как появилась брешь в украинской артиллерии

В августе и сентябре 2016 года сервера Национального комитета демократической партии США дважды подвергались хакерским атакам. Компания Crowdstrike, которая помогала расследовать инцидент, в обоих случаях вышла на "российский след" — хакерскую группировку Fancy Bear, якобы спонсируемую российскими властями.

А теперь Crowdstrike выявила активность этой группировки в Украине, говорится в отчете компании, который был опубликован 22 декабря. По данным ее специалистов, в том числе из-за действий российских хакеров украинские военные потеряли почти половину техники за два года. Больше всего было уничтожено гаубиц — около 80%.

Почему это произошло и чего ждать в будущем, выясняло РБК-Украина.

Российский след

По данным Crowdstrike, история началась еще в 2013 году. Тогда офицер вооруженных сил Украины Ярослав Шерстюк придумал приложение "Попр-Д30", улучшающее прицельность старых советских гаубиц Д-30. В 2013 году войны в Украине еще не было. Но специалисты Crowdstrike на основе меток времени создания файла установили, что приложение было написано в феврале-апреле 2013 года. Вскоре после этого человек с таким же именем, как у разработчика, стал продвигать свое приложение в социальной сети "ВКонтакте". Дистрибуция контролировалась с главной страницы автора "Программное обеспечение современного боя". В качестве дополнительной меры разработчик лично выдавал пользователям коды для индивидуальной загрузки приложения, и только после этого оно начинало работать.

На момент написания отчета специалисты Crowdstrike не смогли точно установить, в каких объемах Вооруженные силы Украины использовали это приложение. По их оценкам, к 2016 году, пользователями "Попр-Д30" была, по меньшей мере, одна артиллерийская бригада на востоке страны. Сам разработчик в конце 2015 года рассказывал в эфире телеканала "2+2", что приложение уже загрузило около 9 тысяч артиллерийцев.

Приложение Шерстюка действительно очень помогло украинским военным. Оно устанавливалось на планшеты под управлением ОС Android и позволяло быстро рассчитать точные координаты цели. В результате время прицеливания гаубиц Д-30 сократилось с нескольких минут до 15-20 секунд.

В конце 2014 года, когда разгорелся конфликт между Украиной и Россией, на украинских военных форумах начали появляться версии этого приложения, но уже зараженные вредоносным имплантом X-agent. "Приложение для войск, играющих решающую роль в украинской линии обороны на восточном фронте, c большой долей вероятности стало бы приоритетом для разработчиков вредоносных программ из России, старающихся повернуть конфликт в свою пользу", - говорится в отчете Crowdstrike.

Используя уязвимость в приложении, хакеры получили доступ к геолокациям украинских военных, что позволило противнику вести прицельных бой. В отчете отмечается, что сами по себе данные с зараженных планшетов не давали боевикам 100% информации о местоположении украинской техники. Но они показывали, куда отправить беспилотник и позволяли точнее спланировать атаку.

Версия разработчика

Разработчик приложения "Попр-Д30" Ярослав Шерстюк сразу после публикации отчета подверг его критике. На своей странице в социальной сети Facebook он назвал информацию о взломе "неправдивой", а также предположил, что это "информационный вброс".

По его словам, в отчете упоминается одна из ранних версий приложения. Помимо "Попр-Д30" были еще приложения "РУ(батр)" и "ТОПО". Но сейчас они неактуальны, так как есть новое ПО "УКРОП". Поэтому разработчик призвал пользователей удалить старые версии, если такие еще используются, и установить актуальное приложение.

Некоторые данные, обнародованные Crowdstrike, действительно не находят подтверждения в официальных источниках. Например, объем потерь техники на фронте никогда не озвучивался украинскими военными.

Впрочем, как говорит специалист по кибербезопасности компании Berezha Security Влад Стыран, отчеты Crowdstrike заслуживают доверия. Он предполагает, что в приложении Шерстюка была критическая уязвимость, которую и использовали хакеры. "Получить доступ к коду можно разными способами. А защититься можно только тогда, когда в коде нет критических уязвимостей", - рассказывает Стыран. Без самого кода, по его словам сделать точные выводы о присущих ему уязвимостях нельзя. Поэтому пока что все разговоры об этом - по большей части спекуляция. Но в любом случае избежать проблем можно было бы, если бы изначально к работе над приложением привлекли экспертов по безопасности программного обеспечения. Кроме того, стоило опубликовать приложение таким образом, чтобы можно было его своевременно и безопасно обновлять.

Свое расследование начали и Вооруженные силы Украины. "Как раз сейчас мы собираем информацию от артиллерийских бригад. Это серьезный вопрос, поэтому мы должны всесторонне его изучить", - сообщил РБК-Украина спикер Генштаба ВСУ Владислав Селезнев. По его словам, учитывая резонанс дела, информация будет собрана в максимально короткие сроки.

В Crowdstrike отмечают, что это первый случай взлома российскими хакерами мобильного приложения. И хотя вредоносный имплант изначально был обнаружен в боевых условиях, не исключено, что хакеры будут применять его в невоенных целях, учитывая количество мобильных устройств у населения и повсеместное подключение к интернету.