mikaprok (mikaprok) wrote,
mikaprok
mikaprok

Слезы Лазаря




Вот интересно, есть ли какие-либо точки сборки информации о масштабных публичных событиях или все как в известной притче все вынуждены ощупывают слона за известные места с закрытыми глазами.

Возьмем случай WannaCry. Народ следил в прямом эфире за перипетиями.  Уже придумали карту поражения, рассказали драматические детали из серии противостояния международным кибербанд домохозяйкам.

Сейчас туман немного развеялся и можно поговорить, отойдя от слона на безопасное расстояние.

Считается, что это модификация похищенного у NSA вируса, который уже был вброшен в феврале этого года в сеть.

Т.е. это рутинная деятельность – похищение секретных деструктивных объектов у NSA. С момента освещения находок Ассанжем никто не предпринял шагов по минимальной защите данных? Ай-яй-яй.

Значит, долго ли коротко ли, опубликовал его WikiLeaks и пошла писать губерния.

Но «всемирный слив» ничего похожего не выкладывал в публичный доступ, значит, страшно подумать, его либо украли у воров, либо воры сами его дописали да и вбросили от нечего делать в сеть.
Благо через неделю после этого лицо WikiLeaks решии выпустить на свободу, чтобы моментально арестовать :-)

Все сходится?

Ну как вам сказать...






На референсный  Eternal Blue он похож чуть менее чем никак.

До воскресенья, 14 мая, он распространялся по локальным сетям, а после этого появилось аж две новых версии, каждая из которых имеет принципиальную иную природу почкования – не в локальных сетях, а садясь верхом на почтовый сервер. Самая последняя разновидность появилась вчера и она также не похоже на все прошлые включения, как и на Eternal Blue.

Наконец два дня назад Kaspersky разразился откровением: похоже это «притча во языцах» группа северокорейских хакеров Lazarus. Название-то какое чучхэ удумали!?

Само наличие специалистов подобного профиля в КНДР является дискуссионной темой. Поэтому тратить время на мифы и легенды древнего Пхеньяна не стоит, а нужно непредвзято взглянуть на факты.

Где находился эпицентр атаки?

Началось всё с британской National Health Service. Буквально моментально степень скандальности выросла до терминальной: речь шла об отключении госпиталей от электричества и (как бы) неминуемой гибели части пациентов на искусственном дыхании.

Абсурд конечно, там все уже лет 40 на резервной батарее.

Дальше пошли сообщения о заражении Telefonica и FedEx и уже оттуда вирус пошел по рукам.

Вброшена версия, что это спонтанное проявление активности, рвется там, где тонко.





Есть, однако, два но:
1) во всех трех случаях выбирали организации с огромным количеством локальных рабочих станций, в ряде случаев, как показал пост-анализ, не имеющих прямого гейта в интернет. Эпидемия началась со внутренних подсетей;
2) случилось все практически одновременно. Сообщения на пул новостных агентств упали с задержкой в 10 минут и еще непонятно, кто фактически был первым.

Можно, чисто гипотетически, для смеха, попробовать такой вывод: кому-то нужно было иметь доступ к трем этим сетям изнутри для закладки сюрприза и наш «кто-то» очень хотел масштабами своей деятельности (в общем-то невинной в сравнении с тем, что можно было бы сделать) скрыть деструктивные действия, вызванные так называемыми модификациями вируса. В последнем случае все важно было свалить на «хулиганское заражение» и под сурдинку совершить несколько действительно важных шагов. Частного порядка.

Прежде чем говорить о версиях и целях в рамках моей гипотезы, нужно сказать пару слов о потенциальном исполнителей. Начинать придется издалека, поэтому посвящу этой теме отдельный пост в ближайшее время.


https://telegram.me/mikaprok

Tags: #cyber, #hackers, #lazarus, #russia, #uk, #wannacry, #wikileaks, #россия, #хакеры
Subscribe
promo mikaprok july 7, 00:17 88
Buy for 20 tokens
Редкий для меня служебно-личный пост. За последние полгода накопилось просто какое-то невероятное количество тем, о которых стоит поговорить, но за повседневной текучкой не доходят руки. Причем большей частью тем вполне жежешных форматов, которые не нужно упрощать-адаптировать и…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 7 comments