«Знову про «Пецю» або «Я не вірю»

Все нижченаведене є моєю особистою думкою.
Жодних висновків робити не хочу, лишаю на роздум спільноті.

1. Я не вірю, що той «Пеця», який «НеПеця» був «ransomware». Це вже підтверджено спеціалістами , твердженням котрих я довіряю (issp.ua/...​-Reverse-by-ISSP-Labs.pdf). Не має він функціоналу щодо розшифрування.

2. Я не вірю, що він був закладений «задовго-задовго-задовго» до атаки. Інакше ті антивіруси, що оновилися, почали б алертити на бекапи. Цього наче немає.

3. Я не вірю, що в «НеПеці» була єдина мета — нанесення максимальної шкоди. Якщо ми стикнулись з пойняттям «кібервійни», то маємо розуміти, що у війні є як тактичні цілі та завдання, так і стратегічні. В даному випадку нанесення шкоди може бути однією з тактичних цілей, про стратегічні можна лише або здогадуватись, або знову ж таки читати думки експертів (у наведеному звіті крім технічного аналізу є припущення щодо цілей теж).

4. Я не вірю в те, що зловмисники (або розробники, або оператори даної операції) не передбачили те, що даний зразок (зразки) шкідливого програмного забезпечення будуть розбирати та аналізувати спеціалісти. Це був абсолютно передбачуваний сценарій. Проте, я поки не маю інформації щоб в проаналізованих зразках були застосовані якісь методи захисту від reverse-engineering. Виходить ця «зброя» була одноразовою або такою, якою можна пожертвувати для досягнення якоїсь мети в ході «бойових дій»? Що ж то за мета?

5. Я не вірю в те, що цей випадок не є продовдженням Закарпаттяобленерго 2015 та Укренерго/Казначейство/Укрзалізниця/Аеропорт "Бориспіль"/т.д. 2016. Щоразу наслідки все більші та більші.

6. Я не вірю, що це все мине просто так.

UPD: Я був не правий по пункту 2. Відповідно до отриманого звіту www.welivesecurity.com/...​elebots-cunning-backdoor — це був бекдор з 14-го квітня.

👍НравитсяПонравилось0
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

так а чим усе закінчилося?

Увы, такие истории редко заканчиваются хэппи-эндом. По большому счету их под силу расследовать только Интерполу со всеми присущими ограничениями его прав на суверенных территориях...

Дякую. Так. Вже відомо.
Вже, навіть, декілька зашифрованих файли були розшифровані зловмисником.

Скопирую свой же пост:

Читаю пост Авакова о великой победе СБУ и Киберполиции над уже двумя атаками Пети.

Простите, я правильно понимаю, что это уже вторая крупная победа этих структур меньше чем за месяц, после блокировки российских соцсетей, и третья за два с половиной месяца?

Что Украину поразил вирус, включённая в который отладочная информация позволила найти в коде украинское слово ЕДРПОУ, а также явные признаки того, что авторам был напрямую доступен весь исходный код «Медка», и что нацелена атака была именно на Украину?
geektimes.ru/post/290779

Что, судя по анализу всех модификаций Petya, над кодом работала другая команда, менее профессиональная, которая частично использовала коды версий Red и Gold, занулила процедуру декриптования и явно спешила со сроками сдачи проекта?
cripo.com.ua/?sect_id=8&aid=232365

Что на текущий момент создателям перечислено денег на 4 BTC (около $10к), но если бы они доделали процедуру дешифрации, или хотя бы перенесли её из старых версий с незначительной модификацией, то сумма стала бы заметно больше и они не могли этого не знать, учитывая, что XData принёс больше $100к, а, значит, деньги не были целью?

Что это третья за три месяца атака на сервера «Медка», использующая одни и те же уязвимости, которые существовали достаточно долго в серверах для популярного софта, используемого только внутри страны, не замеченные никем из наших, а только российскими хакерами?

Что именно Киберполиция и СБУ, после достаточно быстрой локализации проблемы, изъяли сервера, с которых началось заражение, как апрельское, так и нынешнее?

Какие удивительные совпадения.

Добрий аналіз, дякую!
Проте я би не пов’язував все це з фіналізацією на кіберполіцію та СБУ з іншими. Вони лише реагують.

Я как раз 50/50 уверен, что после этого мне пора надеть шапочку из фольги. И ещё не исключаю, что я просто предвзят к Киберполиции. Но всё-таки я склонен думать, что это довольно подлая комбинация для расширения полномочий ведомства Авакова. Возможно даже, при участии конкурентов, к примеру, в лице группы компаний «Ам Софт».

Ельдаре, ну, якщо ви праві, то нам усім пора буде шапочку з фольги вдягати :)
Проте версію щодо конкурентів я не підтримую. Витрати такі кошти на створення та організацію атаки лише заради шкоди конкуренту — наврядше, вдавляться краще, на мій погляд :) Але цікаво! Дякую!

Стратегічна мета непєці — встановити закладки від ФСБ у вигляді антивірусу каспєрського на усі нові компьютери тайожного сойузу. Вони своїм представили програму кабміну нещодавно, яка саме це й передбачає (прямою мовою — примусовий вітчизняний антивірус на усіх комп’ютерах, що продаються на території еврозесу; фактично — 90% каспер, та 10% дрвеб для Бурятії; сбулася мрія євгеші потрапити на мак). А оскільки головна тема їх новин — Україна, то набагато крутішій WannaCry такого ефекту би не досягнув. Сусіди не були б сусідами, якби не плекали культуру мєтателєй бумерангів.

По п.5 согласен, только в предыдущих снимали и собирали инфу достаточно долго и удар в час Х был нацелен на зачистку следов присутствия и отход. То есть можно предположить, что на данном этапе воспользовались собранной ранее информацией и опытом от предыдущей.
По п.2 не согласен. Была информация, что атака не производилась, если было установлен определенный софт. И как бы дырка появилась задолго до атаки. Возможно, да и были случаи, когда компы падали после обновления медка еще до атаки. Только это было единично. Так что

«задовго-задовго-задовго»

на реале возможно тестирование и было, просто никто не придал значения и надлежащего внимания.
По п.3 согласен. Относительно стратегической цели — нужно всего навсего дождаться в какую сторону теперь переметнутся в части выбора бухгалтерского софта вместо того, относительно которого введены санкции. Может и свои заказали.
По п.4 сомневаюсь, что все прям так и кинулись переписывать ПО, чтоб оно не требовало административных прав доступа. Напишут кучу бумаг, назначат ответственных/крайних, на этом все и утихнет до следующего раза. Повезет, если кто-то из 400 спартанцев придумает как на этом что-то ..., и это будет толчком хоть что-то... От приказов генераторы, два ввода, софт, железо, периметры, сети и т.п. не появляются. 20 лет уже наблюдаю как пишут ежегодный контроль по железу, софту, лицензиям и одно и тоже в бюджетных запытах, и что с того .... Так что достаточно еще одну дверку в другом софте нарыть, и еще разок теми же методами ...

Дивіться, я про пункт 2 вже писав, що був не правий, в UPD.

«Доченька, бывают просто сны».
Если не мыть руки после туалета, то рано или поздно подхватишь дизентерию.
Если жечь под мостом барахолки, то рано или поздно мост обвалится.
Если финансировать ИТ по остаточному принципу, рано или поздно средней руки хакер обрушит всю инфраструктуру.

2. Я не вірю, що він був закладений «задовго-задовго-задовго» до атаки. Інакше ті антивіруси, що оновилися, почали б алертити на бекапи. Цього наче немає.

С какой радости они должны что-то алертить, если тело можно простенько зашифровать обычным XOR, а те, кто изучал дискретную математику могут использовать (x & ~y) | (~x & y) чтобы параноидальные эвристические анализаторы даже не видели команды XOR.

Ця технологія не спрацює. Вона доволі легко розкривається. Тому, після апдейту бази сигнатур, антивірус би викидав алерт на бекап.

Как он попадёт в базу сигнатур, если он сидит тихо и никто не видит, что это вирус?

Дивіться:
1. Він вже спрацював і його виокремили спеціалісти та дослідили.
2. Таким чином є його сигнатури та їх представлення в різних варіантах, в тому числі поведінкові характеристики.
3. Бази даних сигнатур та поведінки оновились.
4. Тепер якщо в бекапі є зловмисний код, то антивіруси мають на нього спрацювати: або при статичній перевірці бекапу, або при його розгортанні та динамічному аналізі, наприклад, в sandbox. А цього не спостерігається ні в першому, ні в другому випадку.

Для этого надо знать механизм скачивания обновления и его распаковки на компе. Нигде эта информация не является доступной. Файл с вирусом мог вполне идти прицепом с обновлением, отдельным файлом. Если обновление медка запускает шел из под админа для регистрации сервисов и т.п., то вот и дырка.

В даному випадку sandbox покаже все. Але справа не в тому. Тільки що отримав новий звіт. Це бекдор у Медку з 14 квітня. Я був не правий.

Та он евангелист и визионер, что ты с ним споришь...

Я так понимаю, что это призыв к обсуждению тезисов. Мои пять копеек.

Первое. Тут не клеятся два нюанса:

Я не вірю, що в «НеПеці» була єдина мета — нанесення максимальної шкоди.
Не має він функціоналу щодо розшифрування.

Если бы это было организовано «нашими» (про-украинскими силами) для тренировки СБ, то ключик чудесным образом материализовался бы. А цель уже давно российские тролли описали фразой «цифровой Илловайск». Напомню, Илловайск приурочивался ко Дню Независимости, а Пэця.С ко Дню Конституции. Я думаю вы недооцениваете неудержимую веру в СИМВОЛИЗМ сторонников «российской княгини Анны Киевской».

Второе

Виходить ця «зброя» була одноразовою або такою, якою можна пожертвувати для досягнення якоїсь мети в ході «бойових дій»?

А тут переоценка возможностей атакующих. Они обычные люди, а не герои фильма Крепкий Орешек 4.

Это не последняя атака, однозначно.

«Тренування» — найостанніша, на мій погляд, з версій.
Щодо символізму — згоден з вами, може і дійсно так.
Щодо переоцінки можливостей, то я думаю, що в такому випадку це була демонстрація сили приурочена до певної дати. Тоді все лягає в єдину логіку.
Дякую за коментар.

А може, якимсь дурням пощастило все зламати. А хотіли лише погратися/потренуватись.

Забагато точок проникнення. У вашому варіанті було б єдине джерело розповсюдження. А їх було багато.

по логике тогда ваш пункт 2 отпадает. иньекция через медок, думаю, предполагала определенную подготовку. не удивлюсь, что некоторые из «товарищей производителей» спокойно дискутируют с нами на доу)))

Я вже заапдейтив пост. Визнав, що був не правий :)

Вкратце: я не верю, подумайте об этом.
Подробней:
1. Возможна только одна причина тому, о чем предполагают специалисты.
2. Антивирусы работают как-то так.
3. Можно придумать стратегические цели.
4. Враг не защищался.
5. Вспомните былое.
6. Подумайте о будущем.

Заюзаю той самий дісклеймер

Все нижченаведене є моєю особистою думкою.

1. Звернути увагу на масшатаби проблеми
2. Emergency wipe, щоб замести сліди (wannacry post-cleanup)
3. Тренування.

4. Демонстрация возможностей (например, чтобы получить серьезное финансирование)

А ось це, на мій погляд, дуже ймовірно.

Подписаться на комментарии