Чьи хакеры проникли в электросети США?

2 1351

31 декабря власти США сообщили об атаке "российских хакеров" на американские электросети.А все началось с того, что вермонтская компания, поставляющая электричество, обнаружила вредоносный код на лаптопе и обратились в ФБР.

В четверг 29 декабря ФБР и ДНБ (департамент нац. безопасности) распространили совместный отчет о хакерской атаке, которой присвоили кодовое имя "Степь Гриззли". Там утверждается, что атака инициирована российским правительством. Вместе с отчетом они распространили часть вредоносного кода (malware) написанном на языке PHP, который использовался в атаке.

В пятницу вермонтская компания "Burlington Electric" заявила, что вредоносный код был обнаружен на лаптопе, даже не подключенном к сети управления электросетями.

Burlington Electric: "Мы сразу же изолировали лаптоп и обратились к федералам. Наша команда плотно работает с федеральными агентствами, чтобы расследовать происшествие."

СМИ США разразились истерикой о том, как русские хакеры взломали электросети США, призывая федеральное правительство защитить американцев от Путина.

Между тем, IT специалисты, изучившие код и прочие свидетельства, не уверены, что это подтверждает связь с Россией, а уж тем более с российским правительством.

Компания Wordfence, специализирующаяся на кибербезопасности, и в особенности на платформе PHP WorldPress, опубликовала в пятницу пре-интереснейший отчет:

US Govt Data Shows Russia Used Outdated Ukrainian PHP Malware

Вкратце, Wordfence обнаружила, что вредоносный код является устаревшим хакерским инструментом, причем сделанным на Украине, под названием P.A.S.. Версия в отчете ФБР 3.1.7, когда на открытом веб сайте украинских хакеров уже доступна версия 4.1.1.

Очевидно, что воспользоваться открытым украинским кодом может любой хакер. Было бы разумно ожидать, что русские спецслужбы используют свои собственные инструменты, или хотя бы загрузят более новую версию украинского кода.

Вторая часть анализа сосредоточена на 876 IP адресах, с которых производились атаки. Адреса охватывают несколько десятков стран, и большая часть IP адресов находится ... в США. На втором месте Россия, на третьем Нидерланды.

Посмотрим на интернет провайдеров, которым принадлежат эти адреса. На первом месте Йота с 44 адресами, еще 5 у Ростелекома, но большая часть адресов приходится на хостинг компании, которые специализируются на PHP платформе WorldPress, такие как OVH SAS, Digital Ocean, Linode и Hetzner.

Wordfence:

Как мы видим в повседневной работе Wordfence, на таких хостингах много хакнутых сайтов, которые используются для последующих атак.15% адресов составляют адреса сервисов Tor, которые используются для анонимного доступа в сеть.

Из 876 адресов, представленных ФБР, 385 постоянно используются для атак на сервера наших заказчиков. За два месяца с этих адресов было произведено более 21 миллиона сложных атак и 14 миллионов атак с перебором пароля на сервера наших заказчиков.В общем, IP адреса используются большим количеством вредоносных программ, и не связаны именно с Россией.Не найдено никаких доказательств участия российского правительства в этой атаке.

«А что, так можно было?»
  • Nikkuro
  • Сегодня 15:57
  • В топе

Главный обывательский вопрос по итогам прошедшей ночи «А что, так можно было?»   Израиль совершил то же, за что Россию с подачи объединенного Запада  подвергли тотальной о...

Ехал мимо с женой и детьми: "Таинственный полковник Алексей" сорвал операцию СБУ. Рисковали жизнью все
  • sam88
  • Сегодня 07:03
  • В топе

После налета вражеских дронов на военный аэродром в Иркутской области по Сети широко разошлось видео: люди, взобравшись на крышу смертоносной фуры, пытаются помешать вылету БПЛА. Но ес...

Удар Израиля по Ирану означает, что большая Синагога жертвует Израилем в новой шахматной партии...

Только вчера, 12 июня 2025 года, я написал и опубликовал статью «Представьте себе, что так называемый «коллективный Запад» — это Синагога, живущая по законам Торы». Она про то, что иудаизм (иудейская ...

Обсудить