Dne 22. prosince 2016 americká společnost CrowdStrike zaměřující se na informační bezpečnost uveřejnila zprávu o tom, jak ruští hackeři ze skupiny Fancy Bear údajně nabourali ukrajinské dělostřelce a vypočítali jejich polohu za pomoci trojana pro Android (Use of Fancy Bear Android malware in tracking of Ukrainian field artillery units). Co se však stalo ve skutečnosti? Co je na tomto příběhu pravdy, a co je lež, vám poví Sean Townsend z Ukrajinské kybernetické aliance.

Nejdříve stručně zrekapituluji pointu oné zprávy. V červnu CrowdStrike objevila trojana pro Android, který spojila s Fancy Bear, což je stejná skupina hackerů, která zaútočila na americké volby. Trojan se distribuoval společně s aplikací pro dělostřelectvo, kterou vyvinul Jaroslav Šersťuk, i šíření tohoto trojana údajně mělo za následek 80% ztráty u dělostřeleckých jednotek používajících houfnice D-30. Statistiky ztrát byly odůvodněny odkazem na zprávu IISS (Mezinárodní institut strategických studií). Jako distribuční zdroj se uváděly fóra s příslušným tematickým zaměřením, na které však chyběly jakékoli odkazy.

Údaje o ztrátách mi přišly nerealistické, začal jsem tedy zdroje znovu ověřovat. Nejdříve ze všeho se ukázalo, že údaj 80 % neuvádí zpráva Military balance, ale příspěvek od „vatového“ blogera Colonele Cassada. Ani nepřátelským analytikům se však z úspěchu nezamotala hlava, připouštějí totiž, že rozdíl v údajích mohl mít i jiné příčiny:

Obecně vzato mají obě metodiky své klady a zápory po stránce evidence ztrát, …, stejně tak vyřazení techniky z evidence v řadě případů nemuselo znamenat její fyzickou likvidaci, třeba část techniky z celkového souhrnu odpisů od roku 2013 tvoří technika, která zůstala na Krymu a byla vracena Ukrajině jen částečně. Měli bychom také vzít v potaz možnost, že část techniky existovala jen na papíře…

Zpráva The Military balance (PDF) totiž vychází z veřejně dostupných zdrojů. Po přečtení zpráv jsem zjistil, že obsahují jen velmi přibližné údaje. Ztráty zpráva nezmiňuje, rozdíl v počtech pak IISS vysvětluje tím, že technika mohla být přeřazena od armády k jednotkám Národní gardy. Mezinárodní institut strategických studií ve vyjádření pro Hlas Ameriky uvedl, že údaje ze zpráv nebyly použity správně, a dal od celé věci ruce pryč. 6. ledna 2017 konečně zareagovalo Ministerstvo obrany Ukrajiny:

Ke zprávám ve smyslu, že 80 % houfnic D-30 Ozbrojených sil Ukrajiny bylo údajně zničeno kvůli tomu, že ruští hackeři nabourali software ukrajinských dělostřelců, které se objevily v některých médiích, velitelství Pozemních vojsk Ozbrojených sil Ukrajiny uvádí, že tyto informace nejsou pravdivé.

CrowdStrike následně svou zprávu zaktualizovala a snížila údaje o ztrátách na 15–20 %. Než se pustíme do technických podrobností, rád bych hned poznamenal, že je to také lež. Trojan, který našla CrowdStrike, nemohl způsobit válečné ztráty alespoň proto, že prostě nefunguje. Ani fungovat nemůže, protože se doprostřed APK souboru Попр_Д30.apk (MD5 6f7523d3019fa190499f327211e01fcb) omylem vloudil jeden bajt navíc, takže aplikaci v zásadě nainstalovat nelze.

Mohl snad podobný útok způsobit skutečné škody? Kód X Agent je primitivní a je stejně málo vhodný jak pro špionážní úkoly, tak pro „komerční“ využití. Třeba funkcionalita GPS v něm zcela chybí, poloha se zjišťuje ze základních stanic (COARSE LOCATION). A používání mobilních sítí na přední linii se netěší požehnání. Jsem vděčný Jeffreymu Carrovi, který hned zpochybnil možnosti ruské zázračné zbraně. Rozbor kódu nicméně ukazuje, že skutečně šlo o Fancy Bear (“APT 28”), k pokusu o útok na naši armádu tedy opravdu došlo.

27. srpna 2015 ruští hackeři „přilepili“ svého trojana (tentokrát funkční verzi, a to samozřejmě bez vědomí autora) k jinému dělostřeleckému programu a pokusili se ho propašovat spear phishingem pod záminkou aktualizace. Uživatelé si hned všimli varování od Google, že by adresa odesílatele mohla být falešná, a hned pustili do světa oznámení, že tato „aktualizace“ je škodlivá. Útok tedy utrpěl úplné fiasko. Poprvé kvůli tomu, že trojan byl poškozen, podruhé díky ostražitosti dobrovolníků a vojáků, kteří berou informační bezpečnost vážně. Dnes distribuce SW funguje jinak a znemožňuje případné další útoky.

Phishingová zpráva Fancy Bear

Jsem hluboce zklamaný, že dokonce i někteří ukrajinští „experti“ opakují nepravdivé informace, které byly mnohokrát vyvráceny prakticky hned po vzniku zprávy CrowdStrike. Podobná vyjádření expertů, jak domácích, tak zahraničních působí (na rozdíl od zfušovaných trojanů) docela znatelné škody. Zveličování ze strany CrowdStrike podlamuje důvěru k jiným studiím věnovaným ruským hackerům a k bojeschopnosti naší armády. Třeba Mykyta Knyš (který je bohužel poradcem Kanceláře prezidenta pro kybernetickou bezpečnost) v „ostrém a obsáhlém“ rozhovoru pro Gordon prohlásil:

Uvedu výslovný příklad, který výrazně ovlivnil průběh protiteroristické operace. Existoval dělostřelecký software, který také vyvinula soukromá společnost (de facto skupinka nadšenců). Tato aplikace se zhruba řečeno dala vygooglit ve veřejně přístupném sektoru. Rusové dokázali pozměnit souborek, dělostřelci si tedy nechali nainstalovat jiný software. Získali tak údaje o lokaci celého ukrajinského dělostřelectva. Toť ukázka konkrétního kybernetického útoku zrealizovaného na frontě.

Toť ukázka mimořádné neznalosti a vyvolávání hysterie. Nesouhlasím ani s přiřazením útoku, jak ho provedla CrowdStrike, a mám za to, že za podobnými útoky nestojí GRU, ale FSB. Ukazuje na to také skutečnost, že IP řídicích středisek X Agent / Android se zviditelnily také u „komerčních útoků“ proti Bank of America nebo Paypalu. To nasvědčuje, že v jisté fázi byli využiti „černí hackeři“, FSB byla přece už nejednou přistižena při spojení s kriminálními živly. Ukrajinská kybernetická aliance rovněž provedla protiútok na okupační jednotky, je to však už docela jiný příběh…

Překlad: Svatoslav Ščyhol