• Languages
Language (Čeština)
  • Українська (UA)
  • Русский (RU)
  • English (EN)
  • Deutsch (DE)
  • Français (FR)
  • Español (ES)
  • Беларуская (BY)
  • Български (BG)
  • Polska (PL)
  • Čeština (CZ)
  • Slovenský (SK)
  • Lietuvių (LT)
  • Latvijas (LV)
  • Nederlands (NL)
  • Português (PT)
  • Italiano (IT)
  • Svenska (SV)
  • Norsk (NO)
  • Dansk (DK)
  • ქართული (GE)
  • Română (RO)
  • Magyar (HU)
  • Ελληνικά (EL)
  • Deutsch (AT)
  • العربية (AR)
  • Türkçe (TR)
  • Azərbaycan (AZ)
  • Татарча (TAT)
  • 日本語 (JP)
  • 中文 (CN)
  • 한국어 (KR)

Logo

support informnapalm
Navigation
  • Úvod
  • Novinky
    • Donbass
    • Krym
    • Sýrie
    • Světový
    • Analytika
    • Různé
  • O nás
  • Contact

Nepovedený útok Fancy Bear na ukrajinské dělostřelectvo

on 2017-09-23 | 0 Comment | Analytika | Hacker | Novinky Print This Post Print This Post
  • cz
  • ua
  • blog

Dne 22. prosince 2016 americká společnost CrowdStrike zaměřující se na informační bezpečnost uveřejnila zprávu o tom, jak ruští hackeři ze skupiny Fancy Bear údajně nabourali ukrajinské dělostřelce a vypočítali jejich polohu za pomoci trojana pro Android (Use of Fancy Bear Android malware in tracking of Ukrainian field artillery units). Co se však stalo ve skutečnosti? Co je na tomto příběhu pravdy, a co je lež, vám poví Sean Townsend z Ukrajinské kybernetické aliance.

Nejdříve stručně zrekapituluji pointu oné zprávy. V červnu CrowdStrike objevila trojana pro Android, který spojila s Fancy Bear, což je stejná skupina hackerů, která zaútočila na americké volby. Trojan se distribuoval společně s aplikací pro dělostřelectvo, kterou vyvinul Jaroslav Šersťuk, i šíření tohoto trojana údajně mělo za následek 80% ztráty u dělostřeleckých jednotek používajících houfnice D-30. Statistiky ztrát byly odůvodněny odkazem na zprávu IISS (Mezinárodní institut strategických studií). Jako distribuční zdroj se uváděly fóra s příslušným tematickým zaměřením, na které však chyběly jakékoli odkazy.

Údaje o ztrátách mi přišly nerealistické, začal jsem tedy zdroje znovu ověřovat. Nejdříve ze všeho se ukázalo, že údaj 80 % neuvádí zpráva Military balance, ale příspěvek od „vatového“ blogera Colonele Cassada. Ani nepřátelským analytikům se však z úspěchu nezamotala hlava, připouštějí totiž, že rozdíl v údajích mohl mít i jiné příčiny:

Obecně vzato mají obě metodiky své klady a zápory po stránce evidence ztrát, …, stejně tak vyřazení techniky z evidence v řadě případů nemuselo znamenat její fyzickou likvidaci, třeba část techniky z celkového souhrnu odpisů od roku 2013 tvoří technika, která zůstala na Krymu a byla vracena Ukrajině jen částečně. Měli bychom také vzít v potaz možnost, že část techniky existovala jen na papíře…

Zpráva The Military balance (PDF) totiž vychází z veřejně dostupných zdrojů. Po přečtení zpráv jsem zjistil, že obsahují jen velmi přibližné údaje. Ztráty zpráva nezmiňuje, rozdíl v počtech pak IISS vysvětluje tím, že technika mohla být přeřazena od armády k jednotkám Národní gardy. Mezinárodní institut strategických studií ve vyjádření pro Hlas Ameriky uvedl, že údaje ze zpráv nebyly použity správně, a dal od celé věci ruce pryč. 6. ledna 2017 konečně zareagovalo Ministerstvo obrany Ukrajiny:

Ke zprávám ve smyslu, že 80 % houfnic D-30 Ozbrojených sil Ukrajiny bylo údajně zničeno kvůli tomu, že ruští hackeři nabourali software ukrajinských dělostřelců, které se objevily v některých médiích, velitelství Pozemních vojsk Ozbrojených sil Ukrajiny uvádí, že tyto informace nejsou pravdivé.

CrowdStrike následně svou zprávu zaktualizovala a snížila údaje o ztrátách na 15–20 %. Než se pustíme do technických podrobností, rád bych hned poznamenal, že je to také lež. Trojan, který našla CrowdStrike, nemohl způsobit válečné ztráty alespoň proto, že prostě nefunguje. Ani fungovat nemůže, protože se doprostřed APK souboru Попр_Д30.apk (MD5 6f7523d3019fa190499f327211e01fcb) omylem vloudil jeden bajt navíc, takže aplikaci v zásadě nainstalovat nelze.

Mohl snad podobný útok způsobit skutečné škody? Kód X Agent je primitivní a je stejně málo vhodný jak pro špionážní úkoly, tak pro „komerční“ využití. Třeba funkcionalita GPS v něm zcela chybí, poloha se zjišťuje ze základních stanic (COARSE LOCATION). A používání mobilních sítí na přední linii se netěší požehnání. Jsem vděčný Jeffreymu Carrovi, který hned zpochybnil možnosti ruské zázračné zbraně. Rozbor kódu nicméně ukazuje, že skutečně šlo o Fancy Bear (“APT 28”), k pokusu o útok na naši armádu tedy opravdu došlo.

27. srpna 2015 ruští hackeři „přilepili“ svého trojana (tentokrát funkční verzi, a to samozřejmě bez vědomí autora) k jinému dělostřeleckému programu a pokusili se ho propašovat spear phishingem pod záminkou aktualizace. Uživatelé si hned všimli varování od Google, že by adresa odesílatele mohla být falešná, a hned pustili do světa oznámení, že tato „aktualizace“ je škodlivá. Útok tedy utrpěl úplné fiasko. Poprvé kvůli tomu, že trojan byl poškozen, podruhé díky ostražitosti dobrovolníků a vojáků, kteří berou informační bezpečnost vážně. Dnes distribuce SW funguje jinak a znemožňuje případné další útoky.

Phishingová zpráva Fancy Bear

Jsem hluboce zklamaný, že dokonce i někteří ukrajinští „experti“ opakují nepravdivé informace, které byly mnohokrát vyvráceny prakticky hned po vzniku zprávy CrowdStrike. Podobná vyjádření expertů, jak domácích, tak zahraničních působí (na rozdíl od zfušovaných trojanů) docela znatelné škody. Zveličování ze strany CrowdStrike podlamuje důvěru k jiným studiím věnovaným ruským hackerům a k bojeschopnosti naší armády. Třeba Mykyta Knyš (který je bohužel poradcem Kanceláře prezidenta pro kybernetickou bezpečnost) v „ostrém a obsáhlém“ rozhovoru pro Gordon prohlásil:

Uvedu výslovný příklad, který výrazně ovlivnil průběh protiteroristické operace. Existoval dělostřelecký software, který také vyvinula soukromá společnost (de facto skupinka nadšenců). Tato aplikace se zhruba řečeno dala vygooglit ve veřejně přístupném sektoru. Rusové dokázali pozměnit souborek, dělostřelci si tedy nechali nainstalovat jiný software. Získali tak údaje o lokaci celého ukrajinského dělostřelectva. Toť ukázka konkrétního kybernetického útoku zrealizovaného na frontě.

Toť ukázka mimořádné neznalosti a vyvolávání hysterie. Nesouhlasím ani s přiřazením útoku, jak ho provedla CrowdStrike, a mám za to, že za podobnými útoky nestojí GRU, ale FSB. Ukazuje na to také skutečnost, že IP řídicích středisek X Agent / Android se zviditelnily také u „komerčních útoků“ proti Bank of America nebo Paypalu. To nasvědčuje, že v jisté fázi byli využiti „černí hackeři“, FSB byla přece už nejednou přistižena při spojení s kriminálními živly. Ukrajinská kybernetická aliance rovněž provedla protiútok na okupační jednotky, je to však už docela jiný příběh…


Překlad: Svatoslav Ščyhol

Tags: CrowdStrikedělostřelectvoFancy BearFSBhackeřiKnyš

Recent Posts

  • Švédský občan si vyslechl obvinění ze špionáže pro RF

    2021-02-23 - 0 Comment
  • Bojovníci za svobodu Litvy, Lesní bratři – Juozas Lukša-Daumantas

    2021-02-17 - 0 Comment
  • „Derkačova šestka“. Účastníci ruské zvláštní operace s Derkačovými pásky: Šarij, Portnov, Kolomojskyj aj.

    2021-02-15 - 0 Comment

Related Posts

  • Ukrajinská kontrarozvědka odhalila agenturní síť FSB RF, která chystala sabotáže a únosy

    2021-02-05 - 0 Comment
  • Infiltrace na Donbase: FSB RF vytváří databázi biometrických údajů ozbrojenců

    2020-09-15 - 0 Comment
  • Kontrarozvědka SBU zabránila sabotáži FSB RF v Luhanské oblasti (VIDEO)

    2020-07-08 - 0 Comment
Comments are closed.

Read the latest book “Donbas in Flames. Guide to the Conflict Zone” published by Prometheus Center. This guide will be useful to journalists, researchers, war experts, diplomats and general readers seeking information on the war in Donbas.

Download free PDF

InformNapalm is a purely volunteer endeavor which does not have any financial support from any government or donor. Our sole sponsors are its volunteers and readers. You can also support InformNapalm by subscribing to monthly mini-donations through Patreon.

Become a Patron!

Keep Update With InformNapalm

RSSSubscribe 14406 Followers
  • Popular
  • Recent
  • Comments
  • Aktuální hlášení skupiny INFORM NAPALM

    2014-11-04 - 1 Comment
  • Švédský občan si vyslechl obvinění ze špionáže pro RF

    2021-02-23 - 0 Comment
  • Andrej Zubov: je Krym náš?

    2014-10-04 - 0 Comment
  • Švédský občan si vyslechl obvinění ze špionáže pro RF

    2021-02-23 - 0 Comment
  • Bojovníci za svobodu Litvy, Lesní bratři – Juozas Lukša-Daumantas

    2021-02-17 - 0 Comment
  • „Derkačova šestka“. Účastníci ruské zvláštní operace s Derkačovými pásky: Šarij, Portnov, Kolomojskyj aj.

    2021-02-15 - 0 Comment
  • Aktuální hlášení skupiny INFORM NAPALM

    […] směry útoku,  představené námi ve zprávě z 1...
    2014-11-08 - Aktuální hlášení skupiny „INFORM NAPALM“ stavem na 6.11.2014 - BurkoNews.info (Čeština)BurkoNews.info (Čeština)

Attribution CC BY

88x31

This license lets others distribute, remix, tweak, and build upon your work, even commercially, as long as they credit you for the original creation. This is the most accommodating of licenses offered. Recommended for maximum dissemination and use of licensed materials.

February 2021
M T W T F S S
1234567
891011121314
15161718192021
22232425262728
« Jan    

Tags

Bělorusko DLR Donbas Doněck důkazy ruské agrese informační válka Krym Rusko ruská agrese ruští vojáci na Donbasu Sýrie válka v Sýrii

Flickr Gallery

  • Úvod
  • Privacy Policy
  • Contact
  • Languages
© 2014-2020. «InformNapalm». All Rights Reserved.