Eine App für die Artillerie? Keine gute Idee (mit Nachtrag 3.1.2017)

Afghan National Army soldiers fire a 122mm Howitzer 2A18 (D-30)

Es klingt vielleicht wie eine gute Idee: Um im Einsatz der betagten 122mm-Haubitzen vom Typ D-30 aus sowjetischer Produktion die Nutzungsgeschwindigkeit drastisch zu steigern, griff die ukrainische Armee auf eine App für Android-Smartphones zurück. Die mobilen Telefone mit ihren GPS-Empfängern lieferten umgehend den Standort des Geschützes und ermöglichten damit eine schnellere Einrichtung und Feuergeschwindigkeit. Dumm nur: Die GPS-Daten der gehackten App gingen zeitgleich an den russischen Militärgeheimdienst GRU – und der gab sie an die pro-russischen Rebellen in der Ostukraine weiter. Die dann genau wussten, wo die Geschütze ihrer Gegner stehen.

So schildert es jedenfalls die US-Internet-Sicherheitsfirma CrowdStrike:

  • The original application enabled artillery forces to more rapidly process targeting data for the Soviet-era D-30 Howitzer employed by Ukrainian artillery forces reducing targeting time from minutes to under 15 seconds. According to Sherstuk’s interviews with the press, over 9000 artillery personnel have been using the application in Ukrainian military.
  • Successful deployment of the FANCY BEAR malware within this application may have facilitated reconnaissance against Ukrainian troops. The ability of this malware to retrieve communications and gross locational data from an infected device makes it an attractive way to identify the general location of Ukrainian artillery forces and engage them.
  • Open source reporting indicates that Ukrainian artillery forces have lost over 50% of their weapons in the 2 years of conflict and over 80% of D-30 howitzers, the highest percentage of loss of any other artillery pieces in Ukraine’s arsenal.

Da ist offensichtlich noch viel Vermutung im Spiel, und der renommierte Cyber-Sicherheitsforscher Thomas Rid vom King’s College in London stellt die Frage, ob die genannten Zahlen tatsächlich stimmen können:

Nun wurde die App angeblich nur in einem gesicherten Umfeld verteilt, mit individuellen Freischaltcodes. Aber das Umfeld war wohl nicht gesichert genug.

Die Untersuchungsergebnisse von CrowdStrike zur Verwundbarkeit der ukrainischen Artillerie waren wohl nur ein Nebeneffekt – im Wesentlichen untersuchte die Firma, ob belegbar ist, dass russische (Staats)Hacker die Netzwerke der Demokratischen Partei in den USA vor der Präsidentenwahl angegriffen haben.

Mehr dazu bei

Reuters: Russian hackers tracked Ukrainian artillery units using Android implant: report

der Washington Post: Cybersecurity firm finds evidence that Russian military unit was behind DNC hack

und bei The Daily Beast: Fancy Bear Hack of Ukrainian Artillery Fighters Shows Future of War

Nachtrag 3. Januar 2017: Von Experten werden Zweifel an den Aussagen nicht nur geäußert, sondern auch präzisiert:

The GRU-Ukraine Artillery Hack That May Never Have Happened

Part of the evidence supporting Russian government involvement in the DNC and related hacks (including the German Bundestag and France’s TV5 Monde) stemmed from the assumption that X-Agent malware was exclusively developed and used by Fancy Bear. We now know that’s false, and that the source code has been obtained by others outside of Russia.
The GRU, according to Crowdstrike, developed a variant of X-Agent to infect an Android mobile app in order to geolocate and destroy Ukraine’s D-30 howitzers. To do this, they chose an artillery app which had no way to send or receive data, and wrote malware for it that didn’t ask for GPS position information? Bitch, please.

(Archivbild: Afghan National Army (ANA) soldiers fire a 122mm Howitzer 2A18 (D-30) artillery weapon aboard Camp Shorabak, Helmand province, Afghanistan, March 12, 2014 – U.S. Marine Corps photo by Cpl. Dustin D. March, Marine Expeditionary Brigade Afghanistan)