- InformNapalm.org (Українська) - https://informnapalm.org/ua -

Невдала атака Fancy Bear на українську артилерію

22 грудня 2016 року американська компанія CrowdStrike, що займається інформаційною безпекою, опублікувала звіт про те, як російські хакери з угруповання Fancy Bear начебто зламали українських артилеристів і вирахували їхнє місце перебування з допомогою троянця для Android (“Use of Fancy Bear Android malware in tracking of Ukrainian field artillery units [1]“). Що сталося насправді? Що в цій історії правда, а що брехня розповідає Шон Таунсенд (Український Кіберальянс [2]).

Коротко перекажу суть звіту. В червні CrowdStrike виявив троян для Android, який вони зв’язали з Fancy Bear, тою самою групою хакерів, яка атакувала американські вибори. Троян поширювався разом з додатком для артилерії, який розробив Ярослав Шерстюк, і начебто поширення цього трояна призвело до 80% втрат в артилерійських частинах, які використовують гаубиці Д-30. Статистика втрат підтверджувалась посиланням на звіт IISS (Міжнародний інститут стратегічних досліджень). Як джерело поширення використовували форуми відповідної тематики, посилання на них не навели.

Цифри втрат здалися мені не реалістичними, і я почав перевіряти джерела. Відразу з’ясувалося, що цифра 80% опублікована не в звіті “Military balance”, а в дописі ватного блогера Colonel Cassad. [3] Але навіть аналітики ворога не піддаються запамороченню від успіхів і зазначають, що різниця в цифрах може мати інші причини:

Загалом же обидві методики очевидно мають свої достоїнства і хиби в плані обліку втрат, …, так само як і те, що вибуття зі штату техніки могло в низці випадків не означати її фактичного знищення (наприклад, частину техніки із загальної маси вибулої з 2013 року становить техніка, що залишилася в Криму, і була повернута Україні тільки частково. Також слід враховувати, що частина техніки могла числитися тільки на папері …

Річ у тім, що звіт Military Balance [4] ґрунтується на відкритих джерелах. Я прочитав звіти в з’ясував, що цифри там наведені дуже приблизні. Про втрати у звіті не йдеться, а різницю в цифрах IISS пояснює тим, що техніку могли передати з армії в частини Національної Гвардії. Міжнародний інститут стратегічних досліджень в коментарі для Голосу Америки заявив, що дані звітів використовувалися не правильно і відхрестився від цієї історії. [5] Шостого січня 2017 року нарешті відреагувало Міністерство Оборони України [6]:

У зв’язку з появою в деяких ЗМІ повідомлень, де йдеться, що нібито “80% гаубиць Д-30 Збройних Сил України знищено завдяки зламу російськими хакерами програмного забезпечення українських артилеристів”, Командування Сухопутних військ ЗС України повідомляє, що зазначена інформація не відповідає дійсності.

Після цього CrowdStrike оновили свій звіт [5] і знизили цифри втрат до 15-20% Перш ніж розбиратися в технічних подробицях, я зразу хочу сказати, що це теж брехня. Троян, який знайшли CrowdStrike, не міг спричинити бойові втрати просто тому, що він не працює. Не може працювати тому, що в середині APK файлу Попр_Д30.apk (MD5 6f7523d3019fa190499f327211e01fcb ) помилково затесався зайвий байт і його неможливо встановити в принципі.

Чи могла така атака завдати реальної шкоди? Код X Agent примітивний і однаково погано підходить як для шпигунських завдань, так і для “комерційного” використання. Наприклад, функціональність GPS у ньому повністю відсутня, місце розташування визначається за базовими станціями (COARSE LOCATION). А користування мобільним зв’язком на передовій не благословляється. Я вдячний Джефрі Карру, який відразу висловив сумніви щодо можливостей російської диво-зброї. [7] Проте аналіз коду показує, що це справді Fancy Bear (“APT 28”), і спроба атакувати нашу армію справді була.

27 серпня 2015 року. Російські хакери “склеїли” свій троян (цього разу версію, яка працює, і, звісно, без відома автора) з другою артилерійською програмою і спробували вкинути її під виглядом оновлення спір-фішингом. Користувачі відразу звернули увагу на попередження Ґуґла про те, що адреса відправника може бути підробленою і випустили сповіщення про те, що «оновлення» шкідливе. Так атака цілком провалилась. Перший раз через те, що троян був пошкоджений, другий раз завдяки пильності волонтерів та військових, які серйозно ставляться до інформаційної безпеки. Зараз поширення ПЗ влаштоване по-іншому і повторення атаки неможливе.

Фишинговое письмо Fancy Bear [8]

Фішинговий лист Fancy Bear

Я глибоко розчарований тим, що навіть деякі українські «експерти» повторюють брехливу інформацію, яку багато разів спростували практично відразу [9] після появи звіту CrowdStrike. Так, Микита Книш [10] (що особливо сумно – радник Адміністрації Президента з кібербезпеки) заявив у “крутому об’ємному” інтерв’ю для «Гордон [11]»:

Наведу явний приклад, який суттєво вплинув на проведення АТО. Був артилерійський софт, який також розробляла приватна компанія (по факту – групка ентузіастів). Додаток, грубо кажучи, ґуґлився у відкритому доступі. Росіяни змогли змінити файлик, і артилеристам завантажили інший софт. Відповідно, вони отримали дані про місце розташування всієї української артилерії. Ось приклад конкретної кібератаки, реалізованої на фронті.

Це приклад надзвичайної некомпетентності і нагнітання істерії. Я також не згоден з атрибуцією атаки, проведеною CrowdStrike, і вважаю, що за такими атаками стоїть не ГРУ, а ФСБ. На це також вказує те, що IP командних центрів X Agent / Android також були помічені в «комерційних атаках» на Bank of America і Paypal. Це свідчить про те, що на певному етапі використовували «чорних хакерів», і ФСБ уже не раз ловили на зв’язку з кримінальними елементами. Український Кіберальянс [12] також провів акцію у відповідь проти ворс бойовиків, але це вже зовсім інша історія…


При використанні інформації активне посилання на джерело обов’язкове

(Creative Commons — Attribution 4.0 International — CC BY 4.0 [13])