#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Хороший обзор событий опубликован TheRegister.

Западные СМИ кричат, что это были «русские». А собственно почему?

Думаю ответ очевиден.

 

Компания «ThreatConnect», занимающаяся вопросами безопасности и разведки, считает, что нашла неопровержимое доказательство того, что следы утечки переписки Демократической партии ведут непосредственно к российским хакерам.

Были проанализированы коммуникационные методы, используемые Guccifer 2.0, который, как считается, является псевдонимом группы злоумышленников, получивших доступ к компрометирующей переписке и передавших ее в WikiLeaks. На этой неделе документы были опубликованы на сайте, работающем под руководством Джулиана Ассанжа.

Компания «ThreatConnect» предоставляет читателям полный доступ к результатам своих изысканий, давая право решать самостоятельно, являются ли они веским доказательством участия России или же очередным случаем из серии «это сделала Северная Корея», как в ситуации с Sony Pictures.

Французский след

Говорят, что команда Guccifer использовала французский почтовый сервис AOL  для переписки с журналистами. Эти сообщения, отправленные с адреса guccifer20@aol.fr, были проштампованы французским IP-адресом — 95.130.15.34, что означает, что во время отправления пользователь использовал именно этот сетевой адрес. Метаданные аккаунта Guccifer в Twitter — в частности, языковые настройки и фоллоуверы – также наталкивают на предположения, что владелец аккаунта действовал, используя французский адрес. Guccifer также использовал адрес mail.com для общения с одним из корреспондентов. Опять же, этот почтовый сервис имеет французский IP-адрес.

То, что IP-адрес  95.130.15.34 принадлежит французскому серверу, владельцем которого является Интернет-провайдер DigiCube, означает, что ящику был назначен соответствующий IP-адрес, который и использовался Guccifer для доступа к французскому почтовому сервису AOL. Проверка этого почтового ящика показала наличие открытого сетевого протокола и туннельного протокола типа точка-точка.

Давайте пойдем дальше: фингерпринт сервера SSH — 80:19:eb:c8:80:a1:c6:ea:ea:37:ba:c0:26:c6:7f:61 – является уникальным для открытого ключа SSH. Этот фингерпринт может использоваться для обнаружения в сети других компьютеров, использующих тот же самый открытый ключ и, что наиболее вероятно, имеющих одного и того же оператора.

Снятие отпечатков

Поиск с помощью Shodan помог обнаружить другие компьютеры, имеющие шесть IP-адресов, принадлежащих DigiCube и тот же самый фингерпринт. DigiCube является лишь интернет-провайдером; сторонняя организация арендует у компании почтовые ящики и обеспечивает прокси-сервис. Наличие одного фингерпринта наталкивает на мысль, что каждый сервер представляет собой клон, управляемый единой организацией.

Один из тех IP-адресов, 95.130.9.198, ведет к fr1.vpn-service.us. Домен vpn-service.us был зарегистрирован в 2004 с использованием российского адреса электронной почты, sec.service@mail.ru.

Домен vpn-service.us существует и по сей день, являясь виртуальной частной сетью (VPN) с повышенной безопасностью, а также русскоязычным прокси-сервисом, предоставляющим доступ к интернету из Франции с использованием компьютеров, подключенных к провайдеру DigiCube. При входе в Elite VPN и после выбора французской точки присутствия, на выбор предлагается список IP-адресов для подключения к сети. Эти IP-адреса принадлежат компьютерам, имеющим один и тот же вышеупомянутый фингерпринт.

Таким образом, получается, что Elite VPN арендует серверы DigiCube, размещает на них прокси-сервисы, используемые группой Guccifer для подключения из другой точки мира к  французскому почтовому сервису AOL для отправки сообщений.

Таинственный IP-адрес

Вот что странно: IP-адрес, используемый с адресом французского почтового аккаунта AOL  AOL, не имеет отношения к обычным клиентам Elite VPN. Он лишь выглядит как принадлежащий к сети Elite VPN из-за наличия общего ключа.

«Основываясь на этой информации, мы можем подтвердить, что Guccifer 2.0 использует расположенный в России сервис Elite VPN и имеет доступ к IP-инфраструктуре, недоступной другим пользователям», – заявили представители исследовательской группы ThreatConnect.

«Мы не можем определить, используется ли IP-адрес 95.130.15.34 исключительно физическими лицами, стоящими за псевдонимом Guccifer 2.0. Следовательно, любая деятельность, связанная с IP-адресом, не может быть приписана лишь Guccifer 2.0,» – отметили представители ThreatConnect.

«Важно отметить, что IP-адреса 95.130.15.34, замеченного в переписке от имени Guccifer 2.0, нет в списке опции сервиса Elite VPN, хотя он имеет идентичный SSH фингерпринт и использует тот же самый порт (1723, PPTP ).

Компания «ThreatConnect» также отмечает, что IP-адрес 95.130.15.34 уже был использован в нескольких аферах, в том числе в российской брачной афере в 2014 году и в атаке на блоги WordPress в прошлом году.

Из этого делается вывод, что группа злоумышленников Guccifer тесно связана с Россией. Туда ведет дорожка и туда указывает обвиняющий перст.

«Дальнейшее исследование инфраструктуры Guccifer 2.0 все сильнее укрепляет нашу убежденность в том, что определенная платформа, находящаяся под контролем России, может выступать в качестве легального хакера», — говорят представители компании «ThreatConnect». «Москва определяет, какой информацией может делиться Guccifer 2.0, а какой – нет, таким образом, пытаясь воздействовать на освещение событий в СМИ, и, возможно, даже на сами выборы, преследуя при этом свои национальные интересы».

Это очень удобно

Безусловно, подобное заключение гармонично вписывается  в обычный рассказ о том, что именно русские стоят за хакерской атакой. Но неуклюжие действия Guccifer противоречат результатам двух расследований относительно кибервторжений в систему Демократической партии США. В них утверждается, что две группы, имеющие непосредственную связь с российской разведкой, осуществляли сложные вторжения на протяжении целого года.

Компания «ThreatConnect» выдвигает предположение, что информация была украдена российским правительством, а затем передана группе хакеров для распространения в западных СМИ. Это очень интересный взгляд. Конечно, вполне правдоподобно, что Guccifer 2.0 и не является тем самым хакером, взломавшим сервер Демократической партии, а лишь пешкой в чьей-то большой игре.

Установление личности хакера, как известно, весьма трудная задача. В некоторых случаях —  невыполнимая. Люди могут подключаться к сети из любой точки земного шара, использовать разнообразные инструменты и уловки, чтобы скрыть свое местонахождение и мотивацию. Использование российского VPN сервиса вовсе не означает, что хакерская атака была осуществлена из России или в ее интересах.

Кроме того, есть настораживающее сходство между этим случаем и предполагаемым взломом Sony Pictures хакерами из Северной Кореи. Многие специалисты в сфере безопасности убеждены, что имеющихся доказательств недостаточно для утверждения, что та хакерская атака была осуществлена именно Северной Кореей. Единственным, кто ничуть не сомневается в этом, является правительство США.

Тем временем, Guccifer 2.0 утверждает, что является хакером-одиночкой, не имеющим какой либо связи с правительством России. Но компания «ThreatConnect» убеждена, что подобное отрицание является лишь попыткой сбить исследователей с правильного следа.

Что касается российского правительства, то оно полностью отрицает свою причастность к инциденту. Хотя, по убеждению Мэнди Райс-Дэвис, кто же это мог быть, если не Россия.  Министр иностранных дел России, Сергей Лавров, дал прессе простой ответ на этот вопрос.

«Я не хочу использовать нецензурные слова,» сказал он.

 

Автор статьи: Царев Евгений

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.