Slutsatserna från CrowdStrikes rapport om den ryska hackergruppen ”Fancy Bear” kan vara felaktiga. Hacktivister från ukrainska Cyberalliansen (UCA) ansluter sig till skeptikerna när publicerade fakta synas i sömmarna.
22 december publicerade cyberförsvarsföretaget CrowdStrike en rapport som citerade ett påstått intrång i en mobilapp för ukrainska artilleristers användning. Intrånget sades vara utfört av Fancy Bear, en rysk hackergrupp med anknytning till den ryska militära underrättelsetjänsten GRU.
Aldrig ropa att björnen kommer
Rapporten fick snabb och vida spridning när många mediebolag ivrigt delade dessa kittlande nyheter, medan få av dem brydde sig om att kontrollera fakta eller skärskåda rapporten närmare.
Redan 23 december reagerade BBC:s ryska avdelning med ett antal kritiska expertutlåtanden som ifrågasatte rapportens material och dess slutsatser.
CrowdStrike rapporterade att en fjärrstyrd aggressiv programvara (malware) benämnd X-Agent hade inplanterats i ukrainska militära forum som distribuerade en specifikt utvecklad artilleriprogramvara, vilken senare skulle kunna användas för att spåra och lokalisera ukrainska artilleriförband.
Programvarans utvecklare, Yaroslav Sherstiuk, en officer vid ukrainska 55:e separata artilleribrigaden, lade dock till flera säkerhetslager i det fall programvaran skulle hamna i fel händer. I de flesta fall har programvaran distribuerats för hand, direkt från utvecklaren till användarna. Sannolikheten för att någon skulle kunna ha laddat ned programvaran från någon tredje part är nära noll.
Leonid Bershidskiy, skribent vid Bloomberg View, var också skeptisk:
“Jag är mycket tveksam till att den ukrainska militären skulle ladda ned programvara för artillerlpjäsinställning från ett webbforum. Under vanliga omständigheter skulle de snarast beställa den från en känd utvecklare, till exempel från någon som Sherstiuk. Därför är det svårt för mig att tro att denna hackade programvara – upphittad någonstans på nätet och sannolikt aldrig använd av ukrainska soldater – bevisar att GRU låg bakom APT28.”
Experter på området var inte ensamma i sin skepticism över CrowdStrikes slutsatser, också ukrainska hacktivister från UCA gjorde sin egen analys över tänkbara dataläckor.
Sean Townsend, en hacktivist från gruppen RUH8 (del av UCA, som skapade internationell uppmärksamhet med intrånget i en dator tillhörande en av den ryske presidentens rådgivare, Vladislav Surkov), kommenterade också CrowdStrikes sensationella rapport:
“Jag har läst rapporten som CrowdStrike publicerade, med titeln ”Fancy Bear Tracks Ukrainian Artillery.” Som hacker är jag inte speciellt förtjust i datasäkerhetsindustrin eftersom dessa lever på att sprida skräck, men CrowdStrike har faktiskt misslyckats med att leva upp ens till industrins lägst ställda standarder. De inleder sin rapport med ett braskande uttalande: att de ukrainska väpnade styrkorna skulle ha förlorat ända upp till 80% av sina D-30 haubitsar. Siffran 80% kom inte från IISS (International Institute for Strategic Studies) utan nämndes av colonelcassad (övers. anm: en ökänd rysk propagandistbloggare). Till och med han, när han spottade ur sig siffran 80%, säger att förlusterna inte härrör från strid utan från överföringar från den ukrainska armén till nationalgardet (notera att IISS:s rapport anger ett ”väldigt precist antal” av ”några D-30”).
Rapporten påstår dessutom, utan någon som helst källhänvisning, att intrånget gjordes med en X-Agent för Android. Här frågar jag mig – var är ”hasharna” (kryptoförkortningar), var är adresserna till kontrollcentra, hur många telefoner beräknas vara infekterade? Var det verkligen en X-Agent attack? Jag förstår att det planeras utfrågningar i kongressen över dessa ”ryska hackare” och att CrowdStrike gärna vill visa sig relevanta i sammanhanget, men jag tycker att det är oansvarigt att agera på det här sättet.”
”Vi har redan exempel på malware som CrowdStrike associerar till Fancy Bear och vi kommer snart att släppa våra egna resultat. Jag kan inte lova er kommunistzombies från GRU. Jag har faktiskt höga tankar om den postsovjetiska hacker-communityn, men man bör inte demonisera de ryska hackarna. Vi hackade några av dem och det var för löjligt att beskriva. Skärmavbilden underminerar bilden av de där ”hemska hackarna från GRU”. Allt man kan se i skärmavbilden är märkliga bokstäver och siffor, men en expert ser något helt annat blixtra i stora bokstäver: ”Den här KODEN har skrivits av en fullständig IDIOT”.
Det internationella underrättelsekollektivet InformNapalm presenterar återkommande inlägg som baserats på uppgifter som grävts fram av UCA-hacktivister. Så fort vi har mer uppgifter om data som hacktivisterna analyserat kommer vi självklart att dela dessa med en vidare publik. Håll utkik efter kommande uppdateringar i vår Hacktivismsektion.
Översatt och redakterad av Von de Plume.
Detta material är särskilt framtaget för publikation av InformNapalm och får återges enligt Creative Commons (CC-BY).
Vid all återgivning skall källan anges med länk till materialet. Vi uppmuntrar våra läsare att aktivt dela våra publikationer på sociala nätverk. Den breda allmänhetens kännedom är avgörande för att förstå krigets verklighet.