Наприкінці грудня 2016 волонтери міжнародної розвідувальної спільноти InformNapalm вже припускали, що висновки звіту аналітичної групи CrowdStrike про операцію російських хакерів FancyBear можуть бути необ’єктивними та неправдивими. Кількість скептиків росте. У факт-чекінг включились хактивісти Українського кіберальянсу (UCA), а нові деталі все більше приводять до висновку, що звіт та подальший потужний інформаційний розголос про “злам українського софту для артилерії” – є спланованою психологічною операцією Москви.
Історія з ймовірним зламом українського програмного забезпечення ‘Попр-Д30’ для артилеристів та пов’язаними з цим втратами ЗСУ у живій силі та військовій техніці наробила багато шуму в світових ЗМІ у грудні 2016 року.
Дані, викладені в звіті американської компанії CrowdStrike, були передруковані великою кількістю авторитетних світових ЗМІ: Washington Post, Forbes, The Guardian, Bloomberg та багатьма іншими.
У звіті стверджується, начебто проросійська хакерська група FancyBear ще в 2014 році заразила українське програмне забезпечення для артилеристів ‘Попр-Д30’ бекдор-вірусом (X-agent). Також там йдеться про те, що доступ російських хакерів до програми українських артилеристів допомагав їм отримувати координати українських артилерійських батарей та знищувати їх контр-батарейним вогнем російської артилерії. Згідно зі звітом, з 2013 (до речі, в 2013 році не було жодних військових дій) по 2016 рік українська армія втратила приблизно 80% гаубиць Д-30, що становить найбільшу частку втрат серед усіх видів військової техніки.
Примітно, що дані про втрати компанія CrowdStrike взяла із замітки в Livejournal сімферопольського блогера та відомого проросійського пропагандиста Colonel Cassad, якому «один з його читачів вислав порівняльний аналіз звітів Military Balance, виданих International Institute for Strategic Studies». І лише на основі порівняння звітів про кількість озброєнь за 2013 та 2016 роки Colonel Cassad робить висновок, що українська армія втратила до 80% гаубиць Д-30. Англійський переклад його статті, до речі, є в джерелах звіту CrowdStrike.
Євген Максименко, програміст та розробник української системи управління боєм Combat Vision, ставить під сумнів наведену у звіті Crowd Strike інформацію про велику кількість інфікованих пристроїв, хоча не відкидає можливість зараження apk файлу і розміщення його на сторонніх ресурсах.
Представники UCA (Ukrainian Cyber Alliance) – українського хакерського консорціуму, стверджують, що у них є заражені «російським» вірусом X-agent – apk файли. При цьому додають, що інфікувати можна будь-який бінарний файл.
Крім того, представник UCA та хакерської групи RuH8 Sean Townsend стверджує, що зловмисниками таки була організована спірфішингова атака, але її швидко ідентифікували й інсталяцій інфікованого додатку на пристрої військових «практично не було». Також зазначається, що X-agent «вкрай примітивне програмне забезпечення, і навіть в разі, якщо б були встановлення інфікованого додатку, навряд чи за допомогою отриманих даних можна було спричинити якусь шкоду».
Під спірфішінгом експерти IT-індустрії розуміють дії кіберзлочинців, які отримують доступ до внутрішнього списку електронних адрес і потім розсилають інформацію\файли під виглядом однієї з адрес з внутрішнього списку.
Представник UCA зазначає, що автор програмного забезпечення, програміст та артилерист 55 артилерійської бригади ЗСУ Ярослав Шерстюк, жодним чином не винен у цій ситуації. Програмне забезпечення Шерстюка не було зламане, а висновки CrowdStrike: 80% знищених гаубиць Д-30, відмінну від одиниць кількість заражених пристроїв, можливість знімати дані з пристроїв, що перебувають у зоні бойових дій – висмоктані з пальця. І з боку CrowdStrike – це була «вкрай безвідповідальна і непрофесійна заява».
Також українські хакери стверджують, що сервери FancyBear раніше використовувались іншим програмним забезпеченням для розсилки спаму і атак на Bank of America. Це дозволяє припустити, що за FancyBear та історією з «інфікованими .apk» стоїть не російське ГРУ, як стверджується у звіті CrowdStrike, а, більш ймовірно, ФСБ РФ. Sean Townsend стверджує, що це цілком в стилі ФСБ – наймати або залякувати російських кіберзлочинців, які засвітились раніше (атаки на Bank of America) для виконання державних завдань. Спеціалісти ГРУ працюють на порядок акуратніше і краще замітають сліди, стверджують у UCA.
Представники кібер-безпекового проекту MySpyBot в свою чергу звернулись до CrowdStrike з проханням надати для аналізу заражені apk файли від FancyBear, але за два тижні так і не отримали жодної відповіді.
У звіті CrowdStrike стверджується, що на низці форумів (при цьому не називаються конкретні) apk файл Шерстюка, інфікований X-Agent, почав розповсюджуватись «наприкінці 2014 року». Переважна більшість втрат української артилерії (зокрема, і гаубиць Д-30) припадає на червень-вересень 2014 року, в період бойових дій у секторі Д (райони Зеленопілля, Краснодон, Старобешево, Амвросієвка, Іловайськ), а також в період активних бойових дій на Луганському напрямку. Це підтверджується й інформацією з відкритих джерел, у тому числі явно проросійських.
У цій ситуації дивною виглядає роль Crowd Strike – авторитетної американської компанії, одного з лідерів у галузі інформаційної безпеки, яка підготувала звіт з явно не точними, суб’єктивними та компрометуючими даними, що майже відразу лягли за основу численних публікацій у світових та вітчизняних ЗМІ.
У результаті можна вважати, що викладена історія із зараженням – не більше ніж вдала інформаційно-психологічна операція російського ФСБ із залученням авторитетних західних джерел та журналістів. Ми маємо надію, що їх використовували всліпу і вони свідомо не йшли на співпрацю з російськими спецслужбами, проте будь-яка версія потребує поглибленої перевірки західними структурами безпеки.
Автор Roman Sinicyn.
Інформація підготовлена спеціально для сайту InformNapalm.org. При повному або частковому використанні матеріалу активне посилання на автора і статтю на сайті обов’язкове.
(Creative Commons — Attribution 4.0 International — CC BY 4.0 )
Щоб оперативно отримувати сповіщення про нові розслідування InformNapalm, підписуйтеся на сторінки нашої спільноти у соцмережах Фейсбук та Твіттер.
Закликаємо читачів активно ділитися нашими публікаціями в соціальних мережах. Винесення матеріалів розслідувань в публічну площину здатне переломити хід інформаційного та бойового протистояння.
4 коментарі to “Звіт про злам українського софту для артилерії хакерами FancyBear – психологічна операція Москви”
29.03.2017
Young IDP from Donetsk created Android app, which hacked 2500 phones of aggressor - InformNapalm.org (English)[…] On the 8th day, alert Ukrainian patriots completely blocked the app by swamping the host of the relevant *.apk file with complaints, thinking that it was a product of the terrorists, so the project had to be abandoned. The militants themselves did not suspect that all this time their phones were under control of the UCA. Although the experience was quite positive, it showed that there was no way such initiatives could be synchronized with socially active users, which means these operations can only be short-term. Nevertheless, more than 2500 phones with all the data remained under control of the hacktivists for 7 days. Not bad. This can be considered a response to the Russian operation described in CrowdStrike report, which we have presented earlier. […]
21.03.2017
Бежанец от гр. Донецк създаде приложение за Android, с което проникна в 2 500 телефона на агресорите – InformNapalm.org (Български)[…] На 8-мия ден бдителните украински патриоти окончателно блокирали приложението и засипали с жалби хостинга, на който се е разполагал *.apk, считайки го разработка на терористите, поради което се наложило да приключат с тази идея. Самите терористи не са имали никаква представа, че през цялото това време техните телефони са били под контрола на UCA. Въпреки, че този опит е достатъчно положителен и интересен, но показал, че подобни инициативи не могат да бъдат синхронизирани със социално активните потребители, което означава, че такава операция може да носи само краткосрочен ефект. Въпреки това, хакването на повече от 2 500 телефона за цели 7 дни с всички данни е добър резултат. Това може да се разглежда като отговор на Руската Операция, описана в доклада CrowdStrike, която описахме по-рано. […]
13.03.2017
Юный переселенец из Донецка создал приложение, взломавшее 2500 телефонов любителей «русского мира», оккупантов и боевиков. ФОТО | Новост[…] операции, описанной в отчете CrowdStrike, о которой мы рассказывали ранее. Таким прогрессивным способом юный […]
13.03.2017
Юный переселенец из Донецка создал приложение, взломавшее 2500 телефонов любителей «русского мира», оккупантов и боевиков. ФОТО | Лофт[…] операции, описанной в отчете CrowdStrike, о которой мы рассказывали ранее. Таким прогрессивным способом юный […]