![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosninehttps://disobedientmedia.com/2017/12/fancy-frauds-bogus-bears-malware-mimicry/
Вот, собсна, ключевой моментик статьи:
Т.е., если этот скриншот верен, то айпишник, вполне вероятно, не принадлежал "Fancy Bear" (термин Краудстрайк) он же APT28 (термин Файрай) к моменту взлома ДНЦ, а это типа один из ключевых аргументов, привязывающих русские спецслужбы к взлому ДНЦ.
Ряд ессесьных оговорок:
- привязка русских спецслужб к взлому ДНЦ основана только на показаниях Краудстрайк (которые типа независимо были подтверждены ФайрАй и ТхреатКоннект);
- эвиденса, подтверждающего наличие этой малвари на серверах ДНЦ, кроме утверждений Краудстрайк, нет;
- вообще не факт, что "взлом" был;
- трудно гарантированно сказать, принадлежал ли этот айпишник русским спецслужбам и до 2015;
- скриншот выше может не отражать реальной картины -- хостер запостил отмазку, для отвода глаз могли поменять фасад, которому этот айпишник выдан и продолжать старое;
- утверждается что исходный код хэ-агента был доступен на тот момент как минимум нескольким несвязанным друг с другом игрокам, например, утверждается что полный кот хэ-агента был у ЕСЕТ в 2015 -- откуда они его взяли и с кем расшарили?;
- Сет Рич;
- утверждается, что ФБР предлагал несколько раз провести расследование инцидента, ДНЦ отказал им.
Исчо, из критики статьи:
- время компиляции и рисёч по таймстэмпам компиляции, на который автор статьи ссылается это хуйня и вот почему. Значительная доля малвари, которую анализировали в этом рисёче, это low-grade malware. Её авторы даже не пытаются скрываться, поэтому нередко не парятся и с датами компиляции. Если выборкой назначить конкретно spyware и конкретно APT уровня то картина будет СОВЕРШЕННО другая. Поэтому это чушь, стыдно писать такое. Но вполне можно допустить, что в этом конкретном случае это таки аргумент, т.к. политических хаков, готовых на преступления не так много, найти среди них хороших профессионалов непросто, поэтому вполне могли обосраться с этим нюансом, да и сроки возможно поджимали, некогда было тщательно планировать, напишу ему фкамменты когда доберусь домой;
- в статье не адресован аргумент одного и того же SSL сертификата (действительно, как таг -- или айпишник служил тем же целям и с тем же сертом, или крайне маловероятно, что айпишник забрали, а серт тотже -- чё за бред);
- "хак" ДНЦ ладно, консенсус сейчас вроде бы в том, что там не обнаружилось слишком уж большого-то криминала, самый крутой компромат был из почты Подесты;
- кто тогда зафишил Подесту? Этот вопрос исследователи и консервативные конспирологи обычно обходят стороной.
Общий вывод, как нетрудно догадаться, в том что нихрена неясно, а люди, которые знают что и как, скорее всего унесут это знание с собой в могилу. Также ясно, что на 95% "russian collusion" это раздутая МСМ ахинея, почти не имеющая никакой связи с реальностью, бла-бла-бла.
Исчо на Щикагской хакерской конференции "thotcon" в прошлом году сотрудник КраудСтрайка делал презентацию, типа, он был один из тех, кто расследовал инцидент. Попробую поискать видос, плюс, знаю пару человек, которые посещали мероприятие и спрошу чё как у них.
Вот, собсна, ключевой моментик статьи:
Т.е., если этот скриншот верен, то айпишник, вполне вероятно, не принадлежал "Fancy Bear" (термин Краудстрайк) он же APT28 (термин Файрай) к моменту взлома ДНЦ, а это типа один из ключевых аргументов, привязывающих русские спецслужбы к взлому ДНЦ.
Ряд ессесьных оговорок:
- привязка русских спецслужб к взлому ДНЦ основана только на показаниях Краудстрайк (которые типа независимо были подтверждены ФайрАй и ТхреатКоннект);
- эвиденса, подтверждающего наличие этой малвари на серверах ДНЦ, кроме утверждений Краудстрайк, нет;
- вообще не факт, что "взлом" был;
- трудно гарантированно сказать, принадлежал ли этот айпишник русским спецслужбам и до 2015;
- скриншот выше может не отражать реальной картины -- хостер запостил отмазку, для отвода глаз могли поменять фасад, которому этот айпишник выдан и продолжать старое;
- утверждается что исходный код хэ-агента был доступен на тот момент как минимум нескольким несвязанным друг с другом игрокам, например, утверждается что полный кот хэ-агента был у ЕСЕТ в 2015 -- откуда они его взяли и с кем расшарили?;
- Сет Рич;
- утверждается, что ФБР предлагал несколько раз провести расследование инцидента, ДНЦ отказал им.
Исчо, из критики статьи:
- время компиляции и рисёч по таймстэмпам компиляции, на который автор статьи ссылается это хуйня и вот почему. Значительная доля малвари, которую анализировали в этом рисёче, это low-grade malware. Её авторы даже не пытаются скрываться, поэтому нередко не парятся и с датами компиляции. Если выборкой назначить конкретно spyware и конкретно APT уровня то картина будет СОВЕРШЕННО другая. Поэтому это чушь, стыдно писать такое. Но вполне можно допустить, что в этом конкретном случае это таки аргумент, т.к. политических хаков, готовых на преступления не так много, найти среди них хороших профессионалов непросто, поэтому вполне могли обосраться с этим нюансом, да и сроки возможно поджимали, некогда было тщательно планировать, напишу ему фкамменты когда доберусь домой;
- в статье не адресован аргумент одного и того же SSL сертификата (действительно, как таг -- или айпишник служил тем же целям и с тем же сертом, или крайне маловероятно, что айпишник забрали, а серт тотже -- чё за бред);
- "хак" ДНЦ ладно, консенсус сейчас вроде бы в том, что там не обнаружилось слишком уж большого-то криминала, самый крутой компромат был из почты Подесты;
- кто тогда зафишил Подесту? Этот вопрос исследователи и консервативные конспирологи обычно обходят стороной.
Общий вывод, как нетрудно догадаться, в том что нихрена неясно, а люди, которые знают что и как, скорее всего унесут это знание с собой в могилу. Также ясно, что на 95% "russian collusion" это раздутая МСМ ахинея, почти не имеющая никакой связи с реальностью, бла-бла-бла.
Исчо на Щикагской хакерской конференции "thotcon" в прошлом году сотрудник КраудСтрайка делал презентацию, типа, он был один из тех, кто расследовал инцидент. Попробую поискать видос, плюс, знаю пару человек, которые посещали мероприятие и спрошу чё как у них.
