Koncem prosince 2016 dobrovolníci z mezinárodní zpravodajské komunity InformNapalm už vyslovili domněnku, že závěry uvedené ve zprávě analytické skupiny CrowdStrike o operaci ruských hackerů z FancyBear nemusí být objektivní ani pravdivé. Počet skeptiků roste. Do fact checkingu se zapojili i hacktivisté z Ukrajinské kybernetické aliance (UCA) a nové podrobnosti stále více nasvědčují tomu, že tato zpráva a následný informační humbuk s „nabouráním ukrajinského softwaru pro dělostřelectvo“ je naplánovanou psychologickou operací Moskvy.
Historka s pravděpodobným nabouráním ukrajinského softwaru Popr-D30 pro dělostřelce, které vedlo ke ztrátám ukrajinské armády na vojácích a vojenské technice, způsobila v prosinci 2016 velký poprask ve světových médiích.
Informace uvedené ve zprávě americké společnosti CrowdStrike převzal velký počet respektovaných světových médií: Washington Post, Forbes, The Guardian, Bloomberg a mnoho dalších.
Zpráva tvrdí, že proruská hackerská skupina FancyBear údajně již v roce 2014 nakazila ukrajinský software pro dělostřelce Popr-D30 backdoor virem (X-agent). Uvádí také, že přístup ruských hackerů k ukrajinskému dělostřeleckému softwaru jim pomáhal získávat souřadnice ukrajinských dělostřeleckých baterií a likvidovat je protibateriovou palbou ruského dělostřelectva. Podle zprávy v letech 2013 (kdy mimochodem žádné boje neprobíhaly) až 2016 přišlo ukrajinské dělostřelectvo o cca 80 % houfnic D-30, což je největší procento ztrát ze všech druhů vojenské techniky.
Pozoruhodné je, že údaje o ztrátách převzala společnost CrowdStrike z článku na Livejournalu od simferopolského blogera a známého proruského propagandisty Colonele Cassada, jemuž „jeden jeho čtenář zaslal srovnávací analýzu zpráv od Military Balance, které vydal International Institute for Strategic Studies“. Z pouhého porovnání zpráv o počtu zbraní v letech 2013 a 2016 pak Colonel Cassad vyvozuje závěr, že ukrajinská armáda ztratila až 80 % houfnic D-30. Anglický překlad jeho článku je mimochodem uveden mezi prameny zprávy od CrowdStrike.
Jevhen Maksymenko, programátor a vývojář ukrajinského systému řízení boje Combat Vision, zpochybňuje informace ze zprávy CrowdStrike o velkém počtu infikovaných přístrojů, přestože neodmítá možnost infikování apk souboru a jeho umístění na cizích serverech.
Zástupci ukrajinského hackerského konsorcia UCA (Ukrainian Cyber Alliance) tvrdí, že disponují apk soubory nakaženými „ruským“ virem X-agent. Dodávají přitom, že infikovat lze jakýkoli binární soubor.
Zástupce UCA a hackerské skupiny RuH8 Sean Townsend dále tvrdí, že pachatelé přece jen podnikli spearphishingový útok, ten byl však rychle identifikován, k instalacím infikované aplikace na armádních přístrojích tak „prakticky nedošlo“. Uvádí také, že X-agent „je velmi primitivní software, takže i kdyby byla infikovaná aplikace nainstalována, takto získaná data by se jen stěží dala použít ke spáchání nějaké škody“.
Spearphishingem IT experti nazývají stav, kdy kybernetičtí zločinci získají přístup k internímu seznamu e-mailových adres a následně rozesílají informace/soubory tak, že se tváří jako odeslané z některé adresy v interním seznamu.
Zástupce UCA uvádí, že autor softwaru, programátor a dělostřelec z 55. dělostřelecké brigády Ozbrojených sil Ukrajiny Jaroslav Šersťuk za vzniklou situaci vůbec nemůže. Šersťukův software nabourán nebyl a závěry CrowdStrike (80 % zničených houfnic D-30, počet nakažených přístrojů a možnost sčítat data z přístrojů nacházejících se v oblasti bojů) byly vycucány z prstu. Ze strany CrowdStrike tak šlo o „velmi nezodpovědné a neodborné prohlášení“.
Ukrajinští hackeři dále tvrdí, že servery FancyBear před časem používal jiný software k rozesílání spamu a útokům na Bank of America. To umožňuje připustit, že v pozadí FancyBear a příběhu s „infikovanými .apk“ nestojí ruská GRU, jak tvrdí zpráva CrowdStrike, ale mnohem spíše FSB RF. Sean Townsend tvrdí, že to celkem zapadá do stylu FSB: najímat nebo zastrašovat kybernetické zločince, kteří se zviditelnili už předtím (útoky na Bank of America), k plnění státních úkolů. Specialisté z GRU pracují mnohem pečlivěji a lépe zametají stopy, tvrdí UCA.
Zástupci kybernetického bezpečnostního projektu MySpyBot pro změnu CrowdStrike požádali, aby jim poskytla k analýze infikované apk soubory od FancyBear, během dvou týdnů však žádnou odpověď neobdrželi.
Ve zprávě CrowdStrike tvrdí, že na řadě fór (aniž by jmenovala některé konkrétní) se začal Šersťukův apk soubor infikovaný X-Agentem šířit „koncem roku 2014“. Naprostá většina ztrát ukrajinského dělostřelectva (mj. houfnic D-30) připadá na červen až září 2014, v době bojů v sektoru D (okolí Zelenopillja, Krasnodonu, Starobeševe, Amvrosijivky a Ilovajsku) a v době intenzivních letních bojů ve směru Luhansk. Potvrzují to i informace z veřejných zdrojů včetně těch zjevně proruských.
V této situaci působí podivně role CrowdStrike, vážené americké společnosti, která patří mezi průkopníky v oblasti informační bezpečnosti – tím, že zpracovala zprávu se zjevně nepřesnými, subjektivními a kompromitujícími údaji, které se téměř okamžitě staly předmětem četných publikací ve světových a domácích médiích.
Můžeme tak mít za to, že popsaný příběh s nakažením není nic víc než úspěšnou informačně psychologickou operací ruské FSB se zapojením respektovaných západních zdrojů a novinářů. Máme naději, že se tito nechali zneužít tzv. naslepo, aniž by se ke spolupráci s ruskými tajnými službami uchýlili vědomě, jakákoli verze však vyžaduje důkladné prověření ze strany západních bezpečnostních struktur.
Autor: Roman Sinicyn.
Informace zpracovány speciálně pro web InformNapalm.org. V případě převzetí nebo použití tohoto příspěvku je nutno uvést funkční odkaz na autora a článek na webu.
(Creative Commons — Attribution 4.0 International — CC BY 4.0)
Chcete-li být pohotově informováni o nových vyšetřováních od InformNapalmu přeložených do češtiny, staňte se fanouškem stránky InformNapalm Česko na Facebooku.
Vyzýváme čtenáře, aby naše publikace aktivně sdíleli na sociálních sítích. Zveřejnění vyšetřovacích podkladů dokáže zvrátit průběh informačního a válečného střetu.
Překlad: Svatoslav Ščyhol
Aktuální hlášení skupiny INFORM NAPALM