- InformNapalm - https://informnapalm.org -

Не кричи «медведь!»: украинские хактивисты начали факт-чекинг доклада CrowdStrike

Выводы отчета CrowdStrike об  операции российских хакеров Fancy Bear могут быть ложными. Число скептиков растет. В факт-чекинг включились хактивисты украинского Киберальянса ( [1]UCA).

22 декабря  аналитическая группа CrowdStrike опубликовала доклад [2], в  котором  заявила, якобы российская  хакерская группировка Fancy Bear  причастна ко взлому мобильного приложения для украинских артиллеристов.

Эту сенсационную новость  подхватили многие СМИ, но не многие решили провести факт-чекинг  представленных выводов и углубиться в результаты доклада.

В материале русской службы BBC [3] от 23 декабря уже был рассмотрен ряд  оценок специалистов, которые скептически высказались по отношению к результатам и выводам, озвученным в докладе.

Как отмечает CrowdStrike, пакет с закладкой для удаленного доступа X-Agent распространялся на украинских армейских форумах, а затем мог быть использован, чтобы вычислять позиции артиллеристов.

Но система распространения приложения, которое было разработано офицером 55-й отдельной артиллерийской бригады ВСУ  Ярославом Шерстюком,  имело несколько ступеней защиты от попадания в ненужные руки. Приложение предоставлялось лично разработчиком для целевого использования, а  вероятность его скачивания артиллеристами из других не официальных источников была крайне низкой.

Обозреватель Bloomberg View [4] Леонид Бершидский также выразил ряд скептических оценок:

«Сомневаюсь, что кто-то из украинских военных стал бы скачивать с форума софт для наводки артиллерийских орудий. Обычно они добывают такой софт напрямую у известных им разработчиков типа Шерстюка. Поэтому мне трудно поверить, что это зараженное приложение, которое было найдено где-то в интернете и, вероятно, никогда не использовалось украинскими военными, служит доказательством связи ГРУ с APT28»
Но кроме косвенных оценок специалистов, которые критически отнеслись к  выводам CrowdStrike, в вопрос изучения возможной утечки данных включились и украинские хактивисты из UCA.

Sean Townsend [5], один из хактивистов группировки RUH8 (входящей в UCA, ставшего всемирно знаменитыми после взломов канцелярии помощника президента РФ Владислава Суркова [6]) также прокомментировал сенсационный доклад CrowdStrike:


«Прочитал отчет компании  CrowdStrike озаглавленный «Fancy Bear следит за украинской артиллерией». Как хакер, я недолюбливаю индустрию безопасности, безопасники торгуют страхом, но CrowdStrike не соблюдает даже те убогие стандарты, которых придерживаются остальные. Начинается отчет с громкого заявления о том, что потери Д-30  ВСУ достигают 80%. Цифру 80% озвучивает не Институт Стратегических Исследований, а  colonelcassad (российский блоггер-пропагандист – прим.ред), но даже он вбрасывая «80%», объясняет цифру не потерями, а передачей техники из ВСУ в НГ (в отчете  IISS в этом разделе приведены «очень точные» сведения «some D-30» ). Далее в отчете утверждается (без пруфов), что атака осуществлялась при помощи «X-Agent для  Android». У меня несколько вопросов – где хеши, где адреса центров управления, где оценка количества зараженных телефонов? А это вообще X-Agent? Я понимаю, что сейчас планируются слушания в Конгрессе о «русских хакерах» и CrowdStrike хочет доказать свою полезность, однако, я считаю такое поведение безответственным.

[7](Фото: скриншот кода вредоносной программы)

У нас уже есть образцы вредоносного ПО, которое CrowdStrike связывают с  Fancy Bear , выводы будут позже. Зомби-коммунистов из ГРУ не обещаю. Я высоко оцениваю пост-советсткую хакерскую сцену, но демонизировать русских хакеров не нужно, парочку мы взломали и это было истерически смешно.Скриншот сильно подрывает версию об «очень страшных русских хакерах из ГРУ». Вы видите на скриншоте непонятные буквы и цифры, а для специалиста там полыхает огромная огненная надпись «ЭТОТ КОД ПИСАЛ И ИСПОЛЬЗОВАЛ ДОЛБО@Б».


Международное разведывательное сообщество InformNapalm периодически представляет для широкой аудитории материалы, основанные на анализе данных, добытых хактивистами UCA.  Как только мы будем располагать полным спектром информации, после анализа исходных данных хактивистами, обязательно проинформируем общественность о деталях. Следите за обновлениями в разделе «хактивизм» [8].


(CC BY) Информация подготовлена специально для сайта InformNapalm.org [9], при перепечатке и использовании материала активная ссылка на наш проект обязательна.

Призываем читателей активно делиться нашими публикациями в социальных сетях. Вынесение материалов расследований в публичную плоскость способно переломить ход информационного и боевого противостояния.