Хакеры из Fancy Bear шпионили за украинской армией через Android-троян с 2014 по 2016-й — исследование

10364
4

Хакерскую группировку Fancy Bear, которую связывают с российским правительством и атаками на Демократическую партию в ходе прошедших президентских выборов в США, заподозрили в слежке за украинской армией с 2014-го по 2016-й годы. Об этом сообщает Reuters со ссылкой на отчет компании Crowdstrike, которая специализируется на кибербезопасности. В компании считают, что шпионаж осуществлялся посредством Android-трояна, которым заражали устройства украинских артиллеристов.

Попадая на устройство, вредонос мог перехватывать коммуникации и данные о его местоположении. По мнению составителей исследования, эта информация могла в дальнейшем быть использована для атак на украинские артиллерийские подразделения в боях на востоке страны.

Оранжевым на схеме отечен период развртывания и использования вредоноса-шпиона

Оранжевым на схеме отечен период развертывания и использования вредоноса-шпиона

Как сообщает Reuters, свидетельства, обнаруженные экспертами Crowdstrike, позволяют западным исследователям и чиновникам в сфере кибербезопасности укрепиться в мысли, что российский президент Владимир Путин все больше использует хакеров для атак на своих геополитических противников. Группировка Fancy Bear, также известная как APT 28, по мнению американских чиновников, работает непосредственно на российское Главное разведывательное управление (ГРУ). По заключениям ЦРУ и ФБР, Fancy Bear и другие российские хакеры неоднократно вмешивались в предвыборный процесс в США, а по мнению двух правительственных чиновников, даже поспособствовали победе Дональда Трампа. Россия, впрочем, отрицает какую-либо причастность, как и новоизбранный президент Трамп.

В заключении экспертов говорится, что вредонос, который шпионил за украинской армией, принадлежит к тому же виду, что и троян, использовавшийся для атаки на демократов в ходе выборов. Об этом информагентству сообщил сооснователь CrowdStrike Дмитрий Алперович. По его мнению, эта связь и то, что конкретные украинские военные подразделения, атакованные трояном, понесли подозрительно большие потери, говорят о причастности именно Fancy Bear. «Это не может быть какая-то независимая группа или просто кучка преступников, они должны быть связаны с российскими военными», — заявил Алперович.

По мнению CrowdStrike, вредонос был внедрен в легитимное ПО, позволяющее ускорить обработку данных о координатах цели, которое разработал украинский офицер Ярослав Шерстюк. Его распространение позволяло пророссийским хакерам получать информацию о передвижении и дислокации украинских войск и предоставлять сепаратистам другую стратегическую информацию. Ссылка на зараженное приложение распространялась через аккаунт ВСУ в социальной сети «ВКонтакте». По данным CrowdStrike, в магазине Google Play приложения не было, что несколько ограничивало его распространение.

В исследовании также подчеркивают, что это первый зафиксированный кейс использования группировкой Fancy Bear платформы Android для разработки вредоносного ПО.

UPD: Ярослав Шерстюк опроверг вероятность взлома ПО, которое он разрабатывал. Он назвал заключения CrowdStrike вбросом и заявил, что ПО находится под его контролем, исключив наличие любых посторонних модулей. Распространяет программу Ярослав лично, а не через интернет.

К слову, AIN.UA ранее писал о программном комплексе управления огнем артиллерии ArtOS, созданный Ярославом на базе Noosphere ENGINEering School. Однако, по словам директора по инновациям Noosphere и основателя Noosphere Engineering School, Михаила Рябоконя, взломать данный комплекс невозможно. «Для этого хакерам было бы необходимо взломать корневые каталоги, плюс там даже нет GSM-модуля для выхода в интернет, он использует военные системы связи и это — замкнутая система», — пояснил он в комментарии AIN.UA. Более того, ArtOS был передан на вооружение только в конце 2015-начале 2016 года пяти батальонам, и все они, по словам Михаила, на сегодняшний день целы и невредимы.

Единственный вариант, который теоретически могли использовать хакеры — это клон приложения, разработанного Ярославом в 2014 году, и снятого с вооружения. При этом хакеры должны были бы распространять инфицированный клон по своим каналам, привлекая на него пользователей.

Напомним, хакеры, атаковавшие в начале декабря сайты Министерства финансов, Государственной казначейской службы и Пенсионного фонда Украины, вывели из строя сетевое оборудование. Позже глава РНБО Александр Турчинов заявил, что атака исходила из России.

Оставить комментарий

Комментарии | 4

  • Похоже на какое-то фуфло. Как заражены? Через какой-то форум? Что за бред? Планшеты поставлялись волонтерскими организациями Армия SOS и другими, с предустанвленным ПО. ПОкупались также на волонтерские деньги — туда изначально ничего прошить было невозможно. И уж конечно, не выкладывались ни на какие «артеллерийские форумы», откуда продвинутые военные могли бы что-то скачать…

  • Дивно дивно… Засновник Crowdstrike — москалик) Автор ПО Ярослав Шерстюк пише на ФБ що це все фуфло… І я теж смутно собі уявляю це зараження апи… Хоча в теорії це реально, але для чого коли є безпілотники?

  • Херня собачья. Для того, что бы внедрить отслеживающюю програму в андроид экоситсему, пользователь должен установить сторонее приложение (трояна) с разрешением на отслеживание геолокации. Т.е. для этого человек с андроид устройством для артилерии, должен зайти на вредоносный сайт, получить запрос на скачивание вредоносного приложения. Скачать его, добавить в настройках разрешение на установку приложений из непровереных источников. И при установке этого приложения увидеть уведомление, что текущее приложение будет считывать координаты устройства и подтвердить установку. Вброс для лохов… Даже если 1-2 человека совершили по тупости такую манипуляцию, то это ни как не все позиции артилерии. Не нагоняйте страха о суперкибер шпионов Путина. Или тогда пишите механизм взлома корректнее. Последняя возможность, это если артилеристы начали скачивать приложение для артилерии из непровереных источников, но это тоже дебилизм военных…

  • Студент снял короткометражку о том, как неделями следил за укравшим его смартфон
    http://ain.ua/korotkometrazhku-o-tom-kak-sledil-za-vorom
    Думаю слежение за кем либо вообще не есть проблема, когда у человека есть смартфон, спецслужбы и по фотографии могут определить координаты с точностью до 500 метров, а где фото взять, конечно же соцсети, ведь инструктаж никто не проходил по кибербезопасности, и фото никто не запрещал выставлять с сетях.
    Разве рядовой солдат задумывается над тем что скачав картинку, приложение, фильмы, музыку и так дальше он может кому то засветить данные, когда gps включен все время и по умолчанию разрешено отслеживание для всех программ???
    И ссылка на статью выше отлично это показывает, что даже после перепрошивки, и установки антивируса, есть программы которые продолжают делать свою работу…

Поиск