22 декабря 2016 года американская компания CrowdStrike, занимающаяся информационной безопасностью опубликовала отчет о том, как русские хакеры из группировки Fancy Bear якобы взломали украинских артиллеристов и вычислили их местоположение с помощью троянца для Android (“Use of Fancy Bear Android malware in tracking of Ukrainian field artillery units“). Что произошло на самом деле? Что в этой истории правда, а что ложь рассказывает Шон Таунсенд (Украинский Киберальянс).
Кратко пересскажу суть отчета. В июне месяце CrowdStrike обнаружил троян для Android, который они связали с Fancy Bear, той же группой хакеров, которые атаковали американские выборы. Троян распространялся вместе с приложением для артиллерии, которое разработал Ярослав Шерстюк, и якобы распространение этого трояна привело к 80% потерям в артиллерийских частях, использующих гаубицы Д-30. Статистика потерь подтверждалась ссылкой на отчет IISS (Международный Институт Cтратегических исследований). В качестве источника распространения использовались форумы соответствующей тематики, ссылки на которые не приводятся.
Цифры потерь показались мне нереалистичными и я начал перепроверять источники. В начале выяснилось, что цифра в 80% приведена не в отчете “Military balance”, а в посте ватного блогера Colonel Cassad. Однако, даже аналитики противника не поддаются головокружению от успехов и отмечают, что разница в цифрах могла быть вызвана другими причинами:
В целом же, обе методики очевидно имеют свои достоинства и недостатки в плане учета потерь, …, так же как и то, что убыль техники из штата могла в ряде случаев не означать ее фактического уничтожения (например, часть техники из общей массы выбывшей с 2013 года составляет техника оставшаяся в Крыму и возвращенная на Украину лишь частично. Так же стоит учитывать, что часть техники могла числиться в штате лишь на бумаге …
Дело в том, что отчет The Military Balance (PDF) основан на открытых источниках. Я прочитал отчеты и выяснил, что цифры там даны весьма приблизительные. О потерях в отчете речь не идёт, а разницу в цифрах IISS объясняет тем, что техника могла быть передана из армии в части Национальной Гвардии. Международный Институт Стратегических Исследований в комментарии для Голоса Америки заявил, что данные отчетов использовались неверно и открестился от этой истории. Шестого января 2017 года наконец-то отреагировало Министерство Обороны Украины:
У зв’язку з появою в деяких ЗМІ повідомлень, де йдеться, що нібито “80% гаубиць Д-30 Збройних Сил України знищено завдяки зламу російськими хакерами програмного забезпечення українських артилеристів”, Командування Сухопутних військ ЗС України повідомляє, що зазначена інформація не відповідає дійсності.
После этого CrowdStrike обновили свой отчет и снизили цифры потерь до 15-20% Прежде, чем разбираться в технических подробностях я сразу хочу сказать, что это тоже ложь. Троян который нашли CrowdStrike не мог привести к боевым потерям просто потому, что он не работает. Не может работать потому, что в середине APK файла Попр_Д30.apk (MD5 6f7523d3019fa190499f327211e01fcb ) по ошибке затесался один лишний байт и приложение невозможно установить в принципе.
Могла ли подобная атака нанести реальный вред? Код X Agent примитивен и одинаково плохо подходит, как для шпионских задач, так и для “коммерческого” использования. Например, функциональность GPS в нём полностью отсутствует, местоположение определяется по базовым станциям (COARSE LOCATION). А пользоваться мобильной связью на передовой не благословляется. Я благодарен Джефри Карру, который сразу поставил возможности российского чудо-оружия под сомнение.Тем не менее, анализ кода показывает, что это действительно Fancy Bear (“APT 28”), и попытка атаковать нашу армию действительно была.
27 августа 2015 года. Русские хакеры “склеили” свой троян (на этот раз работающую версию, и естественно без ведома автора) с другой артиллеристской программой и попытались вкинуть её под видом обновления спир-фишингом. Пользователи сразу обратили внимание на предупреждение Гугла о том, что адрес отправителя может быть подделан и тут же выпустили уведомление о том, что “обновление” является вредоносным. Таким образом атака полностью провалилась. В первый раз из-за того, что троян был поврежден, во второй раз благодаря бдительности волонтеров и военных, которые серьезно относятся к информационной безопасности. Сейчас распространение ПО устроено иначе и повторение атаки невозможно.
Фишинговое письмо Fancy Bear
Я глубоко разачарован тем, что даже некоторые украинские “эксперты” повторяют ложную информацию, которая была многократно опровергнута практически сразу после появления отчета CrowdStrike. Подобные высказывания экспертов, как отечественных так и зарубежных приносят (в отличии от говнотроянов) вполне ощутимый вред. Преувеличения со стороны Краудстрайк подрывают доверие к другим исследованиям, посвященным русским хакерам и к боеспособности нашей армии. Так Никита Кныш (что особенно печально – советник Администрации Президента по кибербезопасности) заявил в “крутом и объемном” интервью для Гордон:
Приведу явный пример, который существенно повлиял на проведение АТО. Был артиллерийский софт, который тоже разрабатывала частная компания (по факту – группка энтузиастов). Приложение, грубо говоря, гуглилось в открытом доступе. Россияне смогли изменить файлик, и артиллеристам прогрузили другой софт. Соответственно, они получили данные о местоположении всей украинской артиллерии. Вот пример конкретной кибератаки, реализованной на фронте.
Это пример выдающейся некомпетентности и нагнетания истерии. Я так же не согласен с аттрибуцией атаки проведенной CrowdStrike, и считаю что за подобными атаками стоит не ГРУ, а ФСБ. На это так же указывает то, что IP командных центров X Agent / Android так же были замечены в “коммерческих атаках” на Bank of America и Paypal. Это говорит о том, что на определенном этапе использовались “черные хакеры”, и ФСБ уже не раз ловили на связи с криминальными элементами. Украинский Киберальянс так же провел ответную акцию против оккупационных войск, но это уже совсем другая история…