Чьи хакеры проникли в электросети США?

2 1248

31 декабря власти США сообщили об атаке "российских хакеров" на американские электросети.А все началось с того, что вермонтская компания, поставляющая электричество, обнаружила вредоносный код на лаптопе и обратились в ФБР.

В четверг 29 декабря ФБР и ДНБ (департамент нац. безопасности) распространили совместный отчет о хакерской атаке, которой присвоили кодовое имя "Степь Гриззли". Там утверждается, что атака инициирована российским правительством. Вместе с отчетом они распространили часть вредоносного кода (malware) написанном на языке PHP, который использовался в атаке.

В пятницу вермонтская компания "Burlington Electric" заявила, что вредоносный код был обнаружен на лаптопе, даже не подключенном к сети управления электросетями.

Burlington Electric: "Мы сразу же изолировали лаптоп и обратились к федералам. Наша команда плотно работает с федеральными агентствами, чтобы расследовать происшествие."

СМИ США разразились истерикой о том, как русские хакеры взломали электросети США, призывая федеральное правительство защитить американцев от Путина.

Между тем, IT специалисты, изучившие код и прочие свидетельства, не уверены, что это подтверждает связь с Россией, а уж тем более с российским правительством.

Компания Wordfence, специализирующаяся на кибербезопасности, и в особенности на платформе PHP WorldPress, опубликовала в пятницу пре-интереснейший отчет:

US Govt Data Shows Russia Used Outdated Ukrainian PHP Malware

Вкратце, Wordfence обнаружила, что вредоносный код является устаревшим хакерским инструментом, причем сделанным на Украине, под названием P.A.S.. Версия в отчете ФБР 3.1.7, когда на открытом веб сайте украинских хакеров уже доступна версия 4.1.1.

Очевидно, что воспользоваться открытым украинским кодом может любой хакер. Было бы разумно ожидать, что русские спецслужбы используют свои собственные инструменты, или хотя бы загрузят более новую версию украинского кода.

Вторая часть анализа сосредоточена на 876 IP адресах, с которых производились атаки. Адреса охватывают несколько десятков стран, и большая часть IP адресов находится ... в США. На втором месте Россия, на третьем Нидерланды.

Посмотрим на интернет провайдеров, которым принадлежат эти адреса. На первом месте Йота с 44 адресами, еще 5 у Ростелекома, но большая часть адресов приходится на хостинг компании, которые специализируются на PHP платформе WorldPress, такие как OVH SAS, Digital Ocean, Linode и Hetzner.

Wordfence:

Как мы видим в повседневной работе Wordfence, на таких хостингах много хакнутых сайтов, которые используются для последующих атак.15% адресов составляют адреса сервисов Tor, которые используются для анонимного доступа в сеть.

Из 876 адресов, представленных ФБР, 385 постоянно используются для атак на сервера наших заказчиков. За два месяца с этих адресов было произведено более 21 миллиона сложных атак и 14 миллионов атак с перебором пароля на сервера наших заказчиков.В общем, IP адреса используются большим количеством вредоносных программ, и не связаны именно с Россией.Не найдено никаких доказательств участия российского правительства в этой атаке.

Утренний прилет по Южмашу — это крайне изящное и деликатное «послание» не Киеву, хотя и ему отчасти тоже. Это сигнал и «партии эскалации», и Трампу, если он решит использовать ее «таранный» потенциал. (с)

Последние два моих поста (про украинские «Канны 3.0» и действия «партии эскалации») многим не понравились. Прежде всего, своей жесткостью и циничностью. Понимаю людей, но от своего стиля – жесткой дек...

"Можно разбить "Южмаш" сверху, а внизу будет все работать": Первое боевое применение межконтинентальной убийцы ПРО

Русские ударили по Украине ракетой-носителем ядерного оружия. Под раздачу попало легендарное космическое предприятие. НАТО пока переваривает новость. Подробности читайте в материале "Но...

"ШОУБИЗ ИМЕНИ ПУГАЧЁВОЙ" – ВСЁ? РУССКИЕ ПОСТАВИЛИ ЗВЁЗД ПЕРЕД НЕПРИЯТНЫМ ФАКТОМ

"Шоубиз имени Пугачёвой" – всё, заканчивается? Русские зрители поставили "звёзд" перед неприятным фактом: организаторы констатируют существенное снижение интереса к надоевшим артистам.В очередной раз ...

Обсудить