Już pod koniec grudnia 2016 roku aktywiści międzynarodowego zespołu InformNapalm zaczęli powątpiewać w obiektywność i prawdziwość wniosków analitycznej grupy CrowdStrike dot. operacji rosyjskich hakerów FancyBear. Ilość sceptyków wątpiących w wyniki pracy CrowdStrike wzrasta. W sprawdzanie waktów włączyli się haktywiści z Ukraińskiego CyberAlliance (UCA), a nowe, pozyskane informacje w coraz większym stopniu dowodzą, że raport oraz potężny rozgłos wywołany rozpowszechnieniem komunikatu o „złamaniu ukraińskiego oprogramowania artyleryjskiego” jest zaplanowaną, psychologiczną operacją Moskwy.

Wiadomość o prawdopodobnym złamaniu ukraińskiej aplikacji dla artylerzystów „Popr-D30”, oraz powiązane z tym straty Sił Zbrojnych Ukrainy (żołnierze oraz sprzęt) wywołała spory szum w światowych mediach w grudniu 2016 roku.

Dane przedstawione w raporcie amerykańskiej kompanii CrowdStrike, zostały spopularyzowane przez powszechnie uważane za wiarygodne media tj: Washington Post, Forbes, The Guardian, Bloomberg.

W raporcie stwierdzono m.in., że prorosyjska grupa hakerów FancyBear, rzekomo już w 2014 roku zaraziła ukraińską aplikację artyleryjską „Popr-D30” wirusem, który wytworzył tzw. „backdoor” (X-agent). Stwierdzono w nim również, że dostęp do ukraińskiego programu umożliwiał rosyjskim hakerom otrzymywanie koordynat ukraińskich baterii artyleryjskich. Wiedza ta miała być wykorzystywana przez stronę rosyjską do niszczenia ukraińskich pozycji ogniem artylerii rosyjskiej. Zgodnie z raportem, od 2013 (w 2013 roku nie były jeszcze prowadzone działania wojenne) do 2016 roku ukraińska armia straciła około 80% haubic D-30, co miałoby stanowić największą część strat w sprzęcie poniesioną przez ukraińską stronę.

Warto zauważyć, że informacje o ukraińskich stratach kompania CrowdStrike uzyskała z noty zamieszczonej przez symferopolskiego blogera, a zarazem znanego prorosyjskiego propagandystę Colonela Cassada w Livejournal, któremu to „jeden z jego czytelników przysłał analizę porównawczą raportów Military Balance, wydanych przez International Institute for Strategic Studies”. Wyłącznie dzięki zestawieniu owych raportów (dot. ilości broni posiadanych przez ukraińską armię z lat 2013 i 2016) Colonel Cassad doszedł do wniosku, że strona ukraińska straciła 80% haubic D-30. Anglojęzyczne tłumaczenie tekstu Colonela Cassada jest natomiast jednym ze źródeł na które powołuje się CrowdStrike.

Jewhen Maksymenko, programista oraz producent ukraińskiego systemu zarządzania polem walki Combat Vision, powątpiewa w autentyczność przedstawionej w raporcie CrowdStrike informacji o wielkiej ilości zainfekowanych urządzeń. Nie odrzuca on jednak możliwości zainfekowania pliku APK i rozmieszczenia go w innych zasobach.

Przedstawiciele UCA (Ukrainian CyberAlliance) – ukraińskiego konsorcjum hakerskiego, stwierdzają, że są w posiadaniu plików APK zainfekowanych „rosyjskim” wirusem X-agent. Dodają oni przy tym, że wirusem tym można zarazić jakikolwiek plik binarny.

Ponadto przedstawiciel UCA oraz hakerskiej grupy RuH8 Sean Townsend stwierdza, że napastnicy dokonali ataku „spear phishingowego”, który szybko został zidentyfikowany dzięki czemu zainfekowane dodatki „praktycznie nie zostały” zainstalowane na wojskowych urządzeniach. Podkreśla się ponadto, że X-agent jest „wyjątkowo prymitywnym oprogramowaniem, które nawet w razie przeniknięcia poprzez instalację dodatku, czy też poprzez przesłane dane raczej nie spowodowałoby wielkich szkód”.

Jako „spear phishing” eksperci IT rozumieją działania cyberprzestępców, którzy otrzymują dostęp do wewnętrznej listy adresów e-mailowych, po czym rozsyłają informację/plik podszywając się pod jeden z adresów z listy.

Przedstawiciel UCA zaznacza, że autor oprogramowania, programista i artylerzysta 55. Artyleryjskiej brygady SZ Ukrainy, Jarosław Szerstiuk nie jest winny tej sytuacji w żadnym stopniu. Oprogramowanie Szerstiuka nie było złamane, a wnioski CrowdStrike (80% haubic D-30 zostało zniszczonych, zarażonych została znaczna ilość urządzeń, otrzymano możliwość ściągnięcia danych z zainfekowanych urządzeń znajdujących się w ATO) są wyssane z palca. Co dotyczy CrowdStrike – był to „skrajnie nieodpowiedzialny i nieprofesjonalny komunikat”.

Ukraińscy haktywiści stwierdzają również, że serwery FancyBear były wykorzystywane przez inne oprogramowanie do rozsyłki spamu i ataku na Bank of America. Pozwala to przypuszczać, że za FancyBear oraz historią o „zainfekowanym „apk” stoi nie rosyjskie GRU, jak stwierdzono w raporcie CrowdStrike, a prawdopodobnie FSB FR. Jak twierdzi Sean Townsend, tego rodzaju działanie jest całkowicie w stylu FSB – nająć lub zastraszyć rosyjskich cyberprzestępców, którzy wcześniej ujawnili się publicznie (atak na Bank of America) w celu wykonania zadania na rzecz państwa. Jak przekonują specjaliści UCA, specjaliści GRU zdecydowanie bardziej dbają o szczegóły, oraz znacznie sprawniej zacierają ślady.

Z kolei przedstawiciele projektu dot. bezpieczeństwa cybernetycznego – MySpyBot zwrócili się do CrowdStrike z prośbą o przekazanie im zarażonych plików .apk (otrzymanych od FancyBear) w celu przeprowadzenia analizy. Mimo upływu dwóch tygodni aktywiści nie otrzymali jednak żadnej odpowiedzi.

W raporcie CrowdStrike stwierdzono m.in., że na pewnych forach internetowych (nie doprecyzowano jednak nazw forów) plik .apk Szerstiuka, zainfekowany poprzez X-Agent rozpowszechnił się już „pod koniec 2014 roku”. Przeważna większość strat ukraińskiej artylerii (zwłaszcza haubic D-30) przypada na czerwiec-wrzesień 2014 roku, na czas prowadzenia walk w sektorze D (okolice Zelenopilla, Krasnodonu, Starobeszewa, Amwrosijewki, Iłowajska), oraz w okresie aktywnych walk na kierunku ługańskim. Wiadomości te potwierdza się informacjami z ogólnodostępnych źródeł, włączając prorosyjskie.

W tej sytuacji rola CrowdStrike wydaje się być zupełnie niezrozumiała. Powszechnie szanowana amerykańska kompania, jeden z liderów w branży bezpieczeństwa informacyjnego, przygotowała raport z jawnie niedokładnymi, subiektywnymi i kompromitującymi informacjami, które niemalże natychmiast stały się bazą dla wielu komunikatów rozpowszechnianych w środkach masowego przekazu o zasięgu krajowym oraz ogólnoświatowym.

W rezultacie tych działań, można przypuszczać, że przedstawiona historia dot. zainfekowania ukraińskiego oprogramowania, to nic więcej jak udana informacyjno-psychologiczna operacja FSB, w której posłużono się wiarygodnymi, zachodnimi źródłami, do realizacji której użyto powszechnie szanowanych dziennikarzy. Mamy nadzieję, że nieświadomie wzięli oni udział w tej operacji, oraz że „nie poszli” na współpracę z rosyjskimi służbami specjalnymi. Każda wersja wydarzeń wymaga jednakże pogłębionej analizy, której powinny dokonać zachodnie struktury bezpieczeństwa.  

Autor Roman Sinicyn

Tłumaczenie na polski Michał Marek

(CC BY 4.0) Informacje zostały przygotowane specjalnie dla portalu InformNapalm.org, przy przedruku lub wykorzystaniu prosimy o obowiązkowe umieszczenie aktywnego linku do źródła.

Apelujemy do czytelników o rozpowszechnienie naszych materiałów na portalach społecznościowych. Upublicznienie materiałów śledztw może istotnie wpłynąć na przebieg walki informacyjnej i całej wojny.