Наприкінці грудня 2016 волонтери міжнародної розвідувальної спільноти InformNapalm вже припускали, що висновки звіту аналітичної групи CrowdStrike про операцію російських хакерів FancyBear можуть бути необ’єктивними та неправдивими. Кількість скептиків росте. У факт-чекінг включились хактивісти Українського кіберальянсу (UCA), а нові деталі все більше приводять до висновку, що звіт та подальший потужний інформаційний розголос про “злам українського софту для артилерії” –  є спланованою психологічною операцією Москви.

Історія з ймовірним зламом українського програмного забезпечення ‘Попр-Д30’ для артилеристів та пов’язаними з цим втратами ЗСУ у живій силі та військовій техніці наробила багато шуму в світових ЗМІ у грудні 2016 року.

Данні викладені в звіті американської компанії CrowdStrike, були передруковані великою кількістю авторитетних світових ЗМІ: Washington Post, Forbes, The Guardian, Bloomberg та багатьма іншими.

У звіті стверджується, начебто проросійська хакерська група FancyBear ще в 2014 році заразила українське програмне забезпечення для артилеристів ‘Попр-Д30’ бекдор-вірусом (X-agent). Також там йдеться про те, що доступ російських хакерів до програми українських артилеристів допомагав їм отримувати координати українських артилерійських батарей та знищувати їх контр-батарейним вогнем російської артилерії. Згідно зі звітом, з 2013 (до речі, в 2013 році не було жодних військових дій) по 2016 року українська армія втратила приблизно 80% гаубиць Д-30, що становить найбільшу частку втрат серед усіх видів військової техніки.

Примітно, що дані про втрати компанія CrowdStrike взяла з замітки в Livejournal сімферопольського блогера та відомого проросійського пропагандиста Colonel Cassad, якому «один з його читачів вислав порівняльний аналіз звітів Military Balance виданих International Institute for Strategic Studies». І лише на основі порівняння звітів про кількість озброєнь за 2013 та 2016 роки Colonel Cassad робить висновок, що українська армія втратила до 80% гаубиць Д-30. Англійський переклад його статті, до речі, знаходиться в джерелах звіту CrowdStrike.

Євген Максименко, програміст та розробник української системи управління боєм Combat Vision,ставить під сумнів наведену у звіті Crowd Strike інформацію про велику кількість інфікованих пристроїв хоча не відкидає можливість зараження apk файлу і розміщення його на сторонніх ресурсах.

Представники UCA (Ukrainian Cyber Alliance) – проукраїнського хакерського консорціуму, стверджують, що у них є заражені «російським» вірусом X-agent – apk файли. При цьому додають, що інфікувати можна будь-який бінарний файл.

Крім того, представник UCA та хакерської групи RuH8 Sean Townsend стверджує, що зловмисниками таки була організована спірфішингова атака, але її швидко ідентифікували і інсталяцій інфікованого додатку на пристрої військових «практично не було». Також зазначається, що X-agent «вкрай примітивне програмне забезпечення і навіть в разі якщо б були встановлення інфікованого додатку, навряд чи за допомогою отриманих даних можна було спричинити якусь шкоду».

Під спірфішінгом експерти IT-індустрії розуміють дії кіберзлочинців, які отримують доступ до внутрішнього списку електронних адрес і потім розсилають інформаціюфайли під виглядом однієї з адрес з внутрішнього списку.

Представник UCA зазначає, що автор програмного забезпечення програміст та артилерист 55 артилерійської бригади ЗСУ Ярослав Шерстюк, жодним чином не винен у даній ситуації. Програмне забезпечення Шерстюка не було зламане, а висновки CrowdStrike: 80% знищених гаубиць Д-30, відмінну від одиниць кількість заражених пристроїв, можливість знімати дані з пристроїв, що знаходяться в зоні бойових дій – висмоктані з пальця. І з боку CrowdStrike  – це була «вкрай безвідповідальна і непрофесійна заява».

Також українські хакери стверджують, що сервери FancyBear раніше використовувались іншим програмним забезпеченням для розсилки спаму і атак на Bank of America, це дозволяє припустити, що за FancyBear та історією з «інфікованими .apk» стоїть не російське ГРУ, як стверджується у звіті CrowdStrike, а більш ймовірно ФСБ РФ. Sean Townsend стверджує, що це цілком в стилі ФСБ – наймати або залякувати російських кіберзлочинців, які засвітились раніше (атаки на Bank of America) для виконання державних завдань. Спеціалісти ГРУ працюють на порядок акуратніше і краще замітають сліди, стверджують у UCA.

Представники кібер-безпекового проекту MySpyBot в свою чергу звернулись до CrowdStrike з проханням надати для аналізу заражені apk файли від FancyBear але за два тижні так і не отримали жодної відповіді.

У звіті CrowdStrike стверджується, що на ряді форумів (при цьому не називаються конкретні) apk файл Шерстюка інфікований X-Agent почав розповсюджуватись «наприкінці 2014 року». Переважна більшість втрат української артилерії (і гаубиць Д-30 в тому числі) приходиться на червень-вересень 2014 року в період бойових дій в секторі Д (райони Зеленопілля, Краснодон, Старобешево, Амвросієвка, Іловайськ), а також в період активних бойових дій на Луганському напрямку. Це підтверджується і інформацією з відкритих джерел, у тому числі явно проросійських.

В даній ситуації дивною виглядає роль Crowd Strike – авторитетної американської компанії, одного з лідерів в галузі інформаційної безпеки, яка підготувала звіт з явно не точними, суб’єктивними  та компрометуючими даними, що майже відразу лягли за основу численних публікацій в світових та вітчизняних ЗМІ.

В результаті можна вважати, що викладена історія із зараженням – не більше ніж вдала інформаційно-психологічна операція російського ФСБ із залученням авторитетних західних джерел та журналістів. Ми маємо надію, що їх використовували всліпу і вони свідомо не йшли на співпрацю з російськими спецслужбами, проте будь яка версія потребує поглибленої перевірки західними структурами безпеки.

Автор Roman Sinicyn.

Інформація підготовлена спеціально для сайту InformNapalm.org. При повному або частковому використанні матеріалу активне посилання на автора і статтю на сайті обов’язкове.
(Creative Commons — Attribution 4.0 International — CC BY 4.0 )

Щоб оперативно отримувати сповіщення про нові розслідування InformNapalm, підписуйтеся на сторінки нашої спільноти у соцмережах Фейсбук та Твіттер.

Закликаємо читачів активно ділитися нашими публікаціями в соціальних мережах. Винесення матеріалів розслідувань в публічну площину здатне переломити хід інформаційного та бойового протистояння.

Джерело