WordPress bol použitý ako riadiaci server pri Election Hack 2016
Minulý týždeň, americké DHS (Department of Homeland Security) vydalo správu s hlbšou analýzou pokusov ruských tajných služieb o ovplyvnenie volieb v USA z roku 2016. V tomto útoku slúžila jedna inštalácia WordPress na komunikáciu s malwarom napadnutými stanicami s operačným systémom Windows. Stručnejšie spísaný vektor útokov nájdete aj v zdroji správičky.
Zdroj: Wordfence.com
Pre pridávanie komentárov sa musíte prihlásiť.
Keď sem prídem s ruskou IP, som ruský hacker? Toto dnes dokážu deti na základnej škole, a ten bull shit amerických tajných složieb je čistý HOAX.
Cital si tu spravu vobec? Ja som presvedceny ze utok v takom rozsahu deti na zakladnej skole spravit nedokazu.
Píšem len o tom, že IP geolokácia vôbec nehovorí nič o tom odkiaľ útoky pochádzajú. Pretože pokiaľ nebude spolupracovať ruská strana (čo nebude), nikto sa nikdy nedozvie či to išlo z Ruska, alebo odkiaľ to do Ruska prišlo. Ono je to v skutočnosti zistiť ešte ťažšie ako sa to môže javiť, pretože spravidla sa útoku zúčastňujú nevinné počítače nič netušiacich užívateľov MS Windows s trojanom a prevádzka prebieha šifrovane.
no vidis, a pritom stacilo napisat - nie spravu som si neprecital. BTW ak sa k nej niekedy dostanes, odporucam hlavne cast priloh. Whois, host, dig a podobne nastroje by mali byt pri tomto studiu tvoji kamarati :)
To že som to nečítal som mohol napísať, ale je to až moc dlhé.
Ako dokázali, že to ide z Ruska? Hocikto si môže exit node spraviť v Rusku a ako zistíš, že to neboli Slováci? To ako by si povedal, že spam z Ruska posielajú Rusy zo svojich počítačov. Pointa je taká, že v Rusku sú vďaka chudobe milióny inštalácií z Uloz.to a vďaka tomu sú hneď po inštalácií pripravené ako brána pre hackrov. Neviem si predstaviť ako by si chcel dokázať odkiaľ ide pôvodný útok, jedine žeby prevádzku zmonitorovali všetky ruský provideri.
Cize mi vlastne vravis: "Sice som necital to na co sa odvolavas, ale aj tak sa mylis."? Hmmm :/ Pri logike ktoru pouzivas by boli utoky socialneho hackingu rovnomerne rozlozene aj medzi ostatne krajiny s vysokou mierou softveroveho piratstva.
Takze v skratke. Riadiace domeny malveru boli prevazne ruske, ukrajinske a .com s ruskymi registratormi. IPecky riadiacich serverov potom prevazne ruske, ukrajinske a americke, aj ked pri IPckach ako pises je tento udaj nepouzitelny.
Su to iba "initial findings", takze som zvedavy na celkove vysledky ak nejake budu. Momentalne som vsak presvedceny o tom, ze takyto plosny utok by dokazalo spravit iba par krajin na svete, pripadne niektore korporacie. Rusi mali pri tom zo vsetkych najvacsiu motivaciu taketo nieco spravit. Navyse hacknute data demokratickej strany obdrzali WikiLeaks od ruskej tajnej sluzby, rusi sa vsemozne snazia ovplyvnovat dianie v inych krajinach cez svoju propagandu a nastrcenych trollov (od RT az po Zem a vek), pouzitie ruskeho malveru X-Agent pri utokoch, atd. atd. atd.
Mne je úplne jasné, že vlády si platia hackerské nástroje, aby ich použili na svoje ciele, však cca rok dozadu, čo vylámali Talianov, tak tam boli faktúry od slovenskej aj českej strany.
Nič z toho čo si spomenul, ale nieje dôkaz, či ide o domény, lokalizáciu, alebo dôvody. Tak schválne keby si chcel napadnúť americkú organizáciu, tak z ktorej krajiny by si cielil útok?
Veľkosť útoku tiež nieje až taký problém.
Nedá sa súdiť za vraždu, len pretože mám nožík. Kľudne to mohli byť Rusy, ale ozajstné dôkazy asi nikdy existovať nebudú. Takže v demokratickej krajine znie rozsudok, nevinný.
PS: Čo je to RT, keď to vidím vedľa Zem a vek, to bude nejaká kvalitka :)
Velkost utoku nie je problem, ak by sa jednalo o automatizovany utok a nie socialny hacking. Na tento utok bolo (a je) vyuzite masivne mnozstvo clovekohodin. Tento utok proste nesie nuansy a drzost KGB ci CIA z cias studenej vojny a prilis vela "neozajstnych" dokazov smeruje na vychod od nas. Ak by som napadal akukolvek organizaciu z ktorejkolvek krajiny, tak by som sa snazil utok rozdelit nahodne z celeho sveta, idealne cez multihop proxyny.
BTW pre odsudenie stacia aj nepriame dokazy (minimalne u nas), citujem z judikatu - "O nepriame dôkazy môže súd opierať výrok o vine len za predpokladu, že tieto vytvárajú vo svojom súhrne logickú, ničím nenarušenú a uzatvorenú sústavu". Cize ak by si mal nozik, ktory zodpoveda vrazednej zbrani, mal motiv a nemal alibi, tak su tvoje sance dost nahnute.
PS: Russia Today
"Ak by som napadal akukolvek organizaciu z ktorejkolvek krajiny, tak by som sa snazil utok rozdelit nahodne z celeho sveta, idealne cez multihop proxyny."
Ale ak by si to chcel hodit na jednu krajinu tak by si postupoval inak :D
Ak by som to chcel hodit na jednu krajinu, tak by som nesiel aj z ukrajinskych ci americkych serverov :D
Veď to je úplne jedno, ale úplne... Tí druhí sú tí zlí a my sme tí dobrí, a preto vyčleníme X-násobne väčšie prostriedky na ochranu, lebo to znie tak cyber IT & hack popitchi a ľudia tomu nerozumejú. (Zamlčíme, že sme absolútne neschopní a peniaze idú do riti(nám<-väčšina). A budeme len obviňovať niekoho, kto čokoľvek odmieta komentovať:)
Ze si si tu spravu necital ani ty? Nie je to jedno. Bagatelizovanie utokov ruska, ktore realne prebiehaju a demonizovanie cohokolvek co len obislo okolo ameriky ci EU je dost naivne.
Na jednej strane mi poviete ze moje realne potvrdene fakty nie su dokazmi a na druhu stranu vidite do tajnych kuchyni sprisahancov, ktori chcu okradat danovych poplatnikov, alebo CIA ci NSA, ktore chcu takymto prekombinovanym sposobom obvinit neskodne Rusko, co ste im samozrejme vy dokazali odhalit bez toho aby ste si vobec precitali spravu ku ktorej sa vyjadrujete...
Je to take slovenske a bohuzial ak sa nieco nezmeni tak si pri sucasnom vyvoji budeme musiet spravit reparat z hisotrie od 50. rokov minuleho storocia.
Kto tu útočí je USA a ich prisluhovač Merkelová. Koľko má USA a jeho žoldnieri na svedomí mrtvych ludí po celom svete ty ZMRD zapredaný? Veď neboj sa nič už to nebude dlho trvať a takí ako ti dostanú čo si ZASLÚŽIA. Už to pochopili Angličania, zachvílu sa zariadia aj Francúzi... USA sú riadené úzkou skupinou ludí a PÁN PREZIDENT Putin je jediní kto dokáže zabrániť ich túžbe ovládnuť celí svet. Slovianska vzájomnosť ich desí a preto robia takéto tajné operácie ktoré múdrich ludí ale neoklamú. Teba OKLAMALI a ty si ich eše zastávaš alebo ťa PLATIA? Fuj! Ako je možné že takí ZAPREDANEC ako ti robí redaktora na tomto serveri? Nehanbíš sa podsúvať sem jednostrane PROAMERICKÚ propagandu? Nevieš nič... Keby nebolo Rusko také silné na čele s PÁNOM PREZIDENTOM Putinom tak nás už v európe prevalcujú moslimovia a nebol by ani poriadok v Sýrii. Rusko je však silné a nenechá sa vyprovokovať ÚBOHÝMI pokusmy USA a EU v spojení s NATO a rozpútanie vojny...aj keď vie že s takým silním vodcom ako je PÁN PREZIDNET Putin by rozmetalo všetky nepriateľské armády... To si musíš uvedomiť ty ZMRD a než tu prestaneš uverejňovať takéto propagandistické SRAČKY tak neuverejňuj nič. Mal bi si si trochu rozšíriť svoje vzdelanie na iných než špinavých stránkach podplateních slovenskích presstitútok... Keby si si prečítal aj russiatoday, slobodný visielač, alebo zem a vek na ktoré nadávaš, tak bi si takéto bláboly nemohol vypustiť. Oni sa pravdu neboja ukázať keď sa ju nebojíš prijať!!!
http://www.hlavnespravy.sk/putin-cielom-rozsirovania-nato-je-zadrziavanie-ruska/899422
https://slobodnyvysielac.sk/2017/02/15/do-rumunska-zacali-prichadzat-americki-vojaci/?v=13dd621f2711
http://www.zemavek.sk/articles/view/jozef-zarnovican-asv-ziada-presetrit-podozrenia-zo-spolcovania-sa-s-cudzou-mocou
https://www.rt.com/politics/376552-confrontational-moves-russian-envoy-blasts/
Ale no tak, trochu s nadhladom pani. Treba si s kludom prezriet 119 stran spravy a preverit udaje. nie je to az tak ciernobiele.
Problemom je ze v kyber priestore sa lahko da maskovat, ako to uz tu niekto pisal, IP adresa sa da krasne zamaskovat. Trojan ktore boli pouzite su dost rozsirene a hlavne su modifikovane stare verzie, ktore boli AV detekovane. Zdroje ukazuju Novosibirsk, NY, Juhoafricka Republika. Backdoor PHP/WebShell.A je z 11/2011 a tiez diery boli pravdupovediac dost fuzate.
Problem je ze ani jedna z "uvadzanych" domen nie je hostovana v Rusku, aj ta pisana na Rusa, wilcarobe.com, bola prevadzkovana z HongKongu
Na wordfence uz v decembri zverejnili ze bol pouzity stary Ukrajinsky malware. Je tam aj konkretny popis vratane porovnania P.A.S. 3.1.7 a P.A.S. 4.1.1b, ktore boli pouzite a su na darkwebe k stiahnutiu
a dokonca som nasiel ich mutaciu aj na githube od clena Nairobi GNU/Linux User Group :-)
Poeov zákon
Pravdu sa nedozvieš ani ty ani ja, ale o tom som ani nepísal.
Osobne ľudí súdim podľa toho čo robia a nie odkiaľ sú. Ako fanda free software som si nechal kód napísať od Američana, Rusa, Holanďana, Gréka, Nóra a obyvateľa Afriky, všetkým ďakujem za to že robia svet lepším miestom na zemi, to len tak na rýchlo čo som si spomenul.
Sám si polož otázku, či by si také niečo dokázal a ako by si falšoval geolokáciu, jazyk a nástroje na hacking.
Nemusí pretiecť veľa vody a druhá strana vydá rovnakú správu, alebo sa stane niečo iné, možno horšie.
Mám ťa rád a dúfam že tento nasraný výkrik ani nebol proti mne, mňa len štve keď sa to takto jednoducho zhrne hoci hneď na začiatku správy máš zrieknutie sa za obsah správy: Security (DHS) neposkytuje žiadne záruky týkajúce sa všetkých informácií v nej obsiahnutých.. Toto moc dôveryhodnosti neprispieva.
urcite to nebol nasraty vykrik miereny proti tebe ako osobe. Stve ma sucasny stav SK spolocnosti, kedy su alternativne weby vydavane za tie, ktore ako jedine ukazu ludom tu jedinu spravnu pravdu(TM) pretoze spravy od realnych ludi - redaktorov, ktori ziju s nami v tomto state a su dohladatelni maju v ociach bezneho cloveka mensiu hodnotu ako vygooglene HOAXy ktore najdes vo vsetkych clickbaitovych "mediach". Tento trend sa cim dalej, tym viac prehlbuje a je to zrejme od volebnych preferencii jednotlivych polit. stran, cez navstevnost a popularitu jednotlivych stranok a medii az po trendy medzi mladymi, ale aj starymi. Potom ked si precitam nieco ako v prvom komentari, (argumentacia bez argumentacie) tak to vyvola nechcenu reakciu :) Kazdopadne nie som neomylny a rad sa necham poucit, ak su nejake realne argumenty (ake napriklad dal redhawk dole).
Teraz by som tu spravicku napisal asi inac, budem si musiet na to davat vacsi pozor, pretoze cokolvek do coho vojde rusko ci spojene staty su na tomto portali citliva tema. Osobne proti jednej ani druhej krajine nic nemam. Maju krasnu prirodu, daju sa u nich najst skveli ludia ale aj blbci, tak ako v kazdej krajine, politika aku vedu mi vadi u oboch. Rusko je vsak blizsie geograficky aj historicky a tym padom mi viac "trha zily" :)
Fun fact k tomu zrieknutiu sa zodpovednosti - taketo prehlasenia sa davaju stadardne v spravach a analyzach - davaju sa dokonca ku analyzam z merani laboratorii pre dovoz nebezpecneho tovaru do EU z Ciny :)
Úplne ťa chápem a rovnako neznášam nekonečné reči o tom ako je v US všetko zlé, vyváženosť informácií si ale musíš spraviť sám, pretože tam je vyššia politika bez objektivity. Skresľuje to asi skutočnosť, že tí s tými "zaručenými správami" sú hlučnejší.
Je to trochu od veci, ale pre mňa je stará dobrá Amerika Gran Torino.
Nerobím si o politike žiadne ideály, kedysi som mal nutkanie tam vstúpiť, ale spoľahlivo ma vždy odradili. Tak nejak sa snažím meniť veci odspodu myšlienkami slobodného zdieľania informácií, alebo lepšie povedané spolupráce ako takej.
Keď si teraz zoberieš tú protiruskú kampaň a rovnako tú protiamerickú, myslíš si že ti niekedy tajné služby povedia pravdu? Sú za tým vyššie záujmy.
Som rád, že si o tom napísal a je fajn, že tu vznikla táto debata, mám rád keď sa názory preberú a nemusia padnúť ani osobné urážky, hoci vždy sa nájde niekto kto ich tu prskne. Ja inak chápem aj tieto postoje, pretože sú ľudia výbušnejšej povahy a potrebujú to dostať zo seba.
tie tvoje windowsy...
Medzi slobodným a záchodovým pardón closet, teda closed softvérom je v tom, že ten slobodný môžeš ukradnúť priamo od vydavateľa aj s hashom aby si si overil pravosť inštalačky a to zadarmo. No a neuveríš "send (file, chinaIP)" je ďaleko čitateľnejšie ako "01110100100101100100101".
Ešte máme nejaký poddotaz?
cely ten utok od "rusov" je dost divny, a zaujimave programy na FTP (Ghislerov TTC :-) )
Uz len zdrojove adresy a ich registratori su divny:
private.directinvesting.com - 204.12.12.40 - The MONEYPAPER Inc. 555 Theodore Fremd Avenue suite B-103 Rye (NY)
cderlearn.com - 209.236.67.159 - registrator Enom Inc. pre UK2Group 517 West, Providence Utah
editprod.waterfilter.in.ua - tiez 176.114.0.120 (lokalizovany C&C server) a 176.114.0.157 Olexander Sedinkin Bojarka, Kyjev
insta.reduct.ru - 146.185.161.126 (lokalizovany C&C server DNS lookup daval error (WTF?)) - Digital Ocean Inc 101 Ave of Americas, 10 poschodie New York "prevadzkovany" v Holandsku, poskytuju Cloud a virtual. servery
one2shopee.com - 69.195.129.72 - registrator Dynadot llc pre Kleissner & Associates s.r.o. Na Strži 1702/65 Praha ( LookingGlass Cyber Solutions predtym ARC Securities) na registracny email domains@virustracker.info - cize je mozne ze ide o Honeypot
ritsoperrol.ru - DNS NameError
littjohnwilhap.ru - DNS NameError
wilcarobe.com - Arsen Ramzanov, Zlatoustaja 14/2 Sadovoje, Rusko. domena zablokovana aj objednavatel - objednane v Hong Kongu, podla zaznamu neaktivovane. mimochodom domena registratora bzcn.com je tiez na predaj.
sice to zdovodnuju preposielanim na IP ale to sa da pochopit ak boli v C&C botsieti.
problem je v jednej veci, nasli 7-8 C&C serverov. Lenze k nim sa da pripajat vzdialene, respektive ich cinnost moze byt podobna ako mala Mariposa a vacsina botnetov uz defaultne ma vylepsenu Anti-x ochranu voci detekcii ci odhaleniu v sandboxe alebo virtuale, taktiez vacsinou prepinaju medzi c&c servermi a tie zistene vobec nemusia byt hlavne...
Inak lookingglass maju peknu mapu :-)
https://map.lookingglasscyber.com/
takto si predstavujem plodnu debatu k veci podporenu faktami :)
ritsopetrol.ru a littjohnwilhap.ru su zabrane ruskym registratorm na fyzicku osobu, takze tam sa nedopatrame asi nicoho.
Snazil som sa dopatrat nieco k moneypaper inc, vyzera to na spolocnost predavajucu financne poradenstva malym podnikatelom s rocnym obratom 0.88 mil dolarov , takze tam by som to asi skor videl na napadnuty server.
Dalej som to zatial neskumal, mozno sa k tomu dostanem neskor.
BTW ako election Hack je v sprave par krat naznaceny nielen priamy utok na hlasovanie, ale vseobecne cela aktivita na socialnych sietiach a weboch pred volbami. Som naozaj velmi zvedavy akobude vyzerat celkova ukoncena sprava, ak bude teda dostupna.
tak tak. skor to vidim ze to uz nebude verejne.
problem je ze je mala sanca sa dopatrat k mothershipsu. c&c servery su pekne ale kto je drzitelom oprat. ci uz rusi alebo nie je to technologicky velmi zaujimave.
moneypaper vyzeraju ako u nas OVB.