- InformNapalm.org (Čeština) - https://informnapalm.org/cz -

Zpráva, že hackeři z FancyBear nabourali ukrajinský software pro dělostřelectvo, je psychologická operace Moskvy

Koncem prosince 2016 dobrovolníci z mezinárodní zpravodajské komunity InformNapalm už vyslovili domněnku [1], že závěry uvedené ve zprávě analytické skupiny CrowdStrike o operaci ruských hackerů z FancyBear nemusí být objektivní ani pravdivé. Počet skeptiků roste. Do fact checkingu se zapojili i hacktivisté z Ukrajinské kybernetické aliance (UCA [2]) a nové podrobnosti stále více nasvědčují tomu, že tato zpráva a následný informační humbuk s „nabouráním ukrajinského softwaru pro dělostřelectvo“ je naplánovanou psychologickou operací Moskvy.

Historka s pravděpodobným nabouráním ukrajinského softwaru Popr-D30 pro dělostřelce, které vedlo ke ztrátám ukrajinské armády na vojácích a vojenské technice, způsobila v prosinci 2016 velký poprask ve světových médiích.

Informace uvedené ve zprávě americké společnosti CrowdStrike [3] převzal velký počet respektovaných světových médií: Washington Post, Forbes, The Guardian, Bloomberg a mnoho dalších.

Zpráva tvrdí, že proruská hackerská skupina FancyBear údajně již v roce 2014 nakazila ukrajinský software pro dělostřelce Popr-D30 backdoor virem (X-agent). Uvádí také, že přístup ruských hackerů k ukrajinskému dělostřeleckému softwaru jim pomáhal získávat souřadnice ukrajinských dělostřeleckých baterií a likvidovat je protibateriovou palbou ruského dělostřelectva. Podle zprávy v letech 2013 (kdy mimochodem žádné boje neprobíhaly) až 2016 přišlo ukrajinské dělostřelectvo o cca 80 % houfnic D-30, což je největší procento ztrát ze všech druhů vojenské techniky.

Pozoruhodné je, že údaje o ztrátách převzala společnost CrowdStrike z článku na Livejournalu od simferopolského blogera a známého proruského propagandisty Colonele Cassada, jemuž „jeden jeho čtenář zaslal srovnávací analýzu zpráv od Military Balance, které vydal International Institute for Strategic Studies“. Z pouhého porovnání zpráv o počtu zbraní v letech 2013 a 2016 pak Colonel Cassad vyvozuje závěr, že ukrajinská armáda ztratila až 80 % houfnic D-30. Anglický překlad jeho článku je mimochodem uveden mezi prameny zprávy od CrowdStrike.

Jevhen Maksymenko, programátor a vývojář ukrajinského systému řízení boje Combat Vision, zpochybňuje informace ze zprávy CrowdStrike o velkém počtu infikovaných přístrojů, přestože neodmítá možnost infikování apk souboru a jeho umístění na cizích serverech.

Zástupci ukrajinského hackerského konsorcia UCA (Ukrainian Cyber Alliance) tvrdí, že disponují apk soubory nakaženými „ruským“ virem X-agent. Dodávají přitom, že infikovat lze jakýkoli binární soubor.

Zástupce UCA a hackerské skupiny RuH8 Sean Townsend dále tvrdí, že pachatelé přece jen podnikli spearphishingový útok, ten byl však rychle identifikován, k instalacím infikované aplikace na armádních přístrojích tak „prakticky nedošlo“. Uvádí také, že X-agent „je velmi primitivní software, takže i kdyby byla infikovaná aplikace nainstalována, takto získaná data by se jen stěží dala použít ke spáchání nějaké škody“.

Spearphishingem IT experti nazývají stav, kdy kybernetičtí zločinci získají přístup k internímu seznamu e-mailových adres a následně rozesílají informace/soubory tak, že se tváří jako odeslané z některé adresy v interním seznamu.

Zástupce UCA uvádí, že autor softwaru, programátor a dělostřelec z 55. dělostřelecké brigády Ozbrojených sil Ukrajiny Jaroslav Šersťuk za vzniklou situaci vůbec nemůže. Šersťukův software nabourán nebyl a závěry CrowdStrike (80 % zničených houfnic D-30, počet nakažených přístrojů a možnost sčítat data z přístrojů nacházejících se v oblasti bojů) byly vycucány z prstu. Ze strany CrowdStrike tak šlo o „velmi nezodpovědné a neodborné prohlášení“.

Ukrajinští hackeři dále tvrdí, že servery FancyBear před časem používal jiný software k rozesílání spamu a útokům na Bank of America. To umožňuje připustit, že v pozadí FancyBear a příběhu s „infikovanými .apk“ nestojí ruská GRU, jak tvrdí zpráva CrowdStrike, ale mnohem spíše FSB RF. Sean Townsend tvrdí, že to celkem zapadá do stylu FSB: najímat nebo zastrašovat kybernetické zločince, kteří se zviditelnili už předtím (útoky na Bank of America), k plnění státních úkolů. Specialisté z GRU pracují mnohem pečlivěji a lépe zametají stopy, tvrdí UCA.

Zástupci kybernetického bezpečnostního projektu MySpyBot pro změnu CrowdStrike požádali, aby jim poskytla k analýze infikované apk soubory [4] od FancyBear, během dvou týdnů však žádnou odpověď neobdrželi.

Ve zprávě CrowdStrike tvrdí, že na řadě fór (aniž by jmenovala některé konkrétní) se začal Šersťukův apk soubor infikovaný X-Agentem šířit „koncem roku 2014“. Naprostá většina ztrát ukrajinského dělostřelectva (mj. houfnic D-30) připadá na červen až září 2014, v době bojů v sektoru D (okolí Zelenopillja, Krasnodonu, Starobeševe, Amvrosijivky a Ilovajsku) a v době intenzivních letních bojů ve směru Luhansk. Potvrzují to i informace z veřejných zdrojů včetně těch zjevně proruských.

V této situaci působí podivně role CrowdStrike, vážené americké společnosti, která patří mezi průkopníky v oblasti informační bezpečnosti – tím, že zpracovala zprávu se zjevně nepřesnými, subjektivními a kompromitujícími údaji, které se téměř okamžitě staly předmětem četných publikací ve světových a domácích médiích.

Můžeme tak mít za to, že popsaný příběh s nakažením není nic víc než úspěšnou informačně psychologickou operací ruské FSB se zapojením respektovaných západních zdrojů a novinářů. Máme naději, že se tito nechali zneužít tzv. naslepo, aniž by se ke spolupráci s ruskými tajnými službami uchýlili vědomě, jakákoli verze však vyžaduje důkladné prověření ze strany západních bezpečnostních struktur.


Autor: Roman Sinicyn [5].

Informace zpracovány speciálně pro web InformNapalm.org [6]. V případě převzetí nebo použití tohoto příspěvku je nutno uvést funkční odkaz na autora a článek na webu.
(Creative Commons — Attribution 4.0 International — CC BY 4.0 [7])


Chcete-li být pohotově informováni o nových vyšetřováních od InformNapalmu přeložených do češtiny, staňte se fanouškem stránky InformNapalm Česko [8] na Facebooku.


Vyzýváme čtenáře, aby naše publikace aktivně sdíleli na sociálních sítích. Zveřejnění vyšetřovacích podkladů dokáže zvrátit průběh informačního a válečného střetu.


Překlad: Svatoslav Ščyhol [9]