Как стать автором
Обновить

Комментарии 36

Судя по графику timestamps, в дедлайн и с переработками до середины ночи сдавалось процентов 7 работы:)
GMT же. Если рабочий день обычно в 9 начинается, хотя программисты же совы — если график свободный то вполне могут приходить и к 11. Так что скорее Великобритания.
Тут интересно другое — откуда вообще эти таймштампы в вирусе, что это такое физически?
Могу предположить, что это дата и время создания, например, какого-нибудь модуля. Если посмотреть на любую библиотеку в той же винде, то у есть время последнего изменения и время создания. Ведь модули подгружаются уже скомпилированными.
Могу предположить, что если разработка велась многие годы серьёзно, а не тяп-ляп, то должны быть учтены все (почти все) нюансы, в том числе поведение при обнаружении. И в этом случае логично подставить другую страну, подкинуть ложные улики и т.д. и т.п. Догадаться до подделки улик не так уж и сложно, чтобы исключать эту возможность или игнорировать её.

А на «государственном уровне» реально вообще создать «зеркальную» организацию в другой стране, чтобы в случае опасности сдать её с потрохами. В это время настоящая организация уходит в подполье, зализывая раны (дыры в конспирации), чтобы сохранить уже нажитое непосильным трудом. Ведь компромат прошлых лет может со временем стать неожиданно полезным и ценным, так что он уже сейчас представляет ценность. А если слежка велась годами, то ценность огромная — и защита должна быть соответствующая, кто бы ни был к этому причастен.

</paranoiamode>
Не соглашусь с вами, перерыв на обед в 10-11 утра — это как-то неправильно. Скорее Гренландия или Бразилия…

P.S. Как-то раз, во время аудита, я обратил внимание, что код деплоится посреди ночи, на что мне ответили, что это нормально, так как на сервере выставлено время западного побережья США…
Если разработка велась летом, то, к примеру, Нью-Йоркское время это GMT+4, а значит обед был в 11 часов утра, что в принципе не так и странно.
Хотя и Бразилия возможна, согласен. Правда, тогда неясно, почему игнорируются русский и английский языки, а не португальский.
Вы ошиблись знаком: Не GMT+4, а GMT-4/GMT-5 Так что немного не сходится: 8 утра в Нью Йорке, это около 4 часов дня по Москве.
Да, имелось ввиду конечно GMT-4. Остальные расчеты верны.
Что-то таки не сходится: каким образом при часовой разнице в 8(± 1) часов в Нью Йорке обедают в 11 утра по Москве? Обед по местному Нью Йоркскому времени — это вечернее время по Москве
Признаю ошибку — график построен по GMT… * посыпает голову пеплом
Обеденный перерыв в 10-11 утра по Москве — это Киев (Московское зимне-«летнее» время в прошлом году)

Сорри а тут уже я не в ту сторону посчитал )))
Раз там обедают раньше Москвы (10-11АМ МСК), значит разработка велась восточнее
это же надо было развести столько коментов и не глянуть по какому времени построен график…
Прошу прощения…
На скриншоте maxpatrol?
Да, это MaxPatrol. С 2012 года мы работам над расширением поддержки телеком. устройств.
>> MS Windiws
>> Шпионское ПО
>> На государственном уровне

А зачем разрабатывать троян «на государственном уровне» для платформы, которая по сути сама является одним большим трояном «на государственном уровне»?
Как раз платформа — далеко не троян, она просто дырявая. Сколь бы не была проста доставка троянского модуля жертве — сам модуль надо разработать в любом случае.
Она не дырявее любой другой, пишись «любая другая» по таким ТЗ и с таким метанием со стороны рук-ва компании. Им и обратную совместимость (не только со своим API, но и со своими багами, а еще и с чужими багами!) нужно соблюсти, и то сделать систему быструю, то новую-модерновую, то «опа, у нас идея. мы скрестим 8-ку и 7-ку», то еще что-то…

Так что разработчикам руки надо жать. А уж что готовить ее не все умеют… Так и линукс не все готовят верно, ничего не попишешь.

Это как замок в дверном замке дома — казалось бы, вышел за дверь — закрой ее на ключ, но если Марья Ивановна к соседке за солью вышла, она 100% дверь не закроет, а пока она будет отсутствовать (минуту ли ее не будет, или языками зацепятся — не суть), в квартиру легко войдет любой, даже не хакер (тьфу, не взломщик). Кто дурак, это дверь «дырявая», или юзер?
Дурак юзер. А дверь дырявая :)
Это уже доказано? Или Ваше мнение основано на гипотезах?
Если Вы рассматриваете лишь возможность официального трояна в MS, то так и говорите — «возможно».

А вообще это очень сложная тема, холиварная. И здесь нельзя однозначно делить всех на «плохих» и «хороших». Есть законы, которым MS должна подчиняться (или пользоваться ими). Но с точки зрения MS ей должно быть выгоднее избавляться от дыр, бэкдоров и троянов, а не наоборот.

В любом случае, стоит опираться на факты. А в остальных случаях использоваться слова «возможно», «вероятно», «предположительно» и т.п.
На MS безусловно висит тяжкий груз совместимости со старым софтом, накопившийся за 20+ лет, и ее просто физически невозможно переработать по уму с тем человекоресом, что имеет доступ к исходникам. Называть эту беднягу намерено «Шпионским ПО» рука не поднимется, да и вирусописатели обычно не сообщают о найденных пробоинах куда положено.
К MS у меня скорее сочувствие и надежда, чем недолюбливание. Попробуйте и Вы пересмотреть свое отношение — возможно не все так мрачно.
>> попасть во внутреннюю сеть оператора не так уж сложно

Так это и ежу понятно:

>> у некоторых операторов большое количество критичных систем, включая OSS, стоят на устаревшей и непропатченной MS Windows

Точнее было бы даже сказать так:

>> у некоторых операторов большое количество критичных систем, включая OSS, стоят на MS Windows

Вывод: операторы — эталонные ССЗБ. Да и не только они — а вообще все, кто MS Windows использует не по назначению.
Правильно настроенный файервол сумеет защитить даже Windows 95. Главное — чтобы на сервере не запускали браузер :)
НЛО прилетело и опубликовало эту надпись здесь
Достаточно поставить рядом второй компьютер с iptables, или циску какую-нибудь :) Или вообще разместить винду на виртуалке. Или скомбинировать все три подхода.

Никто не ставит задачу поднятия защищенной системы на одной только 95й винде. Есть только задача «запустить вот эту программу родом из 90х, чтобы она работала».
А Вы попробуйте взять закрытую подключаемую к серверу железку стоимостью с самолёт, установить/настроить/ввести в эксплуатацию, подождать 10 лет и заменить сервер с ОС так, чтобы всё сразу продолжало работать. А тут наверняка такая ещё и не одна.
Чувствуется опыт работы в тех. поддержке. :-)
Я работал инженером в молодости, занимался эксплуатацией Alcatel S12 на GSM сети.
Рабочее место оператора живёт по тем же законам, что и офисный комп. Сначала всё по правилам, а потом как пойдёт. Но это никого не пугает.
Дело в том, что воровать реквизиты доступа имеет только к элементам подсистемы биллинга, а в ней столько элементов с перекрёстным контролем, что мама не горюй.
Все остальные подсистемы GSM сетей невозможно модифицировать скрытно.
Вроде бы серьезный такой вирус, но не без юмора в коде.
В докладе Касперского, в разделе «Unusual modules and artifacts»:

Finally, the word ‘shit’ appears in many places throughout the code and modules.
Картинка
image
Точно дело рук американцев!
Вспомнил "/* Don't forget to remove this nafig! */"
Я наверняка что-то не понимаю, но почему функциональность с названием «Skip Russian or English Microsoft files when scanning» понимается как отсутствие интереса к русским и английским файлам? Это наверное просто возможность при поиске пропускать файлы системы и стандартных программ с русской и англ. локализацией.
Крайне опасная преступная группировка терроризирует беззащитных сотрудников неизвестной компании с помощью невероятно опасного оружия в неизвестном районе. В ходе расследования было установлено, что оружие разработано на базе новейших опасных технологий опасными учеными с опасным умыслом.
Знаете, с этой точки зрения опасна сама мысль о подобной опасности.
Так где вы находитесь?.. :-)
Меня беспокоит мысль о том, что сколько уже статей про этот вирус, и во всех говорится о какой-то опасной опасности без всяких технических подробностей. Ведь как-то же специалисты поняли, насколько эта опасность опасна? Есть куча руткит-технологий, всякие перехваты апи, подмены, модификации системных таблиц, антиотладочные приемы, но ничего такого не упоминается. Просто опасность. Похоже на страшилку.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.