• Languages
Language (Українська)
  • Українська (UA)
  • Русский (RU)
  • English (EN)
  • Deutsch (DE)
  • Français (FR)
  • Español (ES)
  • Беларуская (BY)
  • Български (BG)
  • Polska (PL)
  • Čeština (CZ)
  • Slovenský (SK)
  • Lietuvių (LT)
  • Latvijas (LV)
  • Nederlands (NL)
  • Português (PT)
  • Italiano (IT)
  • Svenska (SV)
  • Norsk (NO)
  • Dansk (DK)
  • ქართული (GE)
  • Română (RO)
  • Magyar (HU)
  • Ελληνικά (EL)
  • Deutsch (AT)
  • العربية (AR)
  • Türkçe (TR)
  • Azərbaycan (AZ)
  • Татарча (TAT)
  • 日本語 (JP)
  • 中文 (CN)
  • 한국어 (KR)

Logo

support informnapalm
Navigation
  • Головна
  • Новини
    • Донбас
    • Крим
    • Сирія
    • Світ
    • Аналітика
    • Інше
    • INsight НОВИНИ
    • Магда. СвітОгляд
    • ПолітТло
    • Блог
  • Мапи
    • УкрМонітор
    • Сили вторгнення
    • Карта населених пунктів
    • Точна карта розмежування
    • Пролив Босфор
    • Мапа COVID-19
  • Бази даних
  • Інфографіка
  • Про InformNapalm
    • About US

Невдала атака Fancy Bear на українську артилерію

on 22.09.2017 | | UCA | Блог | Новини Print This Post Print This Post
  • cz
  • ua
  • blog

22 грудня 2016 року американська компанія CrowdStrike, що займається інформаційною безпекою, опублікувала звіт про те, як російські хакери з угруповання Fancy Bear начебто зламали українських артилеристів і вирахували їхнє місце перебування з допомогою троянця для Android (“Use of Fancy Bear Android malware in tracking of Ukrainian field artillery units“). Що сталося насправді? Що в цій історії правда, а що брехня розповідає Шон Таунсенд (Український Кіберальянс).

Коротко перекажу суть звіту. В червні CrowdStrike виявив троян для Android, який вони зв’язали з Fancy Bear, тою самою групою хакерів, яка атакувала американські вибори. Троян поширювався разом з додатком для артилерії, який розробив Ярослав Шерстюк, і начебто поширення цього трояна призвело до 80% втрат в артилерійських частинах, які використовують гаубиці Д-30. Статистика втрат підтверджувалась посиланням на звіт IISS (Міжнародний інститут стратегічних досліджень). Як джерело поширення використовували форуми відповідної тематики, посилання на них не навели.

Цифри втрат здалися мені не реалістичними, і я почав перевіряти джерела. Відразу з’ясувалося, що цифра 80% опублікована не в звіті “Military balance”, а в дописі ватного блогера Colonel Cassad. Але навіть аналітики ворога не піддаються запамороченню від успіхів і зазначають, що різниця в цифрах може мати інші причини:

Загалом же обидві методики очевидно мають свої достоїнства і хиби в плані обліку втрат, …, так само як і те, що вибуття зі штату техніки могло в низці випадків не означати її фактичного знищення (наприклад, частину техніки із загальної маси вибулої з 2013 року становить техніка, що залишилася в Криму, і була повернута Україні тільки частково. Також слід враховувати, що частина техніки могла числитися тільки на папері …

Річ у тім, що звіт Military Balance ґрунтується на відкритих джерелах. Я прочитав звіти в з’ясував, що цифри там наведені дуже приблизні. Про втрати у звіті не йдеться, а різницю в цифрах IISS пояснює тим, що техніку могли передати з армії в частини Національної Гвардії. Міжнародний інститут стратегічних досліджень в коментарі для Голосу Америки заявив, що дані звітів використовувалися не правильно і відхрестився від цієї історії. Шостого січня 2017 року нарешті відреагувало Міністерство Оборони України:

У зв’язку з появою в деяких ЗМІ повідомлень, де йдеться, що нібито “80% гаубиць Д-30 Збройних Сил України знищено завдяки зламу російськими хакерами програмного забезпечення українських артилеристів”, Командування Сухопутних військ ЗС України повідомляє, що зазначена інформація не відповідає дійсності.

Після цього CrowdStrike оновили свій звіт і знизили цифри втрат до 15-20% Перш ніж розбиратися в технічних подробицях, я зразу хочу сказати, що це теж брехня. Троян, який знайшли CrowdStrike, не міг спричинити бойові втрати просто тому, що він не працює. Не може працювати тому, що в середині APK файлу Попр_Д30.apk (MD5 6f7523d3019fa190499f327211e01fcb ) помилково затесався зайвий байт і його неможливо встановити в принципі.

Чи могла така атака завдати реальної шкоди? Код X Agent примітивний і однаково погано підходить як для шпигунських завдань, так і для “комерційного” використання. Наприклад, функціональність GPS у ньому повністю відсутня, місце розташування визначається за базовими станціями (COARSE LOCATION). А користування мобільним зв’язком на передовій не благословляється. Я вдячний Джефрі Карру, який відразу висловив сумніви щодо можливостей російської диво-зброї. Проте аналіз коду показує, що це справді Fancy Bear (“APT 28”), і спроба атакувати нашу армію справді була.

27 серпня 2015 року. Російські хакери “склеїли” свій троян (цього разу версію, яка працює, і, звісно, без відома автора) з другою артилерійською програмою і спробували вкинути її під виглядом оновлення спір-фішингом. Користувачі відразу звернули увагу на попередження Ґуґла про те, що адреса відправника може бути підробленою і випустили сповіщення про те, що «оновлення» шкідливе. Так атака цілком провалилась. Перший раз через те, що троян був пошкоджений, другий раз завдяки пильності волонтерів та військових, які серйозно ставляться до інформаційної безпеки. Зараз поширення ПЗ влаштоване по-іншому і повторення атаки неможливе.

Фишинговое письмо Fancy Bear

Фішинговий лист Fancy Bear

Я глибоко розчарований тим, що навіть деякі українські «експерти» повторюють брехливу інформацію, яку багато разів спростували практично відразу після появи звіту CrowdStrike. Так, Микита Книш (що особливо сумно – радник Адміністрації Президента з кібербезпеки) заявив у “крутому об’ємному” інтерв’ю для «Гордон»:

Наведу явний приклад, який суттєво вплинув на проведення АТО. Був артилерійський софт, який також розробляла приватна компанія (по факту – групка ентузіастів). Додаток, грубо кажучи, ґуґлився у відкритому доступі. Росіяни змогли змінити файлик, і артилеристам завантажили інший софт. Відповідно, вони отримали дані про місце розташування всієї української артилерії. Ось приклад конкретної кібератаки, реалізованої на фронті.

Це приклад надзвичайної некомпетентності і нагнітання істерії. Я також не згоден з атрибуцією атаки, проведеною CrowdStrike, і вважаю, що за такими атаками стоїть не ГРУ, а ФСБ. На це також вказує те, що IP командних центрів X Agent / Android також були помічені в «комерційних атаках» на Bank of America і Paypal. Це свідчить про те, що на певному етапі використовували «чорних хакерів», і ФСБ уже не раз ловили на зв’язку з кримінальними елементами. Український Кіберальянс також провів акцію у відповідь проти ворс бойовиків, але це вже зовсім інша історія…


При використанні інформації активне посилання на джерело обов’язкове

(Creative Commons — Attribution 4.0 International — CC BY 4.0)

Tags: Fancy Bearhackerкібервійна

No Responses to “Невдала атака Fancy Bear на українську артилерію”

Leave a Reply

Your email address will not be published.





Інтерактивна база даних російських підрозділів, задіяних до повномасштабного вторгнення в Україну

Оновлена OSINT база даних російської військової агресії

Архіви записів

Пошук

Slate | Sl8 | InformNapalm

Сайт міжнародної розвідувальної спільноти InformNapalm - українська мовна версія

InformNapalm - це інтернет-ресурс, який збирає та публікує факти про війну Росії проти України, подробиці про російських окупантів та новини про російську гібридну війну. Окрім зібраної інформації, ми також обробляємо відео, фотографії, супутникові знімки та соціальні мережі. Важливу роль у нашій роботі відіграють інсайдерські джерела в тилу ворога. Волонтери InformNapalm розробили унікальну цифрову базу даних з російським озброєнням і військовими підрозділами, які беруть участь у бойових діях в Україні. Крім того, InformNapalm інформує світ про реальну роль російського режиму в триваючих гібридних конфліктах в Грузії, Сирії та інших країнах Східної і Центральної Європи та Близького Сходу.

CC BY 4.0 – Контент доступний за ліцензією Creative Commons 4.0 International License, якщо в статті не вказано інше.

  • Головна
  • Privacy Policy
  • Контакти