Перейти к основному содержанию

Не кричи «медведь!»: украинские хактивисты начали факт-чекинг доклада CrowdStrike

Не всё то взлом приложений для украинских артиллеристов, про что CrowdStrike сообщает. Хактивисты украинского Киберальянса разобрались в вопросе. #InformNapalm

Примечание редакции: публикуем материал наших партнёров InformNapalm, в котором хактивисты украинского Киберальянса разбираются в истории со взломом для украинских артиллеристов. 

Выводы отчёта CrowdStrike об операции российских хакеров Fancy Bear могут быть ложными. Число скептиков растёт. В факт-чекинг включились хактивисты украинского Киберальянса (UCA).

22 декабря  аналитическая группа CrowdStrike опубликовала доклад, в  котором заявила, что российская хакерская группировка Fancy Bear якобы причастна ко взлому мобильного приложения для украинских артиллеристов.

Эту сенсационную новость  подхватили многие СМИ, но не многие решили провести факт-чекинг представленных выводов и углубиться в результаты доклада.

В материале русской службы BBC от 23 декабря уже был рассмотрен ряд оценок специалистов, которые скептически высказались по отношению к результатам и выводам, озвученным в докладе.

Как отмечает CrowdStrike, пакет с закладкой для удалённого доступа X-Agent распространялся на украинских армейских форумах, а затем мог быть использован, чтобы вычислять позиции артиллеристов.

Но система распространения приложения, которое было разработано офицером 55-й отдельной артиллерийской бригады ВСУ Ярославом Шерстюком, имела несколько ступеней защиты от попадания в ненужные руки. Приложение предоставлялось лично разработчиком для целевого использования, а  вероятность его скачивания артиллеристами из других неофициальных источников была крайне низкой.

Обозреватель Bloomberg View Леонид Бершидский также выразил ряд скептических оценок:

«Сомневаюсь, что кто-то из украинских военных стал бы скачивать с форума софт для наводки артиллерийских орудий. Обычно они добывают такой софт напрямую у известных им разработчиков типа Шерстюка. Поэтому мне трудно поверить, что это заражённое приложение, которое было найдено где-то в интернете и, вероятно, никогда не использовалось украинскими военными, служит доказательством связи ГРУ с APT28».
Но кроме косвенных оценок специалистов, которые критически отнеслись к  выводам CrowdStrike, в вопрос изучения возможной утечки данных включились и украинские хактивисты из UCA.

Sean Townsend, один из хактивистов группировки RUH8 (входящей в UCA, ставшего всемирно знаменитым после взломов канцелярии помощника президента РФ Владислава Суркова), также прокомментировал сенсационный доклад CrowdStrike:


«Прочитал отчет компании CrowdStrike, озаглавленный «Fancy Bear следит за украинской артиллерией». Как хакер я недолюбливаю индустрию безопасности, безопасники торгуют страхом, но CrowdStrike не соблюдает даже те убогие стандарты, которых придерживаются остальные. Начинается отчёт с громкого заявления о том, что потери Д-30 ВСУ достигают 80%. Цифру 80% озвучивает не Институт Стратегических Исследований, а colonelcassad (российский блоггер-пропагандист – прим.ред), но даже он, вбрасывая «80%», объясняет цифру не потерями, а передачей техники из ВСУ в НГ (в отчёте IISS в этом разделе приведены «очень точные» сведения «some D-30» ). Далее в отчете утверждается (без пруфов), что атака осуществлялась при помощи «X-Agent для Android». У меня несколько вопросов – где хеши, где адреса центров управления, где оценка количества зараженных телефонов? А это вообще X-Agent? Я понимаю, что сейчас планируются слушания в Конгрессе о «русских хакерах» и CrowdStrike хочет доказать свою полезность, однако я считаю такое поведение безответственным.

(Фото: скриншот кода вредоносной программы)

У нас уже есть образцы вредоносного ПО, которое CrowdStrike связывают с  Fancy Bear, выводы будут позже. Зомби-коммунистов из ГРУ не обещаю. Я высоко оцениваю постсоветсткую хакерскую сцену, но демонизировать русских хакеров не нужно, парочку мы взломали и это было истерически смешно. Скриншот сильно подрывает версию об «очень страшных русских хакерах из ГРУ». Вы видите на скриншоте непонятные буквы и цифры, а для специалиста там полыхает огромная огненная надпись «ЭТОТ КОД ПИСАЛ И ИСПОЛЬЗОВАЛ ДОЛБО@Б».

Источник: InformNapalm

У самурая нет цели, есть только путь. Мы боремся за объективную информацию.
Поддержите? Кнопки под статьей.