Напомню предысторию. 22 декабря прошлого года CrowdStrike опубликовала отчет с результатами своего расследования, согласно которому «русские хакеры», стоявшие за взломом DNC (а его также расследовала компания Альперовича), взломали и артиллерийское приложение, разработанное в Украине, что позволило российскому ГРУ получать доступ к координатам украинской артиллерии и выводить ее из строя. По версии CrowdStrike благодаря «русским хакерам» Украина потеряла до 80% своей боевой техники определенной модели.
23-го марта Международный институт стратегических исследований обвинил CrowdStrike в подтасовке данных, а точнее в манипулировании выводами, сделанными на основе данных, собранных IISS. Это привело к тому, что CrowdStrike вынуждена была сначала убрать нашумевший отчет со своего сайта, а потом внести в него несколько изменений, дезавуировавших прошлые заявления о потерях ВСУ.
Правда, удалили спорные цифры не везде 🙂
При этом компания Альперовича продолжает настаивать на том, что «русские хакеры» взломали артиллерийское приложение, отказавшись только от заявлений о потерях военной техники. Однако, официальные представители ВСУ Украины отрицают факт взлома и считают, что это стало бы сразу известно. Об этом же говорит и автор приложения, высказавший серьезные сомнения в уме тех, кто писал этот отчет. Позже выяснилось, что в данном приложении вообще отсутствовал функционал, связанный с передачей местоположения артиллерийских установок.
Однако заявление и Шерстюка, и МинОбороны Украины не имело столь широкого резонанса, как отчет CrowdStrike, который активно обсуждался в американских СМИ и послужил еще одним кирпичиком в стене доказательств атак «русских» на американскую демократию. Этот же отчет усилил ранее высказанные обвинения CrowdStrike в атаках на сайт Демпартии США.
В настоящий момент Альперович отказывается от интервью и комментариев на эту тему, а пресс-служба CrowdStrike продолжает настаивать на своей первоначальной версии. Оно и понятно. Оказавшиеся шитыми белыми нитками доказательства по атаке на украинское мобильное приложение ставит под сомнение и отчет CrowdStrike по русскому следу в атаках на DNC, которое уже распиарено больше некуда и на которое Альперович сделал очень большую ставку, обвиняя страну своего рождения во всех смертных грехах. Признать свой провал в отчете по атрибуции атак на артиллерийское приложение, значит признать провал и в отчете на DNC, что имеет далеко идущие последствия для всех тех, кто использовал его как базу для своих обвинений России. Да и для Альперовича такое признание потаканию сиюминутной геополитической выгоде может оказаться финальным аккордом в карьере.
А тут еще масла в огонь подлила утечка из ЦРУ, в результате которой, на портале WikiLeaks стали публиковаться доказательства наличия у этой американской спецслужбы не только богатого арсенана кибервооружений, но и способности маскироваться под уже известных нарушителей, в том числе и из других стран. Иными словами, WikiLeaks опубликовала доказательства возможности (неизвестно, применялась ли данная тактика в реальности) ЦРУ выдавать себя за других хакеров. Интересно, что примерно в это же время специалисты по кибербезопасности компании BAE Systems опубликовали исследование, в котором исследуется тактика неизвестных хакеров маскироваться под «русских» в атаких на польские банки и другие организации в конце прошлого — начале этого года. Обнаружив русский язык в теле вредоносных программ, польские политики поспешили обвинить Россию в атаких на себя, однако на деле оказалось, что кто-то просто пытался замаскировать свою активность, пользуясь шумихой вокруг «русских хакеров в погонах». Так что получается, что данные WikiLeaks не являются вымыслом, а вполне могут быть реальной практикой, применяемой американскими (возможно и иными) спецслужбами для затруднения атрибуции кибератак. На этом фоне цена утверждений CrowdStrike о русском следе падает еще сильнее.
Я могу понять желание Альперовича нажиться на теме с русскими хакерами. Тут и бюджеты от государства, и бесплатный PR в СМИ и новые заказчики, и нелюбовь к бывшей Родине (в своих интервью он нелицеприятно высказывался о своем детстве в Советском Союзе, необходимости молчать о том, что думаешь, поездках отца на устранение аварий в Чернобыле, смерти и болезнях от радиации близких друзей). С другой стороны он сильно подмочил свою репутацию непроверенными до конца фактами. Мог бы ограничиться только публикацией индикаторов компрометации и артефактами, но он решил погрузиться в атрибуцию и прогорел. Предположу, что сейчас многие заказчики откажутся от услуг (но не факт, что продуктов) CrowdStrike после того, как выяснилось, что эта компания подменяет результаты своих расследований в угоду сиюминутной политической повестке дня.
Данный кейс лишний раз показывает, что атрибуция кибератак сегодня — это не так просто, как кажется. Это совсем не threat hunting, столь модный в последнее время. Тут последствия гораздо серьезнее. Можно как взлететь на волне PR о <имярек> следе и происках хакеров, спецслужб, киберпреступников, имеющих национальную принадлежность. А можно и крупно провалиться, если станет известно, что доказательства подтасованы, а заявления не основаны на реальных фактах, а базируются на заголовках СМИ или неподтвержденных фактах. Желание присосаться к бюджету и бесплатному PR понятно, но стоит учитывать последствия, когда в угоду политической ситуации, начинают жертвовать своим профессионализмом.
ЗЫ. А пока CrowdStrike будет под присягой отвечать перед Конгрессом за подтасоку фактов.