У серпні та вересні 2016 року сервера Національного комітету демократичної партії США двічі піддавалися атакам хакерів. Компанія Crowdstrike, яка допомагала розслідувати інцидент, в обох випадках вийшла на "російський слід" — хакерське угруповання Fancy Bear, нібито спонсируемую російськими властями. А тепер Crowdstrike виявила активність цього угруповання в Україні, йдеться в звіті компанії, який був опублікований 22 грудня. За її даними фахівців, в тому числі з-за дій російських хакерів українські військові втратили майже половину техніки за два роки. Найбільше було знищено гаубиць близько 80%. Чому це сталося і чого чекати в майбутньому, з'ясовувало РБК-Україна.
За даними Crowdstrike, історія почалася ще в 2013 році. Тоді офіцер збройних сил України Ярослав Шерстюк придумав додаток "Попр-Д30", що поліпшує прицільність старих радянських гаубиць Д-30. У 2013 році війни в Україні ще не було. Але фахівці Crowdstrike на основі міток часу створення файлу встановили, що додаток було написано в лютому-квітні 2013 року. Незабаром після цього людина з таким же ім'ям, як у розробника, став просувати свій додаток у соціальній мережі "ВКонтакте". Дистрибуція контролювалася з головної сторінки автора "Програмне забезпечення сучасного бою". В якості додаткової міри розробник особисто видавав користувачам коди для індивідуального завантаження додатка, і тільки після цього воно починало працювати.
На момент написання звіту фахівці Crowdstrike не змогли точно встановити, в яких обсягах Збройні сили України використовували це додаток. За їх оцінками, до 2016 року, користувачами "Попр-Д30" була, щонайменше, одна артилерійська бригада на сході країни. Сам розробник наприкінці 2015 року розповідав в ефірі телеканалу "2+2", що програма вже завантажила близько 9 тисяч артиллерийцев.
Додаток Шерстюка дійсно дуже допомогло українським військовим. Воно встановлювалося на планшети під управлінням ОС Android і дозволяло швидко розрахувати точні координати цілі. У результаті час прицілювання гаубиць Д-30 скоротилося з декількох хвилин до 15-20 секунд.
В кінці 2014 року, коли розгорівся конфлікт між Україною і Росією, на українських військових форумах почали з'являтися версії цього додатка, але вже заражені шкідливим імплантом X-agent. "Додаток для військ, що грають вирішальну роль в українській лінії оборони на східному фронті, з великою часткою ймовірності стало б пріоритетом для розробників шкідливих програм з Росії, які намагаються повернути конфлікт на свою користь", - йдеться у звіті Crowdstrike.
Використовуючи уразливість в додатку, хакери отримали доступ до геолокациям українських військових, що дозволило противнику вести прицільний бій. У звіті наголошується, що самі по собі дані з заражених планшетів не давали бойовикам 100% інформації про місцезнаходження української техніки. Але вони показували, куди відправити безпілотник і дозволяли точніше спланувати атаку.
Розробник програми "Попр-Д30" Ярослав Шерстюк відразу після публікації звіту піддав його критиці. На своїй сторінці в соціальній мережі Facebook він назвав інформацію про злом "неправдивою", а також припустив, що це "інформаційний вкидання".
За його словами, у звіті згадується одна з попередніх версій програми. Крім "Попр-Д30" були ще додатка "РУ(батр)" і "ТОПО". Але зараз вони не актуальні, так як є нове "УКРОП". Тому розробник закликав користувачів видалити старі версії, якщо такі ще використовуються, і встановити актуальне додаток.
Деякі дані, оприлюднені Crowdstrike, дійсно не знаходять підтвердження в офіційних джерелах. Наприклад, обсяг втрат техніки на фронті ніколи не озвучувався українськими військовими.
Втім, як каже фахівець з кібербезпеки компанії Berezha Security Влад Стыран, звіти Crowdstrike заслуговують довіри. Він припускає, що в додатку Шерстюка була критична уразливість, яку і використовували хакери. "Отримати доступ до коду можна різними способами. А захиститися можна тільки тоді, коли в коді немає критичних вразливостей", - розповідає Стыран. Без самого коду, за його словами зробити точні висновки про притаманних йому уразливість не можна. Тому поки що всі розмови про це - здебільшого спекуляція. Але в будь-якому випадку уникнути проблем можна було б, якби спочатку до роботи над додатком залучили експертів з безпеки програмного забезпечення. Крім того, варто опублікувати додаток таким чином, щоб можна було його своєчасно і безпечно оновлювати.
почали Своє розслідування і Збройні сили України. "Якраз зараз ми збираємо інформацію від артилерійських бригад. Це серйозне питання, тому ми повинні всебічно її вивчити", - повідомив РБК-Україна спікер Генштабу ЗСУ Владислав Селезньов. За його словами, з огляду на резонанс справи, інформація буде зібрана в максимально короткі терміни.
У Crowdstrike відзначають, що це перший випадок злому російськими хакерами мобільного додатку. І хоча шкідливий імплант спочатку був виявлений в бойових умовах, не виключено, що хакери будуть застосовувати його в невійськових цілях, враховуючи кількість мобільних пристроїв у населення і повсюдне підключення до інтернету.