Comments 40
Я конечно все понимаю, но Хабр это не Twitter же
Помимо кода существует масса другой информации: куки, ip-адреса, user-agent, время обращения к серверу и прочее… Ею обладают соответствующие структуры в полной мере.
А здесь мы видим всего лишь код. О чём пост? Указанный документ все прочитали от и до и всё поняли?
А здесь мы видим всего лишь код. О чём пост? Указанный документ все прочитали от и до и всё поняли?
Проблема в том, что в этом документе отсутствуют «куки, ip-адреса, user-agent, время обращения к серверу и прочее». Единственная уникальная информация, которая там есть — это список непонятно откуда полученных никнеймов российских хакеров. Вот они:
«APT28
APT29
Agent.btz
BlackEnergy V3
BlackEnergy2 APT
CakeDuke
Carberp
CHOPSTICK
CloudDuke
CORESHELL
CosmicDuke
COZYBEAR
COZYCAR
COZYDUKE
CrouchingYeti
DIONIS
Dragonfly
Energetic Bear
EVILTOSS
Fancy Bear
GeminiDuke
GREY CLOUD
HammerDuke
HAMMERTOSS
Havex
MiniDionis
MiniDuke
OLDBAIT
OnionDuke
Operation Pawn Storm
PinchDuke
Powershell backdoor
Quedagh
Sandworm
SEADADDY
Seaduke
SEDKIT
SEDNIT
Skipper
Sofacy
SOURFACE
SYNful Knock
Tiny Baron
Tsar Team
twain_64.dll (64-bit X-Agent implant)
VmUpgradeHelper.exe (X-Tunnel implant)
Waterbug
X-Agent»
«APT28
APT29
Agent.btz
BlackEnergy V3
BlackEnergy2 APT
CakeDuke
Carberp
CHOPSTICK
CloudDuke
CORESHELL
CosmicDuke
COZYBEAR
COZYCAR
COZYDUKE
CrouchingYeti
DIONIS
Dragonfly
Energetic Bear
EVILTOSS
Fancy Bear
GeminiDuke
GREY CLOUD
HammerDuke
HAMMERTOSS
Havex
MiniDionis
MiniDuke
OLDBAIT
OnionDuke
Operation Pawn Storm
PinchDuke
Powershell backdoor
Quedagh
Sandworm
SEADADDY
Seaduke
SEDKIT
SEDNIT
Skipper
Sofacy
SOURFACE
SYNful Knock
Tiny Baron
Tsar Team
twain_64.dll (64-bit X-Agent implant)
VmUpgradeHelper.exe (X-Tunnel implant)
Waterbug
X-Agent»
Ну все ясно. Опять русский медведь всех подвел
Вот скажите мне, зачем Bear? Нет чтобы Kangaroo — тогда бы санкции наложили на Австралию.
- Energetic Bear
- Fancy Bear
- COZYBEAR
Вот скажите мне, зачем Bear? Нет чтобы Kangaroo — тогда бы санкции наложили на Австралию.
Ну обвинение же не на основании этого отчета делается. Отчет, это жвачка для массовой публики. И начинка у него соответствующая. А по факту, может быть, действительно была кибератака со стороны клавиатурных войск РФ. Может, не было, а это придуманная сказочка для обоснования санкций. Оба варианта имеют право на существование, какой из них верный, мы не знаем, да и если честно, политические склоки, как реальные, так и выдуманные, уже в печенках сидят.
«Партия приняла решения на основе сверхсекретных данных» — это путь Северной Кореи. Оплот демократии мог бы и отчитаться перед народом. Мог бы предоставить мировой общественности неоспоримые улики.
Обвиняют публично? Значит и доказательства обязаны предоставить публично. Иначе это клевета.
Ну и вообще, в приличном обществе принято, что бремя доказательства утверждения лежит на высказывающем его. А они упорно хотят от всех, чтобы им поверили на слово. Еще немного, и начнут заявлять что у них секретные документы мироточат.
Ну и вообще, в приличном обществе принято, что бремя доказательства утверждения лежит на высказывающем его. А они упорно хотят от всех, чтобы им поверили на слово. Еще немного, и начнут заявлять что у них секретные документы мироточат.
Если по сабжу. То список попахивает генератором ников.
И если они установили, что SYNful Knock это русский ник, то где тогда громкое разбирательство по делу одноименного бекдора https://habrahabr.ru/company/it-grad/blog/267057/?
И если они установили, что SYNful Knock это русский ник, то где тогда громкое разбирательство по делу одноименного бекдора https://habrahabr.ru/company/it-grad/blog/267057/?
надо было собак расставить перед никнеймами :)
В списке ни одного русского ника.
Где Vodka, Balalaika, Matryoshka?
Где Vodka, Balalaika, Matryoshka?
Отсутствие информации != отсутствие документа
Долго всматривался на список ников. Наверно всем дали указание сверху «ничего кирилистичесского».
Короче обама даже денег нормальному консультанту пожалел — хоть бы парочку кирилистичесских ников.
Короче обама даже денег нормальному консультанту пожалел — хоть бы парочку кирилистичесских ников.
Это названия малвари и apt-групп, а не никнеймы
куки, ip-адреса, user-agent… все это тлен.
Если только кул-хацкер взломал сервер с домашнего компьютера.
Если только кул-хацкер взломал сервер с домашнего компьютера.
Прочитал.
Так там полдокумента это перечисление «Имейте и проверяйте бэкапы», «обновляйте операционки» и прочее «мойте руки перед едой».
Доказательств что это русские вообще нет. Это даётся сразу как аксиома. Ок.
Но групп было 2 разных и взломы были независимые. Зачем?! Зачем ломать уже сломанную систему? Можно же спалиться.
Или эти группы не очень то знали друг про друга (что странно для государства)
В первом случае кто-то скачал неправильный экзешник и заразился, во втором случае кто-то ввёл свой пароль на левом сайте.
И во втором случае стащили файлы! Зашли на партийный shared drive и утянули. И ещё переписку стянули.
Зная логин и пароль можно и без вируса стащить файлы и переписку!
Ну и сигнатура конечно зачётная. Я теряюсь в догадках зачем PHP нужен за пределами Web-сервера. Искать эту сигнатуру на диске или в траффике… Зачем?! Где этот PHP будет исполняться?
Так там полдокумента это перечисление «Имейте и проверяйте бэкапы», «обновляйте операционки» и прочее «мойте руки перед едой».
Доказательств что это русские вообще нет. Это даётся сразу как аксиома. Ок.
Но групп было 2 разных и взломы были независимые. Зачем?! Зачем ломать уже сломанную систему? Можно же спалиться.
Или эти группы не очень то знали друг про друга (что странно для государства)
В первом случае кто-то скачал неправильный экзешник и заразился, во втором случае кто-то ввёл свой пароль на левом сайте.
И во втором случае стащили файлы! Зашли на партийный shared drive и утянули. И ещё переписку стянули.
Зная логин и пароль можно и без вируса стащить файлы и переписку!
Ну и сигнатура конечно зачётная. Я теряюсь в догадках зачем PHP нужен за пределами Web-сервера. Искать эту сигнатуру на диске или в траффике… Зачем?! Где этот PHP будет исполняться?
Вот, кстати, не могу всё понять, чего они так носятся с временем обращения к серверу? Якобы, совпадает с рабочими часами в России, а потому сразу мерещится спецрота хакеров, сидящих в подвалах Лубянки среди гудящих кулерами мэйнфреймов. Почему не приходит мысль, что ломают не по часам своего рабочего дня, а по часам рабочего дня взламываемого сервера? У нас день, у них ночь — админ и пользователи спят, вероятность случайного обнаружения атаки типа «о-па, а это что за файлик тут появился?» на порядок меньше. Или по времени наибольшей активности ботнета, который используется в качестве вспомогательного инструмента? Не, ну правда, ну неужели в «спецроте» настолько ударенный головой народ сидит, что, с одной стороны, взламывает как орешки сервера со столь важной информацией, а с другой, не способен замести столь явные следы после себя? Мне кажется, три четверти программеров, особенно молодых, будут работать по ночам — просто разреши, даже заставлять не надо. Использовать время обращения к серверу как аргумент — курам на смех.
UFO just landed and posted this here
UFO just landed and posted this here
Насколько я понял отчет, на странице 5-6 написаны рекомендации по выявлению вмешательств. Там-же выписан Yara signature, которым ФБР предлагает воспользоваться.
Я еще, конечно, не дочитал. Но пока сам отчет вызывает чувство отвращения. Какая-то смесь шпионского романа и методички для сисадмина начального уровня.
Я еще, конечно, не дочитал. Но пока сам отчет вызывает чувство отвращения. Какая-то смесь шпионского романа и методички для сисадмина начального уровня.
документик в стиле быдло-to-быдло…
быдло руководство не смогло заполучить адекватной информации от специалистов, специалисты видимо постеснялись пачкаться в фальшивках зная что этому руководству сидеть осталось считанные дни и выдали то что есть (по всей видимости практически ничего), а уж сотрудники аппарата постарались сделать умное лицо во всю силу собственного профессионализма…
быдло руководство не смогло заполучить адекватной информации от специалистов, специалисты видимо постеснялись пачкаться в фальшивках зная что этому руководству сидеть осталось считанные дни и выдали то что есть (по всей видимости практически ничего), а уж сотрудники аппарата постарались сделать умное лицо во всю силу собственного профессионализма…
Это какой-то… позор..?
Интересно, а хабраэффект с российских IP на файл https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296.pdf, упомянутый в статье, можно считать а DDoS атакой и доказательством правоты коллег из США?
Как-то обидно должно быть американцам, что на выборы в их стране повлиял человек под ником «Slavik» и «lucky12345»
yara rule для нахождения популярного веб шелла v3.* by profexer, подробности от автора тут https://rdot.org/forum/showthread.php?t=1567
PHP-скрипт обрёл разум и продлил свою жизнь до 31 секунды!
У меня только один вопрос.
Если выборы были сфалисифицированы, не важно кем, хоть жидорептилоидами с нибиру, не важно, какие доказательства, а если это официальная позиция, где, черт возьми, перевыборы?
Если выборы были сфалисифицированы, не важно кем, хоть жидорептилоидами с нибиру, не важно, какие доказательства, а если это официальная позиция, где, черт возьми, перевыборы?
Речь идёт не о том что выборы сфальсифицированы (по поводу формулировки «российские хакеры взломали американские выборы» — это вопросы к автору статьи, а не к самим американским спеслужбам), а про то, что российские хакеры повлияли на результат американских выборов, выудив с помощью емайл-фишинга (с использованием в том числе php-скриптов, сигнатуры одного из которых приводятся в отчёте) и в дальнейшем обнародовав копрометирующую демократов информацию.
В общем, не утверждается, что выборы сфальсифицированы. Утверждается, что деятельность российских хакеров привела к падению рейтинга демократов и это отразилось на итоге выборов.
В общем, не утверждается, что выборы сфальсифицированы. Утверждается, что деятельность российских хакеров привела к падению рейтинга демократов и это отразилось на итоге выборов.
Это сделал я. Признаюсь, был пьян. Дёрнуло меня.
Шикарная по тупизму публикация! Нет! Мы не будем читать исходный отчет полностью. Нет! Мы не будем читать что вообще там сказано по поводу этой конкретной сигнатуры (в хабровской статье это с какого-то перепугу упомянуто как вирус :))) ). Нет! Мы вообще не будем читать отчет. Мы найдем знакомые со школы буквы, припишем им наши фантазии и потом поспорим в тупой манере с нашими же тупыми фантазиями… Шикарная по тупизму публикация!
Sign up to leave a comment.
ФБР, ЦРУ и Обама против скрипта на PHP