Давненько не брал я в руки шашек клавиатуры. Эта статья будет написана в несвойственной мне манере оголтелого критиканства. 14 января лаборатория Касперского опубликовала первую часть отчета об исследовании под названием «Red October». Знаете, не могу я больше молчать! Вот здесь, на Хабре очень много есть людей, которым, мягко говоря, не нравятся антивирусные компании. Правда, не все могут грамотно объяснить, за что. Постараюсь выделить некоторые моменты.
Опять обнаружили новую APT, с чем вас и поздравляю. Мне одному кажется, что кроме пиар-эффекта от таких расследований никакого толка нет? Только послушайте, как звучит — РАССЛЕДОВАНИЕ! Если проводить аналогию с расследованием обычных преступлений, можно заметить, что там присутствуют поиски ответа на следующий вопрос: кто совершил преступление? Ну и попутно выясняется, зачем. А что мы видим в многочисленных антивирусных «расследованиях»? Нам упорно рассказывают, как это было сделано. Никаких «кто» нет и в помине. Вот и сейчас, ну «Red October», ну и что дальше-то? Или вот заголовок — «Лаборатория Касперского разоблачила международную шпионскую сеть». Позвольте поинтересоваться, сколько шпионов уже посадили за решетку по этому делу?
Далее можно просто выдергивать фразы из контекста статьи и указывать на очередное раздувание слона из мухи:
- «… собирались данные и секретная информация...» — а почему секретная-то (потому что так звучит круче), ни одно государство мира никогда не включит в сеть Интернет компьютер, на котором находятся файлы с грифом секретно, для таких целей у них существуют специально выделенные сети, например SiprNet у американцев.
- К чему вот эти манипуляции с данными? Если посмотреть на статистику KSN — заражений около 200 и в России больше, чем в Беларуси. Понятно, что тут поправка на тех, у кого антивирус стоит. А если брать статистику sinkhole, то в Беларуси заражений почти в 3 раза больше. Вопрос, зачем приводить статистику KSN? Что бы ввести в заблуждение? Или отвести внимание от того факта, что в России подозрительно мало установок?
- «расширение «acid*» принадлежит секретному программному обеспечению для шифрования «Acid Cryptofiler», которое используется в некоторых структурах Евросоюза и NATO» — что значит секретное? Опять цену себе набиваете? Типа никто не знает, кроме нас, но мы вам сейчас все расскажем?
- «Основной целью операции, как представляется, является сбор секретной информации и геополитических данных, хотя, по-видимому, информация собирается достаточно разнообразная» — я правильно понимаю, что доступ к управляющему центру так и не получен? Хотя, да, на картинке видно, что конечный адрес управляющего центра неизвестен. Вот это я понимаю – расследование!
- «В сравнении с кампаниями кибершпионажа Flame или Gauss, которые были значительно автоматизированы, атаки Red October более 'персональные' и ориентированы на конкретных жертв» — и что там автоматизировано? Для Flame чуть ли не для каждого бота свой сервер был.
- Ну и напоследок, с каких это пор «Оперативно-аналитический центр при Президенте Республики Беларусь» стал CERTом?
- Где освещение вопросов, шифруется ли содержимое украденных документов, как бот проверяет валидность серверов?
Подытожим — статья написана под лозунгом — мы пиаримся! Ответа на вопрос «А кто это сделал» мы так и не получим. В очередной раз. Может, хватит спекулировать на теме кибершпионажа?
P.S. Очень рад за, судя по всему, русскоязычных создателей вредоносов, хоть бы не палились строками вида «Zakladka injected», «Cannot inject zakladka, Error: %u».
Автор: nuklearlord
