Висновки звіту CrowdStrike про операції російських хакерів Fancy Bear можуть бути неправдивими. Кількість скептиків росте. У факт-чекінг включились хактивісти Українського Кіберальянсу (UCA).

22 грудня аналітична група CrowdStrike опублікувала доповідь, у якій заявила, нібито російське хакерське угруповання Fancy Bear причетне до злому мобільного додатка для українських артилеристів.

Цю сенсаційну новину підхопило багато ЗМІ, та мало хто вирішив провести факт-чекінг представлених висновків і заглибитися в результати доповіді.

У матеріалі російської служби BBC за 23 грудня розглянуто низку оцінок спеціалістів, які скептично висловилися щодо результатів та висновків, озвучених у доповіді.

Як зазначає CrowdStrike, пакет із закладкою для віддаленого доступу X-Agent поширювали на українських армійських форумах, а потім його могли використати, щоб вирахувати позиції артилеристів.

Але система поширення додатка, розробленого офіцером 55-ї окремої артилерійської бригади ЗСУ Ярославом Шерстюком, мала кілька ступенів захисту від потрапляння в непотрібні руки. Додаток давав особисто розробник для цільового використання, а ймовірність завантажити його з інших не офіційних джерел вкрай низька.

Оглядач Bloomberg View Леонід Бершидський також висловив низку скептичних оцінок:

«Сумніваюся, що хтось з українських військовиків завантажував би з форуму софт для наведення артилерійських гармат. Зазвичай вони добувають такий софт напряму у відомих їм розробників типу Шерстюка. Тому мені важко повірити, що цей заражений додаток, який знайшли десь в інтернеті і який, мабуть, ніколи не використовували українські військовики, може бути доказом зв’язку ГРУ з APT28». Та крім непрямих оцінок спеціалістів, які критично поставились до висновків CrowdStrike, до питання вивчення можливого витоку даних підключилися українські хактивісти із UCA.

Sean Townsend, один з хактивістів угруповання RUH8 (що входить до складу UCA, який став всесвітньо відомим після зломів канцелярії помічника президента РФ Владислава Суркова) також прокоментував сенсаційну доповідь CrowdStrike:

«Прочитав звіт компанії CrowdStrike під назвою «Fancy Bear стежить за українською артилерією». Як хакер, я недолюблюю індустрію безпеки, безпечники торгують страхом, але CrowdStrike не дотримується навіть тих убогих стандартів, яких дотримуються інші. Починається звіт гучною заявою про те, що втрати Д-30 ЗСУ сягають 80%. Цифру 80% озвучує не Інститут стратегічних досліджень, а colonelcassad (російський блогер-пропагандист – прим.ред), та навіть він, вкидаючи «80%», пояснює цифру не втратами, а передаванням техніки із ЗСУ в НГ (у звіті IISS у цьому розділі наведено «дуже точні» дані «some D-30» ). Далі у звіті стверджують (без пруфів), що атаку провели з допомогою «X-Agent для Android». У мене кілька запитань: де хеші, де адреси центрів управління, де оцінка кількості заражених телефонів? А це взагалі X-Agent? Я розумію, що зараз плануються слухання в Конгресі про «російських хакерів» і CrowdStrike хоче довести свою корисність, але, я вважаю, така поведінка безвідповідальна.

(Фото: скріншот коду шкідливої програми)

У нас уже є зразки шкідливого ПЗ, яке CrowdStrike пов’язують з Fancy Bear, висновки будуть пізніше. Зомбі-комуністів із ГРУ не обіцяю. Я високо оцінюю пост-радянську хакерську сцену, але демонізувати російських хакерів не треба, парочку ми зламали, і це було істерично смішно. Скріншот дуже підриває версію про «дуже страшних російських хакерів із ГРУ». Ви бачите на скріншоті незрозумілі букви та цифри, а для спеціаліста там палахкотить величезний вогненний напис «ЦЕЙ КОД ПИСАВ І ВИКОРИСТОВУВАВ ДОВБО@Б».

Міжнародна розвідувальна спільнота InformNapalm періодично представляє для широкої аудиторії матеріали, що ґрунтуються на аналізі даних, добутих хактивістами UCA. Як тільки ми матимемо повний спектр інформації, після аналізу вихідних даних хактивістами, обов’язково проінформуємо суспільство про деталі. Стежте за оновленнями у розділі «Хактивізм».

Інформація підготовлена спеціально для сайту InformNapalm.org. При повному або частковому використанні матеріалу активне посилання на статтю на сайті обов’язкове.

(Creative Commons — Attribution 4.0 International — CC BY 4.0 )



Хочете оперативно отримувати сповіщення про нові розслідування InformNapalm? — підписуйтеся на сторінки нашої спільноти у соцмережах Фейсбук та Твіттер.

Закликаємо читачів активно ділитися нашими публікаціями в соціальних мережах. Винесення матеріалів розслідувань в публічну площину здатне переломити хід інформаційного та бойового протистояння.