mikaprok (mikaprok) wrote,
mikaprok
mikaprok

Слезы Лазаря




Вот интересно, есть ли какие-либо точки сборки информации о масштабных публичных событиях или все как в известной притче все вынуждены ощупывают слона за известные места с закрытыми глазами.

Возьмем случай WannaCry. Народ следил в прямом эфире за перипетиями.  Уже придумали карту поражения, рассказали драматические детали из серии противостояния международным кибербанд домохозяйкам.

Сейчас туман немного развеялся и можно поговорить, отойдя от слона на безопасное расстояние.

Считается, что это модификация похищенного у NSA вируса, который уже был вброшен в феврале этого года в сеть.

Т.е. это рутинная деятельность – похищение секретных деструктивных объектов у NSA. С момента освещения находок Ассанжем никто не предпринял шагов по минимальной защите данных? Ай-яй-яй.

Значит, долго ли коротко ли, опубликовал его WikiLeaks и пошла писать губерния.

Но «всемирный слив» ничего похожего не выкладывал в публичный доступ, значит, страшно подумать, его либо украли у воров, либо воры сами его дописали да и вбросили от нечего делать в сеть.
Благо через неделю после этого лицо WikiLeaks решии выпустить на свободу, чтобы моментально арестовать :-)

Все сходится?

Ну как вам сказать...






На референсный  Eternal Blue он похож чуть менее чем никак.

До воскресенья, 14 мая, он распространялся по локальным сетям, а после этого появилось аж две новых версии, каждая из которых имеет принципиальную иную природу почкования – не в локальных сетях, а садясь верхом на почтовый сервер. Самая последняя разновидность появилась вчера и она также не похоже на все прошлые включения, как и на Eternal Blue.

Наконец два дня назад Kaspersky разразился откровением: похоже это «притча во языцах» группа северокорейских хакеров Lazarus. Название-то какое чучхэ удумали!?

Само наличие специалистов подобного профиля в КНДР является дискуссионной темой. Поэтому тратить время на мифы и легенды древнего Пхеньяна не стоит, а нужно непредвзято взглянуть на факты.

Где находился эпицентр атаки?

Началось всё с британской National Health Service. Буквально моментально степень скандальности выросла до терминальной: речь шла об отключении госпиталей от электричества и (как бы) неминуемой гибели части пациентов на искусственном дыхании.

Абсурд конечно, там все уже лет 40 на резервной батарее.

Дальше пошли сообщения о заражении Telefonica и FedEx и уже оттуда вирус пошел по рукам.

Вброшена версия, что это спонтанное проявление активности, рвется там, где тонко.





Есть, однако, два но:
1) во всех трех случаях выбирали организации с огромным количеством локальных рабочих станций, в ряде случаев, как показал пост-анализ, не имеющих прямого гейта в интернет. Эпидемия началась со внутренних подсетей;
2) случилось все практически одновременно. Сообщения на пул новостных агентств упали с задержкой в 10 минут и еще непонятно, кто фактически был первым.

Можно, чисто гипотетически, для смеха, попробовать такой вывод: кому-то нужно было иметь доступ к трем этим сетям изнутри для закладки сюрприза и наш «кто-то» очень хотел масштабами своей деятельности (в общем-то невинной в сравнении с тем, что можно было бы сделать) скрыть деструктивные действия, вызванные так называемыми модификациями вируса. В последнем случае все важно было свалить на «хулиганское заражение» и под сурдинку совершить несколько действительно важных шагов. Частного порядка.

Прежде чем говорить о версиях и целях в рамках моей гипотезы, нужно сказать пару слов о потенциальном исполнителей. Начинать придется издалека, поэтому посвящу этой теме отдельный пост в ближайшее время.


https://telegram.me/mikaprok

Tags: #cyber, #hackers, #lazarus, #russia, #uk, #wannacry, #wikileaks, #россия, #хакеры
Subscribe
promo mikaprok july 7, 00:17 88
Buy for 20 tokens
Редкий для меня служебно-личный пост. За последние полгода накопилось просто какое-то невероятное количество тем, о которых стоит поговорить, но за повседневной текучкой не доходят руки. Причем большей частью тем вполне жежешных форматов, которые не нужно упрощать-адаптировать и…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 7 comments