Как стать автором
Обновить

Комментарии 40

Я конечно все понимаю, но Хабр это не Twitter же
Помимо кода существует масса другой информации: куки, ip-адреса, user-agent, время обращения к серверу и прочее… Ею обладают соответствующие структуры в полной мере.
А здесь мы видим всего лишь код. О чём пост? Указанный документ все прочитали от и до и всё поняли?
Проблема в том, что в этом документе отсутствуют «куки, ip-адреса, user-agent, время обращения к серверу и прочее». Единственная уникальная информация, которая там есть — это список непонятно откуда полученных никнеймов российских хакеров. Вот они:

«APT28
APT29
Agent.btz
BlackEnergy V3
BlackEnergy2 APT
CakeDuke
Carberp
CHOPSTICK
CloudDuke
CORESHELL
CosmicDuke
COZYBEAR
COZYCAR
COZYDUKE
CrouchingYeti
DIONIS
Dragonfly
Energetic Bear
EVILTOSS
Fancy Bear
GeminiDuke
GREY CLOUD
HammerDuke
HAMMERTOSS
Havex
MiniDionis
MiniDuke
OLDBAIT
OnionDuke
Operation Pawn Storm
PinchDuke
Powershell backdoor
Quedagh
Sandworm
SEADADDY
Seaduke
SEDKIT
SEDNIT
Skipper
Sofacy
SOURFACE
SYNful Knock
Tiny Baron
Tsar Team
twain_64.dll (64-bit X-Agent implant)
VmUpgradeHelper.exe (X-Tunnel implant)
Waterbug
X-Agent»
Ну все ясно. Опять русский медведь всех подвел
  1. Energetic Bear
  2. Fancy Bear
  3. COZYBEAR

Вот скажите мне, зачем Bear? Нет чтобы Kangaroo — тогда бы санкции наложили на Австралию.
Там же ещё Tsar Team есть. Это всё доказывает!111
Ну обвинение же не на основании этого отчета делается. Отчет, это жвачка для массовой публики. И начинка у него соответствующая. А по факту, может быть, действительно была кибератака со стороны клавиатурных войск РФ. Может, не было, а это придуманная сказочка для обоснования санкций. Оба варианта имеют право на существование, какой из них верный, мы не знаем, да и если честно, политические склоки, как реальные, так и выдуманные, уже в печенках сидят.
«Партия приняла решения на основе сверхсекретных данных» — это путь Северной Кореи. Оплот демократии мог бы и отчитаться перед народом. Мог бы предоставить мировой общественности неоспоримые улики.
Обвиняют публично? Значит и доказательства обязаны предоставить публично. Иначе это клевета.
Ну и вообще, в приличном обществе принято, что бремя доказательства утверждения лежит на высказывающем его. А они упорно хотят от всех, чтобы им поверили на слово. Еще немного, и начнут заявлять что у них секретные документы мироточат.
Ну и вообще, в приличном обществе принято

Между политикой и приличным обществом, знаете ли, лежит бездонная пропасть.
Если по сабжу. То список попахивает генератором ников.
И если они установили, что SYNful Knock это русский ник, то где тогда громкое разбирательство по делу одноименного бекдора https://habrahabr.ru/company/it-grad/blog/267057/?
надо было собак расставить перед никнеймами :)
В списке ни одного русского ника.
Где Vodka, Balalaika, Matryoshka?
Kalashnikov еще.
Отсутствие информации != отсутствие документа
Долго всматривался на список ников. Наверно всем дали указание сверху «ничего кирилистичесского».
Короче обама даже денег нормальному консультанту пожалел — хоть бы парочку кирилистичесских ников.
Это названия малвари и apt-групп, а не никнеймы
куки, ip-адреса, user-agent… все это тлен.
Если только кул-хацкер взломал сервер с домашнего компьютера.
Прочитал.
Так там полдокумента это перечисление «Имейте и проверяйте бэкапы», «обновляйте операционки» и прочее «мойте руки перед едой».

Доказательств что это русские вообще нет. Это даётся сразу как аксиома. Ок.
Но групп было 2 разных и взломы были независимые. Зачем?! Зачем ломать уже сломанную систему? Можно же спалиться.
Или эти группы не очень то знали друг про друга (что странно для государства)

В первом случае кто-то скачал неправильный экзешник и заразился, во втором случае кто-то ввёл свой пароль на левом сайте.
И во втором случае стащили файлы! Зашли на партийный shared drive и утянули. И ещё переписку стянули.
Зная логин и пароль можно и без вируса стащить файлы и переписку!

Ну и сигнатура конечно зачётная. Я теряюсь в догадках зачем PHP нужен за пределами Web-сервера. Искать эту сигнатуру на диске или в траффике… Зачем?! Где этот PHP будет исполняться?
Вот, кстати, не могу всё понять, чего они так носятся с временем обращения к серверу? Якобы, совпадает с рабочими часами в России, а потому сразу мерещится спецрота хакеров, сидящих в подвалах Лубянки среди гудящих кулерами мэйнфреймов. Почему не приходит мысль, что ломают не по часам своего рабочего дня, а по часам рабочего дня взламываемого сервера? У нас день, у них ночь — админ и пользователи спят, вероятность случайного обнаружения атаки типа «о-па, а это что за файлик тут появился?» на порядок меньше. Или по времени наибольшей активности ботнета, который используется в качестве вспомогательного инструмента? Не, ну правда, ну неужели в «спецроте» настолько ударенный головой народ сидит, что, с одной стороны, взламывает как орешки сервера со столь важной информацией, а с другой, не способен замести столь явные следы после себя? Мне кажется, три четверти программеров, особенно молодых, будут работать по ночам — просто разреши, даже заставлять не надо. Использовать время обращения к серверу как аргумент — курам на смех.
Потому что нужно как-то натянуть сову на глобус, а из доказательств — только совпадение с российскими рабочими часами. Значит, будут рабочие часы.
НЛО прилетело и опубликовало эту надпись здесь
Очевидно, это какой-то древний шелл для WordPress, одна из первых ссылок в гугле с полным разбором.
http://wiki.yobi.be/wiki/Forensics_on_Incident_3
НЛО прилетело и опубликовало эту надпись здесь
В отчете так и написано, — Yara Signature
НЛО прилетело и опубликовало эту надпись здесь
Насколько я понял отчет, на странице 5-6 написаны рекомендации по выявлению вмешательств. Там-же выписан Yara signature, которым ФБР предлагает воспользоваться.
Я еще, конечно, не дочитал. Но пока сам отчет вызывает чувство отвращения. Какая-то смесь шпионского романа и методички для сисадмина начального уровня.
документик в стиле быдло-to-быдло…
быдло руководство не смогло заполучить адекватной информации от специалистов, специалисты видимо постеснялись пачкаться в фальшивках зная что этому руководству сидеть осталось считанные дни и выдали то что есть (по всей видимости практически ничего), а уж сотрудники аппарата постарались сделать умное лицо во всю силу собственного профессионализма…
Это какой-то… позор..?
Как-то обидно должно быть американцам, что на выборы в их стране повлиял человек под ником «Slavik» и «lucky12345»
… возраста 13 лет…
-Славик, чё та очкую влиять на выборы…
-Да ты успокойся! Всё будет нормально!
yara rule для нахождения популярного веб шелла v3.* by profexer, подробности от автора тут https://rdot.org/forum/showthread.php?t=1567
PHP-скрипт обрёл разум и продлил свою жизнь до 31 секунды!
У меня только один вопрос.
Если выборы были сфалисифицированы, не важно кем, хоть жидорептилоидами с нибиру, не важно, какие доказательства, а если это официальная позиция, где, черт возьми, перевыборы?
Речь идёт не о том что выборы сфальсифицированы (по поводу формулировки «российские хакеры взломали американские выборы» — это вопросы к автору статьи, а не к самим американским спеслужбам), а про то, что российские хакеры повлияли на результат американских выборов, выудив с помощью емайл-фишинга (с использованием в том числе php-скриптов, сигнатуры одного из которых приводятся в отчёте) и в дальнейшем обнародовав копрометирующую демократов информацию.

В общем, не утверждается, что выборы сфальсифицированы. Утверждается, что деятельность российских хакеров привела к падению рейтинга демократов и это отразилось на итоге выборов.
Это сделал я. Признаюсь, был пьян. Дёрнуло меня.
Шикарная по тупизму публикация! Нет! Мы не будем читать исходный отчет полностью. Нет! Мы не будем читать что вообще там сказано по поводу этой конкретной сигнатуры (в хабровской статье это с какого-то перепугу упомянуто как вирус :))) ). Нет! Мы вообще не будем читать отчет. Мы найдем знакомые со школы буквы, припишем им наши фантазии и потом поспорим в тупой манере с нашими же тупыми фантазиями… Шикарная по тупизму публикация!
заплатили за статью, статью написали, боты лайкнули, отчет сдали: люди негодуют омерике, одобряют вперде упчк.
просто игнорируйте ботов и их испражнения.
Думаю, что мы все с интересом почитали бы правильную статью, с подробным анализом отчёта. Но её почему-то никто не пишет.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.