31 декабря власти США сообщили об атаке "российских хакеров" на американские электросети.А все началось с того, что вермонтская компания, поставляющая электричество, обнаружила вредоносный код на лаптопе и обратились в ФБР.
В четверг 29 декабря ФБР и ДНБ (департамент нац. безопасности) распространили совместный отчет о хакерской атаке, которой присвоили кодовое имя "Степь Гриззли". Там утверждается, что атака инициирована российским правительством. Вместе с отчетом они распространили часть вредоносного кода (malware) написанном на языке PHP, который использовался в атаке.
В пятницу вермонтская компания "Burlington Electric" заявила, что вредоносный код был обнаружен на лаптопе, даже не подключенном к сети управления электросетями.
Burlington Electric: "Мы сразу же изолировали лаптоп и обратились к федералам. Наша команда плотно работает с федеральными агентствами, чтобы расследовать происшествие."
СМИ США разразились истерикой о том, как русские хакеры взломали электросети США, призывая федеральное правительство защитить американцев от Путина.
Между тем, IT специалисты, изучившие код и прочие свидетельства, не уверены, что это подтверждает связь с Россией, а уж тем более с российским правительством.
Компания Wordfence, специализирующаяся на кибербезопасности, и в особенности на платформе PHP WorldPress, опубликовала в пятницу пре-интереснейший отчет:
US Govt Data Shows Russia Used Outdated Ukrainian PHP Malware
Вкратце, Wordfence обнаружила, что вредоносный код является устаревшим хакерским инструментом, причем сделанным на Украине, под названием P.A.S.. Версия в отчете ФБР 3.1.7, когда на открытом веб сайте украинских хакеров уже доступна версия 4.1.1.
Очевидно, что воспользоваться открытым украинским кодом может любой хакер. Было бы разумно ожидать, что русские спецслужбы используют свои собственные инструменты, или хотя бы загрузят более новую версию украинского кода.
Вторая часть анализа сосредоточена на 876 IP адресах, с которых производились атаки. Адреса охватывают несколько десятков стран, и большая часть IP адресов находится ... в США. На втором месте Россия, на третьем Нидерланды.
Посмотрим на интернет провайдеров, которым принадлежат эти адреса. На первом месте Йота с 44 адресами, еще 5 у Ростелекома, но большая часть адресов приходится на хостинг компании, которые специализируются на PHP платформе WorldPress, такие как OVH SAS, Digital Ocean, Linode и Hetzner.
Wordfence:
Как мы видим в повседневной работе Wordfence, на таких хостингах много хакнутых сайтов, которые используются для последующих атак.15% адресов составляют адреса сервисов Tor, которые используются для анонимного доступа в сеть.
Из 876 адресов, представленных ФБР, 385 постоянно используются для атак на сервера наших заказчиков. За два месяца с этих адресов было произведено более 21 миллиона сложных атак и 14 миллионов атак с перебором пароля на сервера наших заказчиков.В общем, IP адреса используются большим количеством вредоносных программ, и не связаны именно с Россией.Не найдено никаких доказательств участия российского правительства в этой атаке.
Оценили 14 человек
38 кармы