Η έρευνα της παγκόσμιας ομάδας συλλογής πληροφοριών (όπως ονομάζεται) της CrowdStrike ξεκίνησε αυτή την έρευνα όταν τον Αύγουστο του 2016 εντόπισε μία νέα έκδοση του λογισμικού παρακολουθήσεων X-Agent σε κάποιες συσκευές Android στην Ουκρανία. Το λογισμικό αυτό έχει αναπτυχθεί από τη GRU και χρησιμοποιείται στη συντριπτική πλειοψηφία των επιχειρήσεων υποκλοπών της καθώς καλύπτει όλες τις επιχειρησιακές τους ανάγκες και αναπτύσσεται και επεκτείνεται από την υπηρεσία. Ερευνώντας αυτή τη νέα έκδοση του X-Agent, και σε συνεργασία με πολλούς άλλους οργανισμούς, εντόπισαν όλα όσα θα δούμε σε αυτό το άρθρο μας.
Η εφαρμογή που είχε κρυμμένο το λογισμικό ονομάζονταν «Попр-Д30.apk» και ήταν μία εφαρμογή υπολογισμών πυροβολικού ειδικά σχεδιασμένη για το πυροβόλο D-30 τύπου howitzer των 122 χιλιοστών που χρησιμοποιείται από τις Ουκρανικές δυνάμεις πυροβολικού. Ασφαλώς, και οι στρατιώτες δε θα εγκαθιστούσαν μία τυχαία εφαρμογή που έκανε κάτι τέτοιο, δεν είναι τόσο αδαή τα στελέχη της GRU. Η εφαρμογή ήταν μία τροποποιημένη εφαρμογή από έναν αξιωματικό πυροβολικού της 55ης Ταξιαρχίας Πυροβολικού της Ουκρανίας, του Γιάροσλαβ Σερστούκ. Σε συνέντευξη που είχε δώσει το 2013 σε κανάλι στρατιωτικού περιεχομένου είχε πει πως η εφαρμογή του χρησιμοποιούνταν από παραπάνω από 9000 στρατιώτες πυροβολικού στην Ουκρανία για να κάνουν πιο γρήγορους υπολογισμούς.
Ο παραπάνω αξιωματικός όμως δε διέθετε την εφαρμογή μέσω κάποιας επίσημης σελίδας όπως το GooglePlay, αλλά μέσω της προσωπικής του σελίδας με τίτλο «Програмное обеспечение современного боя» (Μοντέρνο λογισμικό μάχης) και σελίδων στο μέσο κοινωνικής δικτύωσης vKontakte (το αντίστοιχο Facebook στις χώρες της πρώην Σοβιετικής Ένωσης). Μάλιστα, μετά την έναρξη του πολέμου της Κριμαίας περισσότερες στρατιωτικές και παραστρατιωτικές μονάδες φαίνεται πως άρχισαν να χρησιμοποιούν αυτή την εφαρμογή. Η CrowdStrike ανακάλυψε για παράδειγμα ένα βίντεο στο οποίο φαίνονται Ουκρανικές ομάδες πυροβολικού να χρησιμοποιούν αυτή την εφαρμογή στις 18 Οκτωβρίου του 2015 σε επιχείρηση στην ανατολική Ουκρανία.
Όλα τα παραπάνω φαίνεται ότι τράβηξαν τη προσοχή της GRU για μία επιχείρηση SIGINT (Signals Intelligence, Υποκλοπές Πληροφοριών). Έτσι πήραν τη προαναφερθείσα εφαρμογή, τη μόλυναν με το πρόγραμμα παρακολουθήσεων X-Agent, και άρχισαν να τη διανέμουν μέσω σελίδων στρατιωτικού περιεχομένου προσποιούμενοι τον ίδιο Ουκρανό προγραμματιστή της. Αυτό σημαίνει ότι μέσω της εφαρμογής λάμβαναν σε πραγματικό χρόνο τα στίγματα GPS των μονάδων, τις ρυθμίσεις για βολές που έβαζαν-υπολόγιζαν, και σαφώς είχαν και τη δυνατότητα υποκλοπών με απομακρυσμένη ενεργοποίηση του μικροφώνου ή/και της κάμερας της συσκευής.
Σύμφωνα με την έρευνα της CrowdStrike και μετέπειτα του Διεθνούς Ινστιτούτου Στρατηγικών Μελετών, εκείνη τη περίοδο η Ρωσία εξαπέλυσε μία σειρά «χειρουργικών» βομβαρδισμών με μη επανδρωμένα αεροσκάφη στο βαρύ οπλισμό της Ουκρανίας στη περιοχή. Για την ακρίβεια, η αναφορά λέει ότι 15-20% όλων των πυροβόλων 122 χιλιοστών D-30 καταστράφηκε, ενώ κάποιες άλλες πηγές αναφέρουν για έως και το 80%. Αντίστοιχα, από αυτά τα τακτικά χτυπήματα ένας σημαντικός αριθμός στελεχών της 24ης και 72ης Μηχανοκίνητης Ταξιαρχίας καθώς και της 79ης Αερομεταφερόμενης Ταξιαρχίας έχασαν τις ζωές τους. Το Διεθνές Ινστιτούτο Στρατηγικών Μελετών αναφέρει ότι όλα αυτά τα χτυπήματα έγιναν με εναέρια μέσα που απογειώθηκαν από τη Ρωσία.
Κλείνοντας, εικάζεται βάσει των συλλεχθέντων πληροφοριών ότι το μολυσμένο πρόγραμμα υπήρχε εγκατεστημένο σε κινητά στρατιωτών πυροβολικού τουλάχιστον από τον Ιούλιο του 2014. Αυτή η πρόσφατη περίπτωση στρατιωτικής επιχείρησης συλλογής SIGINT δείχνει ξεκάθαρα το πως ακόμα και ένας στρατιώτης μπορεί να θέσει σε κίνδυνο μία ολόκληρη μονάδα από απροσεξία, το πως οι ξένες υπηρεσίες πληροφοριών θα αναζητούν οποιαδήποτε αδυναμία προς εκμετάλλευση, και τέλος, το πόσο εύκολα μία λάθος εγκατάσταση εφαρμογής μπορεί κυριολεκτικά να σε σκοτώσει.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου