О взломе DNC

Попробуем рассмотреть доказательства в пользу того, что за кражей email DNC стоят «русские». Постараюсь избежать политики.

Итак у нас есть действующие лица, которые публикуют пространные отчеты, о взломе DNC и краже массива email. Есть компании, которые «проверяют» эти отчеты, для того чтобы утвердить или опровергнуть выводы.

Начнем с главного, и пожалуй самого авторитетного из команды, которая говорит «Это все сделали плохие русские» — Брюс Шнайдер. Ну что, можно сказать, не касаясь личности престарелого героя. Брюс кратко и лаконично утверждает «Виноваты русские», причем ссылается на отчеты компаний И журналистские расследования. Собственные выводы? Исследования? Нет. Просто и лаконично — «русские». Кому-то кажется стыдно. Комментарии к «выводу» стоят того, чтобы их почитать

Основной поставщик информации о краже данных, компания CrowdStrike. Они были наняты DNC чтобы расследовать этот инцидент. Ок, они предполагают, на основании того, что методы проникновения и закрепления в системе были использованы разные, что действовали 2 разные группы хакеров. Это логичное предположение. Далее они делают элегантную и в тоже время логичную вещь, обзывают 2 группы хакеров в соответствии со своим «неймингом» Это логично опять же, ведь пока нет причин ссылаться на классификации АРТ, или «нейминг» других компаний, ведущих исследования в области инфосека. И тут появляется элегантность и волшебство, легким движением руки формируется табличка

Вот так. Это теперь не COZY-FANCY, плод воображения CrowdStrike , а ранее известные, в том числе Касперскому (!!!) хакерские группировки. На основании того, что часть malware и ПО, использовавшаяся в проникновении и закреплении в системе DNC, ЧАСТИЧНО и ПО_НЕКОТОРЫМ признакам совпадает с использовавшимися ранее. То что существует рынок малвари, вирусов и подобных зловредов и инструментов, компании CrowdStrike, работающей по заказу одной из ведущих партий США, видимо не известно. Возможно ли не знать о darknet компании, которая занимается атрибуцией в стране, спецслужбы которой победили SilkRoad? Ой, и президент CrowdStrike Services и по совместительству CSO компании Shawn Henry — бывший «executive assistant director of the FBI» Ну может он им не сказал?

Ну, и далее следуют основные «доказательства«, время в которое фиксировался доступ и активность вышепоименованных хакерских групп, совпадает с рабочим временем в Москве. Я не могу рассматривать серьезно, на основании чего, CrowdStrike сделала выводы о принадлежности этих групп к ГРУ и ФСБ. Это уже из серии анекдотов про «Посадите его за изнасилование! Ну он же не насиловал? Да, но инструмент-то есть!» Никаких других доказательств, прямых или косвенных, CrowdStrike не приводит. Возможно они не публичные, в отличии от обвинений? Странно это.

Отдельно стоит остановиться на компании Fidelis Cybersecurity, которая проверяла отчет CrowdStrike. Да, они подтверждают, что все ТЕХНИЧЕСКИЕ детали, которые представлены в отчете CrowdStrike соответствуют истине. Детали — да, а выводы? Тут лучше процитировать: «While we believe this settles the question of “who was responsible for the DNC attack,” we will continue to watch, along with the rest of the security community, the new twists and turns this story takes as the U.S. presidential elections swings into full gear.»  Как говорят в американских фильмах: «Ууупс!»

За множеством технических деталей, которые описывает Fidelis, отлично маскируется только один вывод «Ну да, взлом произвели те, кого CrowdStrike называет CozyBear и FancyBear. А кто они, мы утверждать не можем, но CrowdStrike считает, что русские» Только вот Fidelis попытались «углубить» выводы CrowdStrike
И невзначай приплели к истории еще и Microsoft, и даже отчет о взломе Бундестага.

Давайте начнем с немецкого инцидента. И действительно, немецкий отчет очень красивый, четкий, ясный. Есть расхождения некие, но они вполне могут объяснятся давностью происшествия. Там тоже говорится о совпадающем наборе инструментов: malware, ПО для exfiltration data, и remote control, а также о ВОЗМОЖНОЙ причастности русских. Гипотеза о ВОЗМОЖНОЙ причастности русских хакеров, «спонсируемых правительством» строится на … гипотезе о ВОЗМОЖНОЙ причастности русскоязычных хакеров, выдвинутой FireEye, когда была заведена в каталог группа APT28. Зато в отчете есть ip-адреса С2 (Comand&Control) сервера, который hard-coded в malware. Этот ip-адрес в тот момент принадлежал bullet-proof хостеру, из Франции CroockServers.com, а физически располагался (ВОЗМОЖНО! По другим данным он и физически был во Франции) в Пакистане. В атаке был использован сертификат с CN Министерства Финансов Украины mail.mfa.gov.ua.
Вот скажите мне, что тут говорит о «русских правительственных хакерах»? Сервер Парламента Германии, члена ЕС, взламывают из Франции, члена ЕС, используя сертификат МинФина Украины. А виноваты русские? Чет перебор, нет? А спецслужбы ведущих стран ЕС не могут обменяться информацией?

Отчет Microsoft, на который ссылается Fidelis еще более технический, еще более конкретный, и вообще очень четко описывает «почерк» не совпадающий ну никак с «закрепленным» за «русскими» АРТ28 и АРТ29. То есть, все «доказательства» на тот момент, строятся на времени активности хакеров, совпадающих с московским «рабочим временем» и предположениях о том, что «это может быть выгодно России». ООООООкккк.

Потом некий хакер, Guccifer 2.0 , берет на себя ответственность за кражу почтовых сообщений у DNC, пытается общаться с СМИ, называет себя румыном, но не может ответить на румынском корреспонденту, попытавшемуся проверить его национальную принадлежность. И в массиве выложенных писем (которые выдаются за украденные) находят метаданные, о том что MS Office которым открывали эти письма, зарегистрирован на Феликса Дзержинского, и редакция Office поддерживает Russian Language. Вот это уже серьезней. Только почему-то этот хакер, которого с завидной регулярностью ловят на «ошибках» и несоответствиях, не выкладывает недостающую часть массива в 30 тысяч писем. Г-жа Клинтон их «удалила» якобы, но там «ничего интересного не было, исключительно личная переписка».

Напомню, что основной официальной причиной, по которой ФБР рекомендовала не предъявлять обвинение г-же Клинтон в связи с «инцидентом» было «Есть интересный вопрос, была ли она достаточно опытной, чтобы понимать, что означает пометка (C)» — это официальный ответ ФБР. Вот такой потрясающе интуитивный человек. Не понимает, что означает пометка «Top Secret», а какие 30 тысяч писем удалить — понимает. И у хакера, который якобы год провел внутри системы DNC, копируя информацию, тоже не сохранились эти 30 тысяч писем. Ну так бывает, жизнь сложная штука.

Источник: Алексей Пятигорский via facebook.com

Запись опубликована в рубрике Opinion. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s