Závěry zprávy od CrowdStrike ohledně operace ruských hackerů Fancy Bear jsou možná chybné. Počet skeptiků roste. Do fact checkingu se zapojili i aktivisté z ukrajinské Kybernetické aliance (UCA).
Dne 22. prosince zveřejnila analytická skupina CrowdStrike zprávu s prohlášením, že ruské hackerské uskupení Fancy Bear má údajně prsty v nabourání mobilní aplikace pro ukrajinské dělostřelce.
Této senzace se chytilo mnoho médií, jen málokdo si však dal práci provést fact checking nabízených závěrů zprávy a zabývat se jimi hlouběji.
Příspěvek ruské služby BBC ze dne 23. prosince se již věnoval posudkům řady odborníků, kteří se k prezentovaným ve zprávě výsledkům a závěrům vyjádřili skepticky.
Jak uvádí CrowdStrike, balík se záložkou pro vzdálený přístup X-Agent se šířil přes ukrajinská armádní fóra a následně mohl být použit k lokalizaci polohy dělostřelců.
Systém pro distribuci aplikace vyvinuté důstojníkem z 55. samostatné dělostřelecké brigády Ozbrojených sil Ukrajiny Jaroslavem Šersťukem však měl vícestupňovou ochranu před tím, že by se dostal do nepovolaných rukou. Tuto aplikaci poskytoval cílovým uživatelům sám vývojář osobně a pravděpodobnost, že by ji dělostřelci stahovali z jiných neoficiálních zdrojů, je tak velmi nízká.
Komentátor Bloomberg View Leonid Bershidsky také dal najevo řadu skeptických hodnocení:
„Pochybuji, že by některý z ukrajinských vojáků stahoval s fóra software pro zaměřování dělostřeleckých zbraní. Tento software obvykle získávají přímo od vývojářů jako je Šersťuk, které osobně znají. Proto bych byl stěží schopen uvěřit, že by tato infikovaná aplikace, která byla dohledána někde na internetu a kterou ukrajinští vojáci patrně nikdy nepoužívali, mohla sloužit jako důkaz spojení mezi GRU a APT28“.
Vedle nepřímých hodnocení odborníků, kteří zaujali k závěrům CrowdStrike kritický postoj, se do zkoumání možného úniku dat zapojili i ukrajinští hacktivisté z UCA.
Sean Townsend, hacktivista ze skupiny RUH8 (součásti UCA, které se dostalo celosvětového věhlasu po nabourání kanceláře asistenta prezidenta RF Vladislava Surkova), rovněž okomentoval překvapivou zprávu od CrowdStrike:
„Přečetl jsem si zprávu společnosti CrowdStrike s titulkem „Fancy Bear sleduje ukrajinské dělostřelectvo“. Jako hacker nemám bezpečnostní průmysl dvakrát v lásce, bezpečáci obchodují se strachem, CrowdStrike však nedodržuje ani ty standardy, které ti ostatní respektují. Zpráva začíná okázalým prohlášením, že ztráty D-30 na straně Ozbrojených sil Ukrajiny dosahují 80 %. Údaj 80 % nezveřejnil Institut strategických studií, ale Colonelcassad (ruský propagandistický bloger – pozn. red.), přitom dokonce i ten, když uvádí údaj 80 %, nevysvětluje ho ztrátami, ale přechodem techniky od Ozbrojených sil Ukrajiny k nezákonným formacím (zpráva IISS uvádí v této sekci „velmi přesné“ informace „some D-30“). Zpráva dále tvrdí (bez proofů), že útok byl proveden za pomoci X-Agenta pro Android. Mám několik otázek: kde jsou hashe, kde jsou adresy řídicích středisek, kde je odhad počtu infikovaných telefonů? A jedná se vůbec o X-Agenta? Chápu, že se aktuálně plánuje jednání v Kongresu o „ruských hackerech“ a CrowdStrike chce ukázat, že je užitečný, já však pokládám toto chování za nezodpovědné.
(Foto: screenshot s kódem škodlivého softwaru)
Už máme k dispozici ukázky škodlivého SW, který CrowdStrike spojuje s Fancy Bear, závěry uvedeme později. Žádné zombie komunisty od GRU neslibuji. O postsovětské hackerské scéně mám sice vysoké mínění, démonizovat ruské hackery je však zbytečné, pár jsme jich nabourali a bylo to hystericky k smíchu. Screenshot zásadně podkopává verzi o „hrůzostrašných ruských hackerech od GRU“. Vy vidíte na screenshotu nesrozumitelná písmena a číslice, pro odborníka z něj však září obrovský nápis: „TENTO KÓD NAPSAL A APLIKOVAL DEBIL“.
Mezinárodní zpravodajská komunita InformNapalm pravidelně nabízí široké veřejnosti příspěvky vycházející z vyhodnocení dat, která získali aktivisté z UCA. Jakmile budeme disponovat kompletním spektrem informací, po analýze zdrojových dat hacktivisty budeme určitě informovat veřejnost, a to s veškerými podrobnostmi. Sledujte aktualizace v sekci Hacktivismus.
(CC BY) Informace zpracovány speciálně pro web InformNapalm.org, v případě převzetí nebo použití tohoto příspěvku je nutno uvést funkční odkaz na náš projekt.
Vyzýváme čtenáře, aby naše publikace aktivně sdíleli na sociálních sítích. Zveřejnění vyšetřovacích podkladů dokáže zvrátit průběh informačního a válečného střetu.
Překlad: Svatoslav Ščyhol
Aktuální hlášení skupiny INFORM NAPALM