jeudi 22 décembre 2016

Fancy Bear, la cyber "au contact"

Le dernier rapport de la compagnie Crowdstrike mérite d'être analysé par ceux qui s'intéressent à la réalité de la "guerre hybride" ou aux applications du "cyber" au niveau tactique. Le travail d'investigation de la compagnie débouche sur la conclusion de l'utilisation d'un malware pour android afin de cibler certaines unités d'artillerie ukrainiennes. Localiser son adversaire par un malware sur smartphone, voilà bien une application très concrète d'une cybertactique maitrisée.

 Un 122 D-30 de l'armée afghane


A l'origine, une bonne initiative, un officier d'artillerie ukrainien propose une application pour smartphone qui permet de réduire le temps de calcul et d'augmenter la vitesse de tir du D30, un obusier de 122 mm équipant l'armée ukrainienne et bon nombre d'autres armées dans le monde. cette application, partagée près de 9000 fois au sein de l'armée UKR, sera utilisée pour diffuser l'implant Fancy Bear X-Agent (attribué au GRU par la compagnie Crowdstrike) à partir de la fin 2014. L'agent n'a pas d'action "destructrice" et ne dégrade pas l'application originale, il collecte des informations sur le terminal infecté (téléphone).
Ces informations incluent les paramètres de localisation, ce qui d'évidence a pu permettre un ciblage précis des unités d'artillerie ukrainienne dotées de 122 D-30. En deux ans de conflit, l'artillerie ukrainienne a perdu près de 50% de ses unités dont 80% de 122 D-30...

Si les éléments de ce rapport sont démontrés, il s'agit bien d'une application tactique d'outils numérique, un appui cyber en matière de ciblage.

Le rapport est téléchargeable https://www.crowdstrike.com/wp-content/brochures/FancyBearTracksUkrainianArtillery.pdf.






Les éléments clefs du rapport:
  • From late 2014 and through 2016, FANCY BEAR X-Agent implant was covertly distributed on Ukrainian military forums within a legitimate Android application developed by Ukrainian artillery officer Yaroslav Sherstuk.
  • The original application enabled artillery forces to more rapidly process targeting data for the Soviet-era D-30 Howitzer employed by Ukrainian artillery forces reducing targeting time from minutes to under 15 seconds. According to Sherstuk’s interviews with the press, over 9000 artillery personnel have been using the application in Ukrainian military.
  • Successful deployment of the FANCY BEAR malware within this application may have facilitated reconnaissance against Ukrainian troops. The ability of this malware to retrieve communications and gross locational data from an infected device makes it an attractive way to identify the general location of Ukrainian artillery forces and engage them.
  • Open source reporting indicates that Ukrainian artillery forces have lost over 50% of their weapons in the 2 years of conflict and over 80% of D-30 howitzers, the highest percentage of loss of any other artillery pieces in Ukraine’s arsenal.
  • This previously unseen variant of X-Agent represents FANCY BEAR’s expansion in mobile malware development from iOS-capable implants to Android devices, and reveals one more component of the broad spectrum approach to cyber operations taken by Russia-based actors in the war in Ukraine.
  • The collection of such tactical artillery force positioning intelligence by FANCY BEAR further supports CrowdStrike’s previous assessments that FANCY BEAR is likely affiliated with the Russian military intelligence (GRU), and works closely with Russian military forces operating in Eastern Ukraine and its border regions in Russia.

Aucun commentaire:

Enregistrer un commentaire