monuments, including more than 100 under UNESCO auspices. The same statement referred to millions of cultural-heritage objects stolen since 2014 and more than 240 criminal proceedings.

Why it matters

Cultural-property harm is an accountability dataset, not a decorative side story. Each object needs location, protection status, custodian, source of confirmation, damage type, date, military context, preservation record and procedural status. Aggregate numbers are useful only when they lead to item-level evidence discipline.

How to use it

Build a cultural-harm register with separate fields for UNESCO status, national or local protection status, before/after imagery, official statement, expert assessment, prosecutorial reference if public, type of harm and confidence level. Keep strike damage, looting, relocation and loss of custody as different categories.

Limits

A prosecutorial aggregate is not item-level proof. Use the article to record the institutional claim, but verify each monument or object separately before using it in legal, advocacy or data-publication work. Do not merge this with Lavra-specific incident records from earlier issues.

Шкода культурній спадщині потребує реєстру, а не лише загальної цифри

Джерело: Interfax-Ukraine · 15 червня 2026

Що сталося

Interfax-Ukraine повідомило, що, за словами Генерального прокурора України, російські сили пошкодили або знищили майже 2 000 пам’яток культури, зокрема понад 100 об’єктів під егідою ЮНЕСКО. У тій самій заяві йшлося про мільйони викрадених з 2014 року об’єктів культурної спадщини та понад 240 кримінальних проваджень.

Чому це важливо

Шкода культурній спадщині — це доказовий набір даних, а не другорядна гуманітарна тема. Для кожного об’єкта потрібні місце, охоронний статус, балансоутримувач, джерело підтвердження, тип шкоди, дата, військовий контекст, записи про збереження матеріалів і процесуальний статус. Загальні цифри корисні лише тоді, коли ведуть до дисципліни на рівні конкретних об’єктів.

Як це застосувати

Створіть реєстр шкоди культурній спадщині з окремими полями для статусу ЮНЕСКО, національного або місцевого охоронного статусу, знімків до/після, офіційної заяви, фахової оцінки, публічного процесуального посилання, типу шкоди та рівня впевненості. Пошкодження від удару, викрадення, переміщення і втрату контролю над об’єктом слід вести як різні категорії.

Обмеження

Узагальнена цифра прокуратури не є доказом на рівні конкретного об’єкта. Матеріал можна використовувати для фіксації інституційної заяви, але кожну пам’ятку або річ треба перевіряти окремо перед юридичним, адвокаційним або дата-публікаційним використанням. Не змішуйте це з окремими записами про пошкодження Лаври з попередніх випусків.

cultural-propertywar-crimesevidence-registersource-statusukraine

🤖AI VerificationШІ та верифікація

#04

C2PA verification needs tool-version notes, not blind trust

Source: Content Authenticity Initiative · 11 June 2026

What happened

The Content Authenticity Initiative updated c2patool to versions 0.26.66 and 0.26.67 on June 11. c2patool is a command-line utility used to inspect, create and validate C2PA provenance manifests and content-credential data.

Why it matters

Provenance checking is becoming part of visual verification, but the verifier is still software. Investigators who open images, videos or documents from hostile environments should record tool versions, run checks in controlled environments and avoid treating a technical manifest as truth by itself.

How to use it

When checking C2PA data, record the c2patool version, file hash, source URL, download time, manifest result, signer information if present and any validation warnings. Run suspicious files in an isolated environment and compare C2PA output with visual checks, platform context, metadata and archive history.

Limits

C2PA can describe a signed provenance chain only where one exists and where the signer is meaningful. It does not prove that an image is true, complete or fairly contextualised. Many authentic files have no C2PA data, and many platforms strip or transform file metadata.

Перевірка C2PA потребує запису версії інструмента, а не сліпої довіри

Джерело: Content Authenticity Initiative · 11 червня 2026

Що сталося

Content Authenticity Initiative 11 червня оновила c2patool до версій 0.26.66 і 0.26.67. c2patool — це командний інструмент для перегляду, створення й перевірки C2PA-маніфестів походження та підписаних відомостей про файл.

Чому це важливо

Перевірка походження файлів стає частиною візуальної верифікації, але сам інструмент перевірки лишається програмним забезпеченням. Дослідники, які відкривають фото, відео або документи з ворожого середовища, мають фіксувати версію інструмента, запускати перевірку в контрольованому середовищі й не сприймати технічний маніфест як доказ правдивості сам по собі.

Як це застосувати

Під час перевірки C2PA-даних записуйте версію c2patool, хеш файлу, URL джерела, час завантаження, результат перевірки маніфесту, дані про підписанта, якщо вони є, і всі попередження валідації. Підозрілі файли відкривайте в ізольованому середовищі, а результат C2PA звіряйте з візуальною перевіркою, контекстом платформи, метаданими й історією архівування.

Обмеження

C2PA може описати підписаний ланцюг походження лише там, де він існує і де підписант має значення. Він не доводить, що зображення правдиве, повне або подане в коректному контексті. Багато справжніх файлів не мають C2PA-даних, а багато платформ видаляють або змінюють метадані.

c2paprovenanceai-verificationtool-securitymetadata

🛰️Infrastructure SignalsІнфраструктурні сигнали

#05

OONI’s Women on Web report is a reusable censorship-measurement model

Source: OONI · 11 June 2026

What happened

OONI published a network-measurement report on the blocking of Women on Web domains, based on OONI Probe data collected from November 2025 to April 2026. The report identifies blocking signals in seven countries and documents techniques such as DNS tampering, TLS interference, bogon IP responses and corporate-firewall blocking.

Why it matters

For OSINT and accountability work, the reusable lesson is the measurement method. The same structure can help document access restrictions affecting evidence portals, exile media, human-rights resources, war documentation projects and support hotlines. It also shows why access failure and deliberate interference must be separated.

How to use it

Use the report as a template for an access-monitoring dossier: tested URL, date, network, resolver behaviour, TLS behaviour, control measurement, country context, confidence level and safety notes for testers. Where safe, pair OONI data with user reports, screenshots and measurements from other networks.

Limits

Network measurements can show interference patterns, but they do not automatically identify who ordered a block or why. Sensitive services create risk for users and testers, so never expose individual testers, local contacts or affected people when publishing access evidence.

Звіт OONI про Women on Web дає модель вимірювання цензури

Джерело: OONI · 11 червня 2026

Що сталося

OONI опублікувала звіт про блокування доменів Women on Web на основі даних OONI Probe, зібраних з листопада 2025 до квітня 2026 року. У звіті описано ознаки блокування в семи країнах і такі техніки, як підміна DNS, втручання в TLS-з’єднання, повернення службових або нерозподілених IP-адрес і блокування на рівні корпоративних мереж.

Чому це важливо

Для досліджень відкритих джерел і роботи з притягнення до відповідальності головний урок — це метод вимірювання. Така структура може допомогти документувати обмеження доступу до доказових порталів, медіа у вигнанні, правозахисних ресурсів, проєктів документування війни та ліній допомоги. Вона також показує, чому технічний збій і навмисне втручання треба розділяти.

Як це застосувати

Використайте звіт як шаблон для досьє з моніторингу доступу: перевірений URL, дата, мережа, поведінка DNS, поведінка TLS, контрольне вимірювання, контекст країни, рівень упевненості та безпекові примітки для тестувальників. Там, де це безпечно, поєднуйте дані OONI з повідомленнями користувачів, знімками екрана та вимірюваннями з інших мереж.

Обмеження

Мережеві вимірювання можуть показати патерн втручання, але не визначають автоматично, хто наказав блокування і з якою мотивацією. Чутливі сервіси створюють ризики для користувачів і тестувальників, тому під час публікації доказів доступу не можна розкривати окремих тестувальників, локальних контактів або постраждалих людей.

ooniinternet-censorshipnetwork-measurementinfrastructure-signalsaccess-monitoring

🛡️Investigator OPSECБезпека дослідника

#06

Research organizations need mail-rule and identity-provider audits, not only endpoint logs

Source: Google Threat Intelligence Group · 15 June 2026

What happened

Google Threat Intelligence Group reported a campaign it attributes to UNC6508, a PRC-nexus actor targeting North American academic, medical and military research organizations. The report describes compromise of externally facing REDCap servers, credential harvesting, internal pivoting, abuse of enterprise administrative tools and covert email-data exfiltration.

Why it matters

Newsrooms, human-rights groups and documentation teams also run intake forms, research databases, cloud email, identity providers and shared evidence stores. A compromised mailbox or identity system can expose sources, unpublished evidence, partner contacts and working routes. The risk is not only a malicious attachment; it can also be a quiet forwarding rule, delegated access or a modified administrative setting.

How to use it

Add a periodic audit checklist for high-risk research environments: third-party identity-provider settings, phishing-resistant MFA for administrators, form-platform patching, old exposed versions, suspicious forwarding or BCC rules, admin logins from unusual infrastructure, service accounts, export logs and an emergency evidence-preservation plan. Keep raw indicators in restricted defender channels.

Limits

GTIG attribution is a vendor intelligence assessment, not a court finding. Do not publish raw indicators, email addresses, exploitation paths or victim-organization details in a way that helps attackers or exposes victims. Use the case as a defensive OPSEC model, not as proof for unrelated incidents.

Дослідницьким організаціям потрібен аудит поштових правил і систем входу, а не лише журнали кінцевих пристроїв

Джерело: Google Threat Intelligence Group · 15 червня 2026

Що сталося

Google Threat Intelligence Group описала кампанію UNC6508, яку пов’язує з китайським напрямом, проти академічних, медичних і військово-дослідницьких організацій у Північній Америці. У звіті йдеться про компрометацію відкритих назовні серверів REDCap, викрадення облікових даних, перехід у внутрішні системи, зловживання адміністративними інструментами та приховане виведення поштових даних.

Чому це важливо

Редакції, правозахисні групи й команди документування теж часто мають форми збору свідчень, дослідницькі бази, хмарну пошту, системи входу та спільні сховища доказів. Компрометована пошта або система входу може розкрити джерела, неопубліковані докази, контакти партнерів і робочі маршрути. Ризик не лише у шкідливому вкладенні, а й у тихому правилі пересилання, делегованому доступі або зміненому адміністративному налаштуванні.

Як це застосувати

Додайте регулярну перевірку для середовищ із високим ризиком: налаштування систем входу, стійку до фішингу багатофакторну автентифікацію для адміністраторів, оновлення платформ для форм, старі відкриті версії, підозрілі правила пересилання або прихованої копії, входи адміністраторів із незвичної інфраструктури, службові облікові записи, журнали експорту та план екстреного збереження доказів. Сирі індикатори тримайте в закритих каналах для захисників.

Обмеження

Атрибуція GTIG — це оцінка постачальника розвідданих, а не судове встановлення. Не публікуйте сирі індикатори, адреси, шляхи експлуатації або дані організацій-жертв так, щоб це допомагало нападникам або розкривало потерпілих. Використовуйте кейс як модель захисної безпеки, а не як доказ для непов’язаних інцидентів.

investigator-opsecemail-securityidentity-providerresearch-securitysource-protection

🤖AI VerificationШІ та верифікація

#07

Local LLM agents are not a replacement for vetted security scanners

Source: arXiv · 10 June 2026

What happened

Researchers evaluated a general-purpose LLM-based agent running on three Ollama-hosted open-source models against Bandit, a vetted Python static application security testing tool. They assessed precision, recall, false positives and a composite score, and concluded that modern general-purpose open-source LLM agents are not yet suitable as standalone SAST scanners under realistic conditions.

Why it matters

Small OSINT teams increasingly use local LLM agents to inspect scripts, scrapers, notebooks, evidence-processing code and unfamiliar tool repositories. This paper is a useful warning: an agent can help explain code and triage questions, but it should not replace rule-based scanners, dependency checks, sandboxing and human review.

How to use it

Treat AI code review as one reviewer, not the gate. Keep a baseline pipeline: dependency pinning, known scanner output, secrets scanning, reproducible environment, hash logs, isolated execution and manual review of dangerous operations. Record which model and prompt were used when AI advice affects an evidence pipeline.

Limits

This is a preprint and evaluates a specific Python/SAST setup, not every security task or every model. Do not overgeneralise the exact scores. The actionable point is process hygiene: AI can assist, but evidence systems need deterministic checks and human accountability.

Локальні LLM-агенти не замінюють перевірені сканери безпеки

Джерело: arXiv · 10 червня 2026

Що сталося

Дослідники порівняли універсального LLM-агента на трьох відкритих моделях, запущених через Ollama, з Bandit — перевіреним інструментом статичного аналізу безпеки Python-коду. Вони оцінювали точність, повноту, хибні спрацювання та зведений показник і дійшли висновку, що сучасні універсальні відкриті LLM-агенти ще не придатні як самостійна заміна SAST-сканерів у реалістичних умовах.

Чому це важливо

Невеликі команди відкритих джерел дедалі частіше використовують локальні LLM-агенти для перегляду скриптів, збирачів даних, нотатників, коду обробки доказів і незнайомих репозиторіїв інструментів. Ця робота корисна як попередження: агент може пояснити код і допомогти з первинним аналізом, але не має замінювати правила статичного аналізу, перевірку залежностей, ізоляцію запуску та людський перегляд.

Як це застосувати

Сприймайте перевірку коду за допомогою ШІ як ще одного рецензента, а не як єдиний пропускний пункт. Базовий процес має включати фіксацію версій залежностей, вивід перевіреного сканера, пошук секретів, відтворюване середовище, журнали хешів, ізольований запуск і ручний перегляд небезпечних операцій. Якщо порада ШІ впливає на доказовий процес, записуйте модель і запит, які були використані.

Обмеження

Це препринт, який оцінює конкретну зв’язку Python/SAST, а не всі завдання безпеки й не всі моделі. Не варто переносити точні показники на будь-який інший випадок. Практичний висновок у дисципліні процесу: ШІ може допомагати, але доказовим системам потрібні детерміновані перевірки й людська відповідальність.

ai-verificationsastinvestigator-opsecllm-agentscode-review