Сегодня интернет новости расцвели очередной сенсацией. Дроворуб вышел на охоту за владельцами систем на базе Linux.
После чего пользователи операционки Linux встали в едином строю на защиту собственного АйТи имущества. По задумке, наверное, так и должно было случится. И конечно же с негодованием и возмущением. Опять эти русские! Несносный ГРУ и медведи! Доколе!
Раскрыли очередной заговор против свободного мира бойцы невидимого фронта из Федерального Бюро Расследований (FBI) и Агентство Национальной Безопасности (NSA).
Агенты заявляют, что название ПО «Дроворуб» (Drovorub) дано этой вредоносной программе русскими хакерами в погонах. Интересно почему не «Дровосек» например или «ДолбодRтел»? В докладе используется довольно много различных профессиональных терминов. Я обратился за консультацией к специалистам и получил ответы типа для чайников на свой вопрос - что такое “attribution” и как это работает. “Attribution” в переводе с английского означаем приписывание. В контексте доклада ФБР и со. это принадлежность вредоносной программы тому или иному автору, группе лиц или организации.
Это сродни распознаванию актера в гриме при просмотре кинофильма. В качественном гриме и талантливом перевоплощение актёра распознавание будет трудным. Бесталанный же актёр в третьесортном киносериале таких затруднений не вызовет.
Хакеры так же имеют свой почерк, свои привычки и предпочтения. По этим критериям их часто идентифицируют. Помню лет 10 назад в новостях описывали курьезный случай с хакером, оставившим в комментариях к программному коду своё имя и электронную почту.
Подозреваю что в этот раз нашли медвежью шерсть.
Доклад ФБР подробно описывает принцип действия вредоносной программы и по мнению специалистов подготовлен профессионально. Самым слабым местом в этом документе является метод определение принадлежности вредоносной программы к конкретным личностям или организациям.
По заявлениям вышеупомянутых агентств, создателем или пользователем ПО «Дроворуб» является Главное Разведывательное Управление (ГРУ ГШ ВС РФ), подразделение 26165. Создается впечатление что в мире существуют два главных цифровых злодея. Первый работает в отделе 26165, а его собрат в Китайском отделе за номером 61398. ЦРУ и “Vault 7” можно в расчет не брать. Эти на стороне добра, т. е. «наши сукины дети».
Выводы о принадлежности ГРУ к ПО «Дроворуб» сделаны на основании (цитирую) «использования различных источников, методов и партнерских соглашений». Конкретики приведено не много. Да и не важна она, ведь в оговорке к этому документу прямо сказано, что «информация и выводы предоставлены без всяких гарантий и обязательств том виде как оно есть». То есть к делу эту бумагу не подошьешь, да и похоже никто и не старался. Снова «хайли лайкли» и точка.
Доказательствами принадлежности ГРУ к этой программе якобы являются два интернет адреса, один из которых ещё год назад засветился в атаках на устройства «Интернет вещей» (Internet of Things, IoT). Цель этих атак тогда так и не была выяснена. Скомпрометированные устройства просто брались под удаленный контроль. В результате этот адрес в августе 2019 попал во всевозможные черные списки и был заблокирован всеми более-менее значимыми организациями.
Вот этот интернет адрес 82.118.242.171 и находится он в Болгарии. С него цифровые злодеи согласно документу и подключались к контрольному центру ПО «Дроворуб» по интернет адресу 185.86.149.125 находящемуся в Литве или Швеции.
В прошлом году Microsoft заявила, что адрес 82.118.242.171 использовался русскими хакерами. Значит и в этом году это они же. Железобетонно. Это ведь сравни преступнику, который раз за разом возвращается на место своего преступления. Хотя может в ГРУ каждый год в это же время в баню?
С этим несчастным адресом кажется вообще ничего и никогда хорошего не происходило. Если посмотреть историю хостинга в интернет архиве, то на этом адресе было зарегистрировано несколько веб-сайтов в разный период времени. В основном мусорного содержания. Видимо это оборотни в погонах таким образом зарабатывали себе на новые компьютеры. Затем в прошлом году они закупились новым оборудованием, заодно размялись на "Интернет вещах". А уж в этом наконец то запустили Дроворуба.
Как-то так получается.