ОТЧЕТ О ВЗЛОМЕ УКРАИНСКОГО СОФТА ДЛЯ АРТИЛЛЕРИИ ХАКЕРАМИ FANCYBEAR — ПСИХОЛОГИЧЕСКАЯ ОПЕРАЦИЯ МОСКВЫ

Это вам не Уильям Гибсон в современном сетингу, а типичная информационная операция ФСБ.

Примечание редакции . Предлагаем вашему вниманию материал нашего партнера InformNapalm, в котором Роман Синицын рассказывает о результатах фактчекингу информации, изложенной в отчете аналитической группы CrowdStrike.

Отчет о взломе украинского софта для артиллерии хакерами FancyBear — психологическая операция Москвы

В конце декабря 2016 волонтеры международной разведывательного сообщества InformNapalm уже предполагали , что выводы отчета аналитической группы CrowdStrike об операции российских хакеров FancyBear могут быть необъективны и ложные. Количество скептиков растет. К фактчекингу присоединились хактивисты «Украинская киберальянсу» ( UCA ), а новые детали все больше говорят о том, что отчет и последующий мощный информационный резонанс о «излом украинской софта для артиллерии» — это спланированная психологическая операция Москвы.

История с возможным взломом украинского программного обеспечения «Несмотря-Д30» для артиллеристов и связанными с этим потерями ВСУ личного состава и военной техники наделала много шума в мировых СМИ в декабре 2016 года.

Данные, изложенные в отчете американской компании CrowdStrike , были перепечатаны большим количеством авторитетных мировых СМИ: Washington Post, Forbes, The Guardian, Bloomberg и многими другими.

В отчете аналитики утверждают, что якобы пророссийская хакерская группа FancyBear еще в 2014 году заразила Украинская программное обеспечение «Несмотря на-Д30» для артиллеристов бэкдор-вирусом (X-agent). Также там говорится о том, что доступ российских хакеров в программу украинских артиллеристов давал им возможность получать координаты украинских артиллерийских батарей и уничтожать их контрбатарейную огнем русской артиллерии. Согласно отчету, с 2013 (кстати, в 2013 году не было ни одной военной действия) по 2016 год украинская армия потеряла около 80% гаубиц Д-30, составляет наибольшую долю потерь всех видов военной техники.

Интересно, что данные о потерях компания CrowdStrike взяла из заметки в Livejournal симферопольского блогера и известного пророссийского пропагандиста Colonel Cassad, которому «один из его читателей выслал сравнительный анализ отчетов Military Balance, выданных International Institute for Strategic Studies». И только на основе сравнения отчетов о количестве вооружений за 2013 и 2016 годы Colonel Cassad делает вывод, что украинская армия потеряла до 80% гаубиц Д-30. Английский перевод его статьи, кстати, указан среди источников отчета CrowdStrike.

Евгений Максименко, программист и разработчик украинской системы управления боем Combat Vision, ставит под сомнение приведенную в отчете Crowd Strike информацию о большом количестве инфицированных устройств, хотя не исключает возможности заражения apk-файла и его размещения на сторонних ресурсах.

Представители UCA (Ukrainian Cyber ​​Alliance) — Украинский хакерской консорциума — утверждают, что у них есть apk-файлы, зараженные «русским» вирусом X-agent. При этом добавляют, что инфицировать можно любой бинарный файл.

Кроме того, представитель UCA и хакерской группы RuH8 Sean Townsend утверждает, что злоумышленники таки организовали спирфишингову атаку, но ее быстро идентифицировали и инсталляций инфицированного приложения на устройства военных «практически не было». Также отмечает, что X-agent — «крайне примитивное программное обеспечение, и даже если инфицирован приложение инсталлировали, то вряд ли с помощью полученных данных можно было нанести какой-то вред».

Во спирфишингом эксперты IT-индустрии имеют в виду действия киберпреступников, получают доступ к внутреннему список электронных адресов и затем рассылают информацию / файлы под видом одной из адресов с внутреннего списка.

Представитель UCA отмечает, что автор программного обеспечения, программист и артиллерист 55-й артиллерийской бригады ВСУ Ярослав Шерстюк никоим образом не виноват в этой ситуации. Программное обеспечение Шерстюка не было сломано, а выводы CrowdStrike о 80% уничтоженных гаубиц Д-30, отличную от единиц количество зараженных устройств, возможность взимать данные с устройств, находящихся в зоне боевых действий, высосанные из пальца. И со стороны CrowdStrike это была «крайне безответственная и непрофессиональная заявление».

Также украинские хакеры утверждают, что серверы FancyBear ранее были неоднократно использованы другим программным обеспечением для рассылки спама и совершения атак на Bank of America. Это дает возможность предположить, что за FancyBear и историей с «инфицированными apk» стоит не российское ГРУ, как утверждают в отчете CrowdStrike, а, скорее всего, ФСБ РФ. Sean Townsend утверждает, что это вполне в стиле ФСБ — нанимать или запугивать российских киберпреступников, «засветились» ранее (атаки на Bank of America), для выполнения государственных задач. Специалисты ГРУ работают значительно аккуратнее и лучше заметают следы, утверждают в UCA.

Представители кибербезпекового проекта MySpyBot, в свою очередь, обратились к CrowdStrike с просьбой предоставить для анализа заражены apk-файлы от FancyBear, но за две недели так и не получили никакого ответа.

В отчете CrowdStrike утверждает, что на ряде форумов (при этом не называет конкретных) apk-файл Шерстюка, инфицирован X-Agent, начал распространяться «в конце 2014». Подавляющее большинство потерь украинской артиллерии (в частности, и гаубиц Д-30) приходится на июнь-сентябрь 2014 года, в период боевых действий в секторе Д (районы Зеленополье, Краснодона, Старобешево, Амвросиевка, Иловайская), а также в период активных боевых действий на луганском направлении. Это подтверждает и информация из открытых источников, в том числе явно пророссийских.

В этой ситуации странным выглядит роль Crowd Strike — авторитетной американской компании, одного из лидеров в области информационной безопасности, подготовила отчет с явно неточными, субъективными и компрометирующими данными, на которые ссылаются авторы многочисленных публикаций в мировых и отечественных СМИ.

Поэтому можно считать, что обнародованная история о заражении — не более чем удачная информационно-психологическая операция российского ФСБ с привлечением авторитетных западных источников и журналистов. Надеемся, что их обманули и они сознательно не сотрудничали с российскими спецслужбами, однако любая версия требует углубленной проверки западными структурами безопасности.