mikaprok (mikaprok) wrote,
mikaprok
mikaprok

Category:

Слезы Лазаря




Вот интересно, есть ли какие-либо точки сборки информации о масштабных публичных событиях или все как в известной притче все вынуждены ощупывают слона за известные места с закрытыми глазами.

Возьмем случай WannaCry. Народ следил в прямом эфире за перипетиями.  Уже придумали карту поражения, рассказали драматические детали из серии противостояния международным кибербанд домохозяйкам.

Сейчас туман немного развеялся и можно поговорить, отойдя от слона на безопасное расстояние.

Считается, что это модификация похищенного у NSA вируса, который уже был вброшен в феврале этого года в сеть.

Т.е. это рутинная деятельность – похищение секретных деструктивных объектов у NSA. С момента освещения находок Ассанжем никто не предпринял шагов по минимальной защите данных? Ай-яй-яй.

Значит, долго ли коротко ли, опубликовал его WikiLeaks и пошла писать губерния.

Но «всемирный слив» ничего похожего не выкладывал в публичный доступ, значит, страшно подумать, его либо украли у воров, либо воры сами его дописали да и вбросили от нечего делать в сеть.
Благо через неделю после этого лицо WikiLeaks решии выпустить на свободу, чтобы моментально арестовать :-)

Все сходится?

Ну как вам сказать...






На референсный  Eternal Blue он похож чуть менее чем никак.

До воскресенья, 14 мая, он распространялся по локальным сетям, а после этого появилось аж две новых версии, каждая из которых имеет принципиальную иную природу почкования – не в локальных сетях, а садясь верхом на почтовый сервер. Самая последняя разновидность появилась вчера и она также не похоже на все прошлые включения, как и на Eternal Blue.

Наконец два дня назад Kaspersky разразился откровением: похоже это «притча во языцах» группа северокорейских хакеров Lazarus. Название-то какое чучхэ удумали!?

Само наличие специалистов подобного профиля в КНДР является дискуссионной темой. Поэтому тратить время на мифы и легенды древнего Пхеньяна не стоит, а нужно непредвзято взглянуть на факты.

Где находился эпицентр атаки?

Началось всё с британской National Health Service. Буквально моментально степень скандальности выросла до терминальной: речь шла об отключении госпиталей от электричества и (как бы) неминуемой гибели части пациентов на искусственном дыхании.

Абсурд конечно, там все уже лет 40 на резервной батарее.

Дальше пошли сообщения о заражении Telefonica и FedEx и уже оттуда вирус пошел по рукам.

Вброшена версия, что это спонтанное проявление активности, рвется там, где тонко.





Есть, однако, два но:
1) во всех трех случаях выбирали организации с огромным количеством локальных рабочих станций, в ряде случаев, как показал пост-анализ, не имеющих прямого гейта в интернет. Эпидемия началась со внутренних подсетей;
2) случилось все практически одновременно. Сообщения на пул новостных агентств упали с задержкой в 10 минут и еще непонятно, кто фактически был первым.

Можно, чисто гипотетически, для смеха, попробовать такой вывод: кому-то нужно было иметь доступ к трем этим сетям изнутри для закладки сюрприза и наш «кто-то» очень хотел масштабами своей деятельности (в общем-то невинной в сравнении с тем, что можно было бы сделать) скрыть деструктивные действия, вызванные так называемыми модификациями вируса. В последнем случае все важно было свалить на «хулиганское заражение» и под сурдинку совершить несколько действительно важных шагов. Частного порядка.

Прежде чем говорить о версиях и целях в рамках моей гипотезы, нужно сказать пару слов о потенциальном исполнителей. Начинать придется издалека, поэтому посвящу этой теме отдельный пост в ближайшее время.


https://telegram.me/mikaprok

Tags: #cyber, #hackers, #lazarus, #russia, #uk, #wannacry, #wikileaks, #россия, #хакеры
2
То есть, это не рутинная эпидемия вируса?
Не похоже, иначе бы она однообразно продолжалась. Там цикл затухания примерно 2-2,5 недели.
Однако, какой у вас кругозор!
Вирус внутри периметра распространяется моментально. Реализован так что внутри был рубильник.

https://news.ycombinator.com/item?id=14330547
Потом вот по щелчку Герой остановил эпидемию оригинального вируса.

https://news.ycombinator.com/item?id=14352568
Герой получил 10К и пиццу на год.

https://news.ycombinator.com/item?id=14340905
Вопрос зачем открыли личность героя? Он ведь встал на пути могущественного Мориарти. И теперь его ждет страшная кара.

Какой то сильно английский прикол.
// Сообщения на пул новостных агентств упали с задержкой в 10 минут
А сообщения поступали индивидуально из госпиталей? Просто если централизованно, через министерство здравоохранения какое-нибудь, у которого есть pr отдел, то это бы объяснило одновременность.
Сначало был госпиталь. Типо проблемы с ПО. А потом коллективно отчитались.
Да, интересно. У вас правдоподобная версия.