Андрей Раковский (a_rakovskij) wrote,
Андрей Раковский
a_rakovskij

Categories:

Страшные русские кибершпиены

Рф тут снова в кибершпионаже обвинили. СМИ гудят. Вот, для примера. Заинтересовало. Полез к первоисточнику. Вот он. Из него ясно, что угроза зарегистрирована как TA18-106A. Далее ссылочка, за ссылочкой добираемся и до описания этой TA18-106A. Что же видим...
Ломали киски, у которых извне открыты
---
Telnet (typically Transmission Control Protocol (TCP) port 23,
Hypertext Transport Protocol (HTTP, port 80),
Simple Network Management Protocol (SNMP, ports 161/162), and
Cisco Smart Install (SMI port 4786)
---
Уже смешно. Мне, лично, очень.
Если SNMP извне таки закрыт, то " If the targeted network is blocking external SNMP at the network boundary, cyber actors spoof the source address of the SNMP UDP datagram as coming from inside the targeted network" - то бишь у кого-то открыт спуфинг. Тут уже я валюсь под стол.

Вообще-то о необходимости закрывать извне (или ограничивать - только для определенных адресатов) и эти порты и спуфинг рассказывают даже на кискиных курсах ICND1, которые являются подготовительными. На сертификат нужно ICND2 (У меня данные 10 летней давности, но не думаю, что поменялось). Они там студентов, по объявлению, набрали что ли?

Ну и наконец данные о этой страшной атаке заразившей миллионы роутеров и в которой виновны, хайли лайкли, русские хакеры. На изумление скромно. "Between June 29 and July 6, 2017, Russian actors used the Cisco Smart Install protocol to scan for vulnerable network devices. Two Russian cyber actor-controlled hosts, 91.207.57.69(3) and 176.223.111.160(4), connected to IPs on several network ranges on port 4786 and sent the following two commands". Два адреса. Обращает внимание:
- 1-й адрес британский провайдер. M247 LTD Brussels Infrastructure
- ссылка на информацию о адресе - лживая. Видите (3) - так вот "видите суслика, а его нет. Ссылка идет на англ. страницу посвященную тому, что делать если роутер скомпрометирован. Адреса там нет.
- 2-й адрес ЕС провайдер QHoster. Где находится - хбз. Телефоны англии и штатов, почтовый адрес и вовсе Уругвай.
- Ссылка на амов "The National Counterintelligence and Security Center". Тут уже документ посмотреть не удается, перебрасывает в начало сайта. Но по названию дока тоже типа атака была в Англии.
Короче - все крутится вокруг Англии. И почему я не удивлен...
Tags: компьютерное, сисопское, холодная_война
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 4 comments