"Других экспертов у меня для Вас нет"(с)
Я, конечно, тормоз. И многое узнаю с сильным запозданием. Так и на пост colonelcassad'a я натолкнулся только сейчас. Ситуация описанная там близка к абсурдной. Потому полез проверять.
Исходная статья в Дайли Майл находится http://www.dailymail.co.uk/news/article-4376628/New-questions-claim-Russia-hacked-election.html#ixzz4dRgDW34o
Ее перевод https://www.inopressa.ru/article/06apr2017/dailymail/cyber.html Точно не выверял, но по беглому просмотру перевод верен.
Бррр... сказал я и полез искать сам доклад crowdstrike. Благо все есть у них на сайте. Хотите -
читайте pdf-файл, хотите - просто html.
Краткий пересказ сего дивного творения:
- Ярославом Шерстуком из 55 артбригаде ВСУ было разработано приложение Попр-Д30.apk (Поправки-Д30) Где-то между 20 февраля и 13 апреля 2013. Приложение сделано для облегчения таргетирования гаубиц Д-30
- 28 апреля 2013 года, "человек с таким же именем, как разработчик приложения" (мля! в официальном документе "с таким же именем". Что, связаться с разработчиком слабо было?) выложил инфу о этом приложении вконтактике
- разработчик контролирует распространение приложения, оно активируется только при связи с ним и выдаче кода активации
- Где-то между апрелем 2013 и началом декабря 2014 приложение инфицировано X-Agent FANCY BEAR. При этом crowdstrike, указывая что первый случай инфекции датируется 21 декабря 2014, мило так упускает место датировки. Дело в том, что Play Market из рассмотрения она выводит "The control measures established by the developer to limit the use and proliferation of the Попр-Д30.apk application, coupled with its unique purpose, make its broad distribution on the Android store improbable". Только замечание, что это было на "украинском военном форуме".
- распространенность данного заражение так же не указана. Ее crowdstrike попросту не знает. Можно сделать только предположение, что это касалось только пиратских копий, взятых с некого украинского сайта.
И это собственно все. Вообще все. Остальное занимают фантазии на тему. Дескать приложение используется в ВСУ. Дескать ВСУ потеряли до 80% гаубиц Д-30. Этожжжж не спроста. Да, да, в данном отчете 80% Вы не увидите, теперь говорят о от 15% до 20% Переобулись в прыжке и исправили цифру. Именно о том, что говорил colonelcassad и статья в Дейли Майл. Не с проста ведь в одном из подразделений ВСУ видели БПЛА перед атакой на него "Eyewitness accounts from individuals within the impacted units reported seeing an unmanned aerial vehicle (UAV) used in the area prior to one attack" :-) Догадаться, что этого БПЛА вообще-то достаточно что бы обнаружить батарею и без всякого зараженного софта - это не для данных эхпертов.
Вишенкой на тортик выглядят "выводы" crowdstrike:
"A malware-infected Попр-Д30.apk application probably could not have provided all the necessary data required to directly facilitate the types of tactical strikes that occurred between July and August 2014" - "Возможно, зараженное инфицированное приложение Попр-Д30.apk, возможно, не предоставило всех необходимых данных для непосредственного облегчения типов тактических ударов, произошедших в период с июля по август 2014 года" - Дважды "возможно". Сплошная неопределенность и гадание. При этом, тут же "The X-Agent Android variant does not exhibit a destructive function and does not interfere with the function of the original Попр-Д30.apk application" - "Вариант Android X-Agent не проявляет деструктивной функции и не мешает функции оригинального приложения"
Это прелестно, когда наводят тень на плетень всякими "возможно" и тут же сознаются - нет там такой функции.
Ну и что у нас в сухом остатке? Возможно :-) какие-то подразделения ВСУ пользовались зараженным приложением, чьи пиратские копии, возможно :-) распространялись через украинский форум. Но виноваты в потерях ВСУ и во всем этом - российские хакеры. Вне всяких сомнений и без всяких "возможно".
P.S. Кому будут интересны технические детали о этом трояне. Из интересного там:
- он вообще не использует GPS-модуль, хотя грубо инфу о местоположении можно и установить, если есть доступ к базовой телефонной станции:-)
- "имеет сходство с X-Agent-имплантатами группы Fancy Bear/APT28/Sofacy, [...] но это не обязательно является доказательством взаимосвязи" - расскажите о этом эхпертам crowdstrike
- для переменной, по умолчанию задано "«nichts», что означает «ничего» на немецком языке" - Берлин бомбить будем? :-)
- собирает данные о телефоне, его вызовах, sms, историю бровсера, файлы на sdcard и данные о системе, отправляя все это на удаленный сервер 69.90.132.215 - да и Канаду неплохо бы забомбить :-)
Воровство личных данных и файлов это вовсе не гут. Но каким макаром это влияет на потери ВСУ... Я не знаю... Спросите у crowdstrike, их эхперты должны быть в курсе.
Исходная статья в Дайли Майл находится http://www.dailymail.co.uk/news/article-4376628/New-questions-claim-Russia-hacked-election.html#ixzz4dRgDW34o
Ее перевод https://www.inopressa.ru/article/06apr2017/dailymail/cyber.html Точно не выверял, но по беглому просмотру перевод верен.
Бррр... сказал я и полез искать сам доклад crowdstrike. Благо все есть у них на сайте. Хотите -
читайте pdf-файл, хотите - просто html.
Краткий пересказ сего дивного творения:
- Ярославом Шерстуком из 55 артбригаде ВСУ было разработано приложение Попр-Д30.apk (Поправки-Д30) Где-то между 20 февраля и 13 апреля 2013. Приложение сделано для облегчения таргетирования гаубиц Д-30
- 28 апреля 2013 года, "человек с таким же именем, как разработчик приложения" (мля! в официальном документе "с таким же именем". Что, связаться с разработчиком слабо было?) выложил инфу о этом приложении вконтактике
- разработчик контролирует распространение приложения, оно активируется только при связи с ним и выдаче кода активации
- Где-то между апрелем 2013 и началом декабря 2014 приложение инфицировано X-Agent FANCY BEAR. При этом crowdstrike, указывая что первый случай инфекции датируется 21 декабря 2014, мило так упускает место датировки. Дело в том, что Play Market из рассмотрения она выводит "The control measures established by the developer to limit the use and proliferation of the Попр-Д30.apk application, coupled with its unique purpose, make its broad distribution on the Android store improbable". Только замечание, что это было на "украинском военном форуме".
- распространенность данного заражение так же не указана. Ее crowdstrike попросту не знает. Можно сделать только предположение, что это касалось только пиратских копий, взятых с некого украинского сайта.
И это собственно все. Вообще все. Остальное занимают фантазии на тему. Дескать приложение используется в ВСУ. Дескать ВСУ потеряли до 80% гаубиц Д-30. Этожжжж не спроста. Да, да, в данном отчете 80% Вы не увидите, теперь говорят о от 15% до 20% Переобулись в прыжке и исправили цифру. Именно о том, что говорил colonelcassad и статья в Дейли Майл. Не с проста ведь в одном из подразделений ВСУ видели БПЛА перед атакой на него "Eyewitness accounts from individuals within the impacted units reported seeing an unmanned aerial vehicle (UAV) used in the area prior to one attack" :-) Догадаться, что этого БПЛА вообще-то достаточно что бы обнаружить батарею и без всякого зараженного софта - это не для данных эхпертов.
Вишенкой на тортик выглядят "выводы" crowdstrike:
"A malware-infected Попр-Д30.apk application probably could not have provided all the necessary data required to directly facilitate the types of tactical strikes that occurred between July and August 2014" - "Возможно, зараженное инфицированное приложение Попр-Д30.apk, возможно, не предоставило всех необходимых данных для непосредственного облегчения типов тактических ударов, произошедших в период с июля по август 2014 года" - Дважды "возможно". Сплошная неопределенность и гадание. При этом, тут же "The X-Agent Android variant does not exhibit a destructive function and does not interfere with the function of the original Попр-Д30.apk application" - "Вариант Android X-Agent не проявляет деструктивной функции и не мешает функции оригинального приложения"
Это прелестно, когда наводят тень на плетень всякими "возможно" и тут же сознаются - нет там такой функции.
Ну и что у нас в сухом остатке? Возможно :-) какие-то подразделения ВСУ пользовались зараженным приложением, чьи пиратские копии, возможно :-) распространялись через украинский форум. Но виноваты в потерях ВСУ и во всем этом - российские хакеры. Вне всяких сомнений и без всяких "возможно".
P.S. Кому будут интересны технические детали о этом трояне. Из интересного там:
- он вообще не использует GPS-модуль, хотя грубо инфу о местоположении можно и установить, если есть доступ к базовой телефонной станции:-)
- "имеет сходство с X-Agent-имплантатами группы Fancy Bear/APT28/Sofacy, [...] но это не обязательно является доказательством взаимосвязи" - расскажите о этом эхпертам crowdstrike
- для переменной, по умолчанию задано "«nichts», что означает «ничего» на немецком языке" - Берлин бомбить будем? :-)
- собирает данные о телефоне, его вызовах, sms, историю бровсера, файлы на sdcard и данные о системе, отправляя все это на удаленный сервер 69.90.132.215 - да и Канаду неплохо бы забомбить :-)
Воровство личных данных и файлов это вовсе не гут. Но каким макаром это влияет на потери ВСУ... Я не знаю... Спросите у crowdstrike, их эхперты должны быть в курсе.