Микрософт обвинила?
Инет заполнен сообщениями типа "Microsoft вновь обвинила российских хакеров во вмешательстве в предстоящие выборы". Подобные сообщения меня не оставляют равнодушным. И с точки зрения профессиональной деятельности интересно. Потому пошел я смотреть что же там такого микрософтовцы обнаружили. Исходное сообщение тут. Тихо-мирно читаем. Выливаем воду насчет защиты демократии и рекламу Microsoft AccountGuard (доппримочка к регистрированной учетной записи Microsoft, регистрация в программе для избраных, записи на спецконтроле, расширенная диагностика и оповещения о возможных атаках участникам). Что же у нас остается в сухом остатке...
Не много же остается. MS обнаружила шесть доменов второго уровня. Названия которых схожи с названиями известных доменов.
обнаруженное MSна который похожописание похожего
my-iri.orgiri.orgодин из институтов республиканской партии
hudsonorg-my-sharepoint.comhudson.orgГудзоновский институт, разрабатывающий ряд программ, в том числе и секретных.
senate.groupsenate.govсенат США
adfs.senate.servicessenate.govсенат США
adfs.senate.emailsenate.govсенат США
office365-opendrive.comopendrive.comОблачное хранилище с офисным пакетом
При этом "To be clear, we currently have no evidence these domains were used in any successful attacks before the DCU transferred control of them, nor do we have evidence to indicate the identity of the ultimate targets of any planned attack involving these domains" - то бишь нет ни малейших доказательств, что домены использовались в кибератаках
И это, собственно все из фактов. Вообще. К этому только лишь добавлены фантазии, что эти шесть доменов "six internet domains created by a group widely associated with the Russian government and known as Strontium, or alternatively Fancy Bear or APT28" (созданными группой, широко связанной с российским правительством и известной как Strontium, или, альтернативно, Fancy Bear или APT28). Связь типа "ИЛИ" здесь особо умиляет. Ибо прямо указывает, что данных какой именно группой создано нет. А, по большому счету, и нет и информации - создано ли вообще кем-то из перечисленных групп. Но приплюсовать сюда росправительство это не мешает. Во времена хайли-лакти и данного подхода разве подобное может служить помехой?
Резюме. Я не знаю кто создал эти домены и с какой целью. Причин могут быть тысячи. По тем где в названии senate - действительно возможно, что для фишинга. Хоть мне и трудно представить идиота, который в сенат будет писать не в .gov, а в иной, коммерческий, домен, но старушка Клинтон как бы намекает - и не такие есть. По opendrive - все что угодно вплоть до попытки нечестной конкуренции (с подобным я встречался в инете не раз и не два. Набираешь по памяти нужный тебе сайт, ошибаешься в букве, попадаешь совсем к другим). По Гудзоновскому институту и вовсе названия доменов не особо схоже. И надо пользоваться "логикой" что все которые используют в названии слово Гудзон - хоть город, хоть реку- подозрительны, тогда только сойдет :-)
В любом случае то, что так прихлопывают за похожесть, при отсутствии любых иных улик, это не только тревожный признак, но и признак непрофессионализма. Поставить на контроль, анализировать траффик туда - тут появляются просто прекрасные возможности борьбы с кибератаками, если, конечно, возникнет-таки какая-то кибератака с их использованием.
Ну и конечно же, крайне утомляют эти хайли-лакти с неминуемым привлечением РФ.
Не много же остается. MS обнаружила шесть доменов второго уровня. Названия которых схожи с названиями известных доменов.
обнаруженное MSна который похожописание похожего
my-iri.orgiri.orgодин из институтов республиканской партии
hudsonorg-my-sharepoint.comhudson.orgГудзоновский институт, разрабатывающий ряд программ, в том числе и секретных.
senate.groupsenate.govсенат США
adfs.senate.servicessenate.govсенат США
adfs.senate.emailsenate.govсенат США
office365-opendrive.comopendrive.comОблачное хранилище с офисным пакетом
При этом "To be clear, we currently have no evidence these domains were used in any successful attacks before the DCU transferred control of them, nor do we have evidence to indicate the identity of the ultimate targets of any planned attack involving these domains" - то бишь нет ни малейших доказательств, что домены использовались в кибератаках
И это, собственно все из фактов. Вообще. К этому только лишь добавлены фантазии, что эти шесть доменов "six internet domains created by a group widely associated with the Russian government and known as Strontium, or alternatively Fancy Bear or APT28" (созданными группой, широко связанной с российским правительством и известной как Strontium, или, альтернативно, Fancy Bear или APT28). Связь типа "ИЛИ" здесь особо умиляет. Ибо прямо указывает, что данных какой именно группой создано нет. А, по большому счету, и нет и информации - создано ли вообще кем-то из перечисленных групп. Но приплюсовать сюда росправительство это не мешает. Во времена хайли-лакти и данного подхода разве подобное может служить помехой?
Резюме. Я не знаю кто создал эти домены и с какой целью. Причин могут быть тысячи. По тем где в названии senate - действительно возможно, что для фишинга. Хоть мне и трудно представить идиота, который в сенат будет писать не в .gov, а в иной, коммерческий, домен, но старушка Клинтон как бы намекает - и не такие есть. По opendrive - все что угодно вплоть до попытки нечестной конкуренции (с подобным я встречался в инете не раз и не два. Набираешь по памяти нужный тебе сайт, ошибаешься в букве, попадаешь совсем к другим). По Гудзоновскому институту и вовсе названия доменов не особо схоже. И надо пользоваться "логикой" что все которые используют в названии слово Гудзон - хоть город, хоть реку- подозрительны, тогда только сойдет :-)
В любом случае то, что так прихлопывают за похожесть, при отсутствии любых иных улик, это не только тревожный признак, но и признак непрофессионализма. Поставить на контроль, анализировать траффик туда - тут появляются просто прекрасные возможности борьбы с кибератаками, если, конечно, возникнет-таки какая-то кибератака с их использованием.
Ну и конечно же, крайне утомляют эти хайли-лакти с неминуемым привлечением РФ.