Повторная атака на прошивку «1001,»
В конце февраля сеть распространия прошивки «1001,» для военного использования беспилотников DJI вновь стала жертвой взлома. Однако по сравнению с летним инцидентом в этот раз последствия были менее серьёзными и не привели к продолжительному нарушению работы сервисных центров.
Что такое «1001,». Это модифицированная прошивка для нескольких моделей квадрокоптеров DJI (Mavic 3 и др.), которая приспосабливает их к использованию в военных целях. С 2023 года её разрабатывает и распространяет группа «Русские Хакеры – Фронту» (РХ). Прошивка устанавливается в специализированных сервисных центрах через терминалы (ноутбуки), предоставленные РХ. Видимо, изначально такая модель предназначалась для предотвращения пролиферации прошивки — попадания её к силам Украины, а также к гражданским лицам в России. Однако в начале 2024 украинская сторона также стала использовать «1001,», полученную с трофейных дронов.
Первая атака. В начале июля 2025 на терминалы пришло сообщение о взломе прошивки. Канал «Русские Хакеры – Фронту» заявил, что это было . Прошивка , но атака вынудила РХ отозвать все терминалы (из более чем 400 сервисных центров) для проверки. Восстановление работы серверов , очевидно, ещё какое-то время потребовалось на возвращение терминалов. Результатом атаки стала пауза продолжительностью в 2-3 недели в работе всей сети сервисных центров, каждый из которых в среднем прошивал по одному дрону в день (согласно цифрам РХ).
Вторая атака. Взлом в конце февраля затронул периферейную часть инфраструктуры — Telegram, который использовался как один из каналов обмена информацией. Злоумышленники смогли получить контроль над телеграм-ботом техподдержки сервисных центров: «Это полностью парализовало её работу, ударив по пользователям терминалов». Через бот пользователям были разосланы ссылки на канал с материалами, якобы полученными атакующими в ходе летней атаки. В частности, среди них были фотографии с камер терминалов, подлинность которых подтвердил канал «Беспилотное Братство» со ссылкой на людей из РХ. Это свидетельствует, во-первых, о том, что летняя атака не ограничилась дефейсом: злоумышленникам также удалось собрать с терминалов информацию, в том числе сделать снимки. Во-вторых, о том, что оба взлома связаны и, скорее всего, произведены одной и той же группировкой. При этом за исключением бота поддержки февральская атака не нарушила работу систем РХ и сети сервисных центров и оказала в основном информационно-психологическое воздействие на участников.
Как и другие инциденты, , это, по сути, атаки на военную инфраструктуру, с той оговоркой, что эта инфраструктура возникла импровизированно. На этом примере видно, с одной стороны, как действия хакеров могут влиять на потенциал сторон конфликта. С другой, и то, что такие возможности не безграничны. Для простоты можно посчитать: один сервисный центр прошивает в среднем по одному дрону в день, есть примерно 500 центров, летняя атака нарушила их работу примерно на 3 недели. Итого максимум из-за паузы могли быть не прошиты около 10 тыс. DJI-дронов. Теоретически это немало, но на практике «1001,» не единственное решение, и цифра, скорее всего, была ниже. Кроме того, это была разовая акция, и регулярно нарушать работу сети распространения прошивки у атакующих не получается. При этом последствия не исчерпываются только прямым воздействием, важная составляющая — это сбор разведданных, только со стороны оценить это ещё сложнее.
