Перейти до основного вмісту

Звіт про злам українського софту для артилерії хакерами FancyBear — психологічна операція Москви

В #InformNapalm є готовий звіт про злам софту для української артилерії. Ловіть

Примітка редакції. Пропонуємо вашій увазі матеріал нашого партнера InformNapalm, у якому Роман Сініцин розповідає про результати фактчекингу інформації, викладеної у звіті аналітичної групи CrowdStrike.

cry

Наприкінці грудня 2016 року волонтери міжнародної розвідувальної спільноти InformNapalm вже припускали, що висновки звіту аналітичної групи CrowdStrike про операцію російських хакерів FancyBear можуть бути необ’єктивні та неправдиві. Кількість скептиків зростає. До фактчекінгу приєднались хактивісти «Українського кіберальянсу» (UCA), а нові деталі все більше свідчать про те, що звіт і подальший потужний інформаційний розголос про «злам українського софту для артилерії» — це спланована психологічна операція Москви.

Історія з імовірним зламом українського програмного забезпечення «Попр-Д30» для артилеристів та пов’язаними із цим утратами ЗСУ особового складу та військової техніки наробила багато шуму у світових мас-медіа у грудні 2016 року.

Дані, викладені у звіті американської компанії CrowdStrike, були передруковані великою кількістю авторитетних світових ЗМІ: Washington Post, Forbes, The Guardian, Bloomberg та багатьма іншими.

У звіті аналітики стверджують, що начебто проросійська хакерська група FancyBear іще у 2014 році заразила українське програмне забезпечення «Попр-Д30» для артилеристів бекдор-вірусом (X-agent). Також там ідеться про те, що доступ російських хакерів до програми українських артилеристів давав їм змогу отримувати координати українських артилерійських батарей і знищувати їх контрбатарейним вогнем російської артилерії. Згідно зі звітом, із 2013 (до речі, у 2013 році не було жодної воєнної дії) по 2016 рік українська армія втратила приблизно 80% гаубиць Д-30, що становить найбільшу частку втрат серед усіх видів військової техніки.

Цікаво, що дані про втрати компанія CrowdStrike взяла із замітки в Livejournal сімферопольського блогера та відомого проросійського пропагандиста Colonel Cassad, якому «один із його читачів вислав порівняльний аналіз звітів Military Balance, виданих International Institute for Strategic Studies». І лише на основі порівняння звітів про кількість озброєнь за 2013 та 2016 роки Colonel Cassad робить висновок, що українська армія втратила до 80% гаубиць Д-30. Англійський переклад його статті, до речі, зазначений серед джерел звіту CrowdStrike.

Євген Максименко, програміст і розробник української системи управління боєм Combat Vision, ставить під сумнів наведену у звіті Crowd Strike інформацію про велику кількість інфікованих пристроїв, хоча не відкидає можливості зараження apk-файлу і його розміщення на сторонніх ресурсах.

Представники UCA (Ukrainian Cyber Alliance) — українського хакерського консорціуму — стверджують, що у них є apk-файли, заражені «російським» вірусом X-agent. При цьому додають, що інфікувати можна будь-який бінарний файл.

Крім того, представник UCA та хакерської групи RuH8 Sean Townsend стверджує, що зловмисники таки організували спірфішингову атаку, але її швидко ідентифікували й інсталяцій інфікованого додатку на пристрої військових «практично не було». Також зазначає, що X-agent — «украй примітивне програмне забезпечення, і навіть якби інфікований додаток інсталювали, то навряд чи за допомогою отриманих даних можна було завдати якоїсь шкоди».

Під спірфішингом експерти IT-індустрії мають на увазі дії кіберзлочинців, які отримують доступ до внутрішнього списку електронних адрес і потім розсилають інформацію/файли під виглядом однієї з адрес із внутрішнього списку.

Представник UCA зазначає, що автор програмного забезпечення, програміст та артилерист 55-ї артилерійської бригади ЗСУ Ярослав Шерстюк жодним чином не винен у цій ситуації. Програмне забезпечення Шерстюка не було зламане, а висновки CrowdStrike про 80% знищених гаубиць Д-30, відмінну від одиниць кількість заражених пристроїв, можливість стягувати дані з пристроїв, що перебувають у зоні бойових дій, висмоктані з пальця. І з боку CrowdStrike це була «вкрай безвідповідальна і непрофесійна заява».

Також українські хакери стверджують, що сервери FancyBear раніше були неодноразово використані іншим програмним забезпеченням для розсилання спаму і здійснення атак на Bank of America. Це дає можливість припустити, що за FancyBear та історією з «інфікованими apk» стоїть не російське ГРУ, як стверджують у звіті CrowdStrike, а, найімовірніше, ФСБ РФ. Sean Townsend переконує, що це цілком у стилі ФСБ — наймати або залякувати російських кіберзлочинців, які «засвітилися» раніше (атаки на Bank of America), для виконання державних завдань. Спеціалісти ГРУ працюють значно акуратніше і ліпше замітають сліди, стверджують у UCA.

Представники кібербезпекового проекту MySpyBot, своєю чергою, звернулись до CrowdStrike із проханням надати для аналізу заражені apk-файли від FancyBear, але за два тижні так і не отримали жодної відповіді.

У звіті CrowdStrike стверджує, що на низці форумів (при цьому не називає конкретних) apk-файл Шерстюка, інфікований X-Agent, почав поширюватись «наприкінці 2014 року». Переважна більшість утрат української артилерії (зокрема, і гаубиць Д-30) припадає на червень-вересень 2014 року, в період бойових дій у секторі Д (райони Зеленопілля, Краснодона, Старобешевого, Амвросіївки, Іловайська), а також у період активних бойових дій на Луганському напрямку. Це підтверджує й інформація з відкритих джерел, у тому числі явно проросійських.

У цій ситуації дивною виглядає роль Crowd Strike — авторитетної американської компанії, одного з лідерів у галузі інформаційної безпеки, що підготувала звіт з явно неточними, суб’єктивними та компрометуючими даними, на які посилаються автори численних публікацій у світових та вітчизняних ЗМІ.

Тож можна вважати, що оприлюднена історія про зараження — не більше ніж вдала інформаційно-психологічна операція російського ФСБ із залученням авторитетних західних джерел і журналістів. Сподіваємося, що їх ошукали і вони свідомо не співпрацювали з російськими спецслужбами, проте будь-яка версія потребує поглибленої перевірки західними структурами безпеки.

Джерело: InformNapalm.

В самурая немає мети, є лише шлях.
Ваш донат – наша катана. Кнопки нижче!