Наприкінці грудня 2016 волонтери міжнародної розвідувальної спільноти InformNapalm вже припускали, що висновки звіту аналітичної групи CrowdStrike про операцію російських хакерів FancyBear можуть бути необ’єктивними та неправдивими. Кількість скептиків росте. У факт-чекінг включились хактивісти Українського кіберальянсу (UCA), а нові деталі все більше приводять до висновку, що звіт та подальший потужний інформаційний розголос про “злам українського софту для артилерії” – є спланованою психологічною операцією Москви.
Історія з ймовірним зламом українського програмного забезпечення ‘Попр-Д30’ для артилеристів та пов’язаними з цим втратами ЗСУ у живій силі та військовій техніці наробила багато шуму в світових ЗМІ у грудні 2016 року.
Дані, викладені в звіті американської компанії CrowdStrike, були передруковані великою кількістю авторитетних світових ЗМІ: Washington Post, Forbes, The Guardian, Bloomberg та багатьма іншими.
У звіті стверджується, начебто проросійська хакерська група FancyBear ще в 2014 році заразила українське програмне забезпечення для артилеристів ‘Попр-Д30’ бекдор-вірусом (X-agent). Також там йдеться про те, що доступ російських хакерів до програми українських артилеристів допомагав їм отримувати координати українських артилерійських батарей та знищувати їх контр-батарейним вогнем російської артилерії. Згідно зі звітом, з 2013 (до речі, в 2013 році не було жодних військових дій) по 2016 рік українська армія втратила приблизно 80% гаубиць Д-30, що становить найбільшу частку втрат серед усіх видів військової техніки.
Примітно, що дані про втрати компанія CrowdStrike взяла із замітки в Livejournal сімферопольського блогера та відомого проросійського пропагандиста Colonel Cassad, якому «один з його читачів вислав порівняльний аналіз звітів Military Balance, виданих International Institute for Strategic Studies». І лише на основі порівняння звітів про кількість озброєнь за 2013 та 2016 роки Colonel Cassad робить висновок, що українська армія втратила до 80% гаубиць Д-30. Англійський переклад його статті, до речі, є в джерелах звіту CrowdStrike.
Євген Максименко, програміст та розробник української системи управління боєм Combat Vision, ставить під сумнів наведену у звіті Crowd Strike інформацію про велику кількість інфікованих пристроїв, хоча не відкидає можливість зараження apk файлу і розміщення його на сторонніх ресурсах.
Представники UCA (Ukrainian Cyber Alliance) – українського хакерського консорціуму, стверджують, що у них є заражені «російським» вірусом X-agent – apk файли. При цьому додають, що інфікувати можна будь-який бінарний файл.
Крім того, представник UCA та хакерської групи RuH8 Sean Townsend стверджує, що зловмисниками таки була організована спірфішингова атака, але її швидко ідентифікували й інсталяцій інфікованого додатку на пристрої військових «практично не було». Також зазначається, що X-agent «вкрай примітивне програмне забезпечення, і навіть в разі, якщо б були встановлення інфікованого додатку, навряд чи за допомогою отриманих даних можна було спричинити якусь шкоду».
Під спірфішінгом експерти IT-індустрії розуміють дії кіберзлочинців, які отримують доступ до внутрішнього списку електронних адрес і потім розсилають інформацію\файли під виглядом однієї з адрес з внутрішнього списку.
Представник UCA зазначає, що автор програмного забезпечення, програміст та артилерист 55 артилерійської бригади ЗСУ Ярослав Шерстюк, жодним чином не винен у цій ситуації. Програмне забезпечення Шерстюка не було зламане, а висновки CrowdStrike: 80% знищених гаубиць Д-30, відмінну від одиниць кількість заражених пристроїв, можливість знімати дані з пристроїв, що перебувають у зоні бойових дій – висмоктані з пальця. І з боку CrowdStrike – це була «вкрай безвідповідальна і непрофесійна заява».
Також українські хакери стверджують, що сервери FancyBear раніше використовувались іншим програмним забезпеченням для розсилки спаму і атак на Bank of America. Це дозволяє припустити, що за FancyBear та історією з «інфікованими .apk» стоїть не російське ГРУ, як стверджується у звіті CrowdStrike, а, більш ймовірно, ФСБ РФ. Sean Townsend стверджує, що це цілком в стилі ФСБ – наймати або залякувати російських кіберзлочинців, які засвітились раніше (атаки на Bank of America) для виконання державних завдань. Спеціалісти ГРУ працюють на порядок акуратніше і краще замітають сліди, стверджують у UCA.
Представники кібер-безпекового проекту MySpyBot в свою чергу звернулись до CrowdStrike з проханням надати для аналізу заражені apk файли від FancyBear, але за два тижні так і не отримали жодної відповіді.
У звіті CrowdStrike стверджується, що на низці форумів (при цьому не називаються конкретні) apk файл Шерстюка, інфікований X-Agent, почав розповсюджуватись «наприкінці 2014 року». Переважна більшість втрат української артилерії (зокрема, і гаубиць Д-30) припадає на червень-вересень 2014 року, в період бойових дій у секторі Д (райони Зеленопілля, Краснодон, Старобешево, Амвросієвка, Іловайськ), а також в період активних бойових дій на Луганському напрямку. Це підтверджується й інформацією з відкритих джерел, у тому числі явно проросійських.
У цій ситуації дивною виглядає роль Crowd Strike – авторитетної американської компанії, одного з лідерів у галузі інформаційної безпеки, яка підготувала звіт з явно не точними, суб’єктивними та компрометуючими даними, що майже відразу лягли за основу численних публікацій у світових та вітчизняних ЗМІ.
У результаті можна вважати, що викладена історія із зараженням – не більше ніж вдала інформаційно-психологічна операція російського ФСБ із залученням авторитетних західних джерел та журналістів. Ми маємо надію, що їх використовували всліпу і вони свідомо не йшли на співпрацю з російськими спецслужбами, проте будь-яка версія потребує поглибленої перевірки західними структурами безпеки.
Автор Roman Sinicyn.
Інформація підготовлена спеціально для сайту InformNapalm.org. При повному або частковому використанні матеріалу активне посилання на автора і статтю на сайті обов’язкове.
(Creative Commons — Attribution 4.0 International — CC BY 4.0 )
Щоб оперативно отримувати сповіщення про нові розслідування InformNapalm, підписуйтеся на сторінки нашої спільноти у соцмережах Фейсбук та Твіттер.
Закликаємо читачів активно ділитися нашими публікаціями в соціальних мережах. Винесення матеріалів розслідувань в публічну площину здатне переломити хід інформаційного та бойового протистояння.