No gritéis “¡oso!”: los activistas ucranianos comenzaron a verificar los datos del informe CrowdStrike
Las conclusiones del informe CrowdStrike sobre la “Operación Fancy Bear” de los hackers rusos pueden ser falsas. El número de escépticos va en aumento. Los hacktivistas de la Alianza Cibernética de Ucrania (UCA) se sumaron a la verificación de datos.
El 22 de diciembre, el grupo de análisis CrowdStrike publicó un informe en el que afirmaba que el grupo de hackers rusos Fancy Bear estaba implicado en el hackeo de una aplicación móvil para artilleros ucranianos.
Esta noticia sensacionalista fue recogida por muchos medios de comunicación, pero no muchos decidieron realizar una comprobación de los hechos presentados y profundizar en los resultados del informe.
En un artículo del servicio ruso de la BBC del 23 de diciembre ya se había examinado una serie de evaluaciones de especialistas que se mostraron escépticos respecto a los resultados y conclusiones expuestos en el informe.
Como señala CrowdStrike, el paquete con la puerta trasera para acceso remoto X-Agent se distribuyó en foros militares ucranianos y luego podría haber sido utilizado para localizar las posiciones de los artilleros.
Sin embargo, el sistema de distribución de la aplicación, que fue desarrollada por el oficial de la 55.ª Brigada de Artillería Independiente de las Fuerzas Armadas de Ucrania, Yaroslav Sherstyuk, tenía varias capas de protección para evitar que cayera en manos equivocadas. La aplicación era proporcionada personalmente por el desarrollador para uso específico, y la probabilidad de que los artilleros la descargaran de otras fuentes no oficiales era extremadamente baja.
El columnista de Bloomberg View, Leonid Bershidsky, también expresó una serie de evaluaciones escépticas:
“Dudo que alguno de los militares ucranianos descargue de un foro un software para la puntería de artillería. Normalmente, obtienen ese software directamente de desarrolladores conocidos como Sherstyuk. Por lo tanto, me cuesta creer que esta aplicación infectada, que se encontró en algún lugar de internet y probablemente nunca fue utilizada por los militares ucranianos, sirva como prueba de la conexión del GRU con APT28”.
Además de las evaluaciones indirectas de los especialistas que criticaron las conclusiones de CrowdStrike, los hacktivistas ucranianos de UCA también se involucraron en el estudio de la posible filtración de datos.
Sean Townsend, uno de los hacktivistas del grupo RUH8 (parte de UCA, que se hizo mundialmente famoso después de hackear la oficina del asistente del presidente ruso Vladislav Surkov), también comentó el sensacional informe de CrowdStrike:
“Leí el informe de la empresa CrowdStrike titulado ‘Fancy Bear vigila a la artillería ucraniana’. Como hacker, no me gusta mucho la industria de la seguridad; los expertos en seguridad comercian con el miedo, pero CrowdStrike ni siquiera cumple con esos miserables estándares que siguen los demás. El informe comienza con una declaración rimbombante de que las pérdidas de los D-30 de las Fuerzas Armadas de Ucrania alcanzan el 80 %. La cifra del 80 % no la menciona el Instituto de Estudios Estratégicos, sino colonelcassad (un bloguero propagandista ruso – nota del editor), pero incluso él, al lanzar el 80 %’, explica la cifra no por las pérdidas, sino por la transferencia de equipos de las Fuerzas Armadas de Ucrania a la Guardia Nacional (en el informe del IISS en esta sección se proporcionan datos ‘muy precisos’ como ‘algunos D-30’). Luego, en el informe se afirma (sin pruebas) que el ataque se llevó a cabo utilizando ‘X-Agent para Android’. Tengo varias preguntas: ¿dónde están los hashes, dónde están las direcciones de los centros de control, dónde está la evaluación del número de teléfonos infectados? ¿Es esto siquiera X-Agent? Entiendo que ahora se están planeando audiencias en el Congreso sobre los ‘hackers rusos’ y CrowdStrike quiere demostrar su utilidad, sin embargo, considero que tal comportamiento es irresponsable.”
(Foto: captura de pantalla del código malicioso)
Ya tenemos muestras de software malicioso que CrowdStrike asocia con Fancy Bear, las conclusiones llegarán más adelante. No prometo zombis comunistas del GRU. Aprecio la escena de piratería postsoviética, pero no hay necesidad de demonizar a los piratas informáticos rusos, pirateamos a un par y fue tremendamente divertido. La captura de pantalla desmiente en gran medida la versión sobre “hackers rusos muy aterradores del GRU”. En la captura de pantalla se ven letras y números incomprensibles y, para el especialista, brilla una enorme inscripción ardiente: “ESTE CÓDIGO ESCRITO Y UTILIZADO POR UN TONTO”.
La comunidad de inteligencia internacional InformNapalm presenta periódicamente a una amplia audiencia materiales basados en el análisis de datos obtenidos por hacktivistas de la UCA. Tan pronto como tengamos una gama completa de información, después de analizar los datos iniciales por parte de los hacktivistas, definitivamente informaremos al público sobre los detalles. Estén atentos a las actualizaciones en la sección “hacktivismo”.
(CC BY) La información fue preparada específicamente para el sitio web InformNapalm.org; al reimprimir y utilizar el material, se requiere un enlace activo a nuestro proyecto.
Animamos a los lectores a compartir activamente nuestras publicaciones en las redes sociales. Hacer públicos los materiales de investigación puede cambiar el rumbo de la información y combatir la confrontación.