Атака на гаубицы. Как российские хакеры наводили на наших военных
Российские хакеры взломали приложение украинских артиллеристов, из-за чего армия потеряла 80% украинских гаубиц Д-30. Об этом говорится в отчете американской компании CrowdStrike, которая занимается технологиями кибербезопасности. Новость уже успели опубликовать, не углубляясь в детали, американский Forbes, Reuters, Guardian и другие именитые издания. Из-за этого сообщения украинские военные могут лишиться полезных приложений, которые помогают им воевать в АТО. ЛІГА.net разобралась, что произошло на самом деле.
Суть приложения
В отчете рассматривается приложение Попр-Д30.apk, разработанное украинским военным Ярославом Шерстюком в 2013 году. Оно помогает нашим артиллеристам автоматически рассчитывать данные для стрельбы артиллерийских орудий. Причем, делает это в считанные секунды, когда этот процесс вручную занимает около 3-х минут. Военные вводят в него координаты цели, показатели погодных условий и координаты своего орудия.
Приложение работает на Android. Доступ к нему можно получить только по специальному коду. "После того, как военный скачивает это приложение себе на устройство, он звонит по телефону мне и диктует код, полученный при загрузке приложения. В ответ я диктую еще один код, который и дает доступ в приложение", - рассказал Шерстюк каналу 2+2. По его словам, по состоянию на октябрь 2015 года, пользователей программы было уже порядка 9000.
Компания CrowdStrike же пишет в своем отчете, что в приложении был обнаружен вредоносный имплант для удаленного доступа к устройству (X-Agent). Оно якобы передает данные о координатах украинских артиллеристов злоумышленникам. Как рассказал сооснователь CrowdStrike Дмитрий Альперович в интервью Reuters, это дополнение является вариантом того типа вируса, который ранее использовали российские хакеры Fancy Bear для кибератак на Национальный комитет Демократической партии США во время предвыборной кампании. Как оно оказалось в украинском приложении?
Гуляй, приложение
Как объяснил ЛІГА.net СЕО компании CyS Centrum LLC Николай Коваль, есть два варианта распространения этой вредоносной программы: "Либо автор распространял уже заведомо модифицированную программу (зная или не зная об этом), либо программа распространялась с ресурса по ссылке, где могла быть подменена. И оставалось только скачать, установить и запросить подтверждение у автора".
Сайт, где были размещены старые программы Ярослава Шерстюка, уже не работает. А размещен он был на российском uCoz. IT-специалист Евгений Максименко предположил, что это могло быть одной из причин взлома приложения. Поскольку в отчете CrowdStrike говорится, что Fancy Bear связана с ФСБ, то российская служба, имея доступ к хостингу, могла скачать приложение, переделать его и залить на старое место. И тогда пользователи, думая, что качают официальную программу, получали ее переписанную версию.
Согласно отчету CrowdStrike, приложение с вредоносным дополнением начало распространятся в сообществах соцсети ВКонтакте, связанных с украинской армией.
Что с этими версиями не так
В отчете CrowdStrike указано, что вредоносное ПО требует доступ к смс, контактам, журналу вызовов и интернет-данным. Однако Евгений Максименко объяснил ЛІГА.net, что все эти требования нельзя незаметно прописать в программу. При установке любого приложения на Android высвечивается окно, в котором прописано, какие разрешения требует приложение. Это мера безопасности, которую невозможно обойти.
Максименко знаком с программой Шерстюка Попр-Д30.apk. Он рассказал, что это обычный калькулятор, которому не нужен доступ в интернет. Поэтому, если на этапе установки приложения, в окне с требуемыми разрешениями прописан доступ к смс, контактам и интернету, пользователю стоит задуматься. Ведь, зачем калькулятору доступ к подобным данным?
Читайте также: Кибервойна полным ходом: готова ли Украина отражать новые удары?
Получается, пользователи программы могли просто проигнорировать это окно и автоматически нажали "установить". Как большинство людей делает с другими приложениями.
Незаметными эти настройки могли быть только в случае, если кто-то их прописал еще при разработке программы. Максименко пояснил, что у всех приложений есть файл манифеста, в котором вручную прописываются все нужные приложению разрешения. Однако разработчик бы заметил изменения в этом файле, говорит Максименко, ведь он заходит в него по 10 раз в день.
Мутная история
В отчете CrowdStrike говорится, что доступ российских хакеров к программе украинских артиллеристов помогает им получать координаты украинского орудия и уничтожать его. Согласно отчету, с 2013 (кстати, в 2013 году еще не было никаких военных действий) по 2016 года украинская армия потеряла 80% гаубиц Д-30, что составляет наибольшую долю потерь среди всех видов техники. Забавно, что данные компания взяла из статьи симферопольского блогера, которому один из его читателей выслал сравнительный анализ отчетов Military Balance от аналитического агентства International Institute for Strategic Studies. Симферопольский блогер Colonel Cassad опубликовал отчеты Military Balance за 2013 и 2016 год. Английский перевод его статьи и находится в источниках отчета CrowdStrike. Вот только проверить правдоподобность данных в статье блогера, можно, купив, официальный отчет Military Balance за 350 фунтов. Похоже, CrowdStrike эту сумму потратить не решилась. CrowdStrike - хорошо известная в Штатах компания. В 2015 году Google Capital привел в нее $100 млн инвестиций, а инсайдеры оценивали тогда компанию в $1 млрд
Примечательно, что в Минобороны не знают, где можно получить информацию об утраченной в АТО технике. В пресс-службе министерства вообще назвали запрос ЛІГА.net скучным, потому что "в нем слишком много слогов". Потом Минобороны перенаправил корреспондента ЛІГА.net с запросом в пресс-службу Генштаба. Оттуда - к начальнику пресс-службы АТО. И никто из них не смог ни подтвердить, ни опровергнуть информацию о 80% потерянных гаубиц Д-30. А касательно самой новости о взломе приложения украинских артиллеристов в органах предположили, что это фейк. Скорее всего.
Что с этим всем делать
У украинской армии существует множество вспомогательных программ. Их разрабатывают волонтеры или же сами военные, как Шерстюк, по ночам. Евгений Максименко - один из таких волонтеров. Он рассказал ЛІГА.net, что государство никак эти программы не поддерживает и не финансирует. По-хорошему, каждую такую разработку нужно проверять на целостность софта, а для этого требуются немалые деньги. "Где военному или волонтеру их взять?", - спрашивает Максименко. Военное начальство уже пыталось запретить солдатам использовать мобильные телефоны в АТО, продолжает он. "И из-за новости о взломе ведомство может запретить и подобные вспомогательные программы. Только без них на фронте не обойтись", - говорит Максименко.
Если Минобороны вопросом проверки приложений так и не займется, то, пожалуй, можно хотя бы проинформировать пользователей о правилах использования таких программ.
Читайте также: Киевстар штормит. Хакеры научились отключать мобильную связь
Во-первых, если на устройстве установлена официальная программа, то установить обновление, переписанное другим разработчиком, не получится. По словам Максименко, у этих программ разные ключи, и настройки безопасности Android предупреждают об этом. Во-вторых, при первой установке приложения нужно всегда читать разрешения, которые оно требует. И тут властям стоило бы позаботиться об этом.
В заключении: сделать однозначные выводы по новости взлома российскими хакерами украинской программы сложно. Программу Шестюка нужно проверить: сравнить коды официальной версии и любой другой, скачанной из ВКонтакте (поскольку там, по версии CrowdStrike, и распространялась зараженная программа). И только если окажется, что коды действительно отличаются, либо же в официальную версию было изначально внесено вредоносное дополнение, можно делать выводы. А пока это просто ничем не подтвержденная информация. И повод для органов обороны обратить внимание на безопасность украинских военных.
Маша Ксендзик
Подписывайтесь на аккаунт ЛІГА.net в Twitter, Facebook, ВКонтакте и Одноклассниках: в одной ленте - все, что стоит знать о политике, экономике, бизнесе и финансах.