U
Sergey Pariev
С ip имхо смешнее всего .. что они мониторили то и как .. а может это и их там мониторили .. и встретились два одиноких монитора на просторах )
👍
Size: a a a
2018 October 24
SP
Кстати имена этих "экспертов" надо тоже в паблик .. пока они прикрываются безликим "thread intelligence"
SP
Имхо в данном случае наезд на конкретное юрлицо, а не на гос-во .. суд имел бы перспективы
AS
Вообщем отчёт какой то куций! Прижмите ЦНИИХМ к стенке, давайте неопровержимые доказательства! Но почему нет пока. Надо верить так. "Нет оснований не доверять" компании которая перед публикацией отчётов согласовывает их со службами стран "Пяти глаз" (по их собственным публичным заявлениям)
Напомню на всякий случай
...Mandia, for example, told CyberScoop that before publishing a public threat intelligence report, FireEye will typically tip off intelligence officials from the Five Eyes alliance about the release. If FireEye detects malware on a customer’s system that researchers think is from the U.S. or an allied country, it will remove it. But Mandia said such malware ought to be stealthier...
https://www.cyberscoop.com/kevin-mandia-fireeye-u-s-malware-nice/
...Mandia, for example, told CyberScoop that before publishing a public threat intelligence report, FireEye will typically tip off intelligence officials from the Five Eyes alliance about the release. If FireEye detects malware on a customer’s system that researchers think is from the U.S. or an allied country, it will remove it. But Mandia said such malware ought to be stealthier...
https://www.cyberscoop.com/kevin-mandia-fireeye-u-s-malware-nice/
АЧ
IP, Язык, Таймзона почему сложно?
IP, Язык, Таймзона - это очень сильное упращение того, о чем написали FireEye. Не знаю специально ли в этой группе вы отбрасываете другие факты, о которых шла речь в посте, чтобы аргументация FireEye не выглядела правдоподобной. Но выглядит так, как-будто сделано специально.
- В отчете говорится о том что удалось идентифицировать malware testing environment, где тестировались образцы вредоносного ПО во время операций
- Скорее всего речь идет о VirusTotal, куда загружались сэмплы для тестирования детекции
- Удалось идентифицировать человека, который в малварке оставил свои никнеймы
- Многочисленное использование русскоязычных бинарников и текстовых файлов
- В отчете говорится о том что удалось идентифицировать malware testing environment, где тестировались образцы вредоносного ПО во время операций
- Скорее всего речь идет о VirusTotal, куда загружались сэмплы для тестирования детекции
- Удалось идентифицировать человека, который в малварке оставил свои никнеймы
- Многочисленное использование русскоязычных бинарников и текстовых файлов
АЧ
К большому сожалению в "госконторах" платят мало денег и мне слабо верится что они разработчики OMG "кибер оружия"!
Поэтому FireEye и говорит что они точно не знают создали ли в этой организации "кибероружие" сами. Или всего лишь использовали его как операторы.
AS
IP, Язык, Таймзона - это очень сильное упращение того, о чем написали FireEye. Не знаю специально ли в этой группе вы отбрасываете другие факты, о которых шла речь в посте, чтобы аргументация FireEye не выглядела правдоподобной. Но выглядит так, как-будто сделано специально.
- В отчете говорится о том что удалось идентифицировать malware testing environment, где тестировались образцы вредоносного ПО во время операций
- Скорее всего речь идет о VirusTotal, куда загружались сэмплы для тестирования детекции
- Удалось идентифицировать человека, который в малварке оставил свои никнеймы
- Многочисленное использование русскоязычных бинарников и текстовых файлов
- В отчете говорится о том что удалось идентифицировать malware testing environment, где тестировались образцы вредоносного ПО во время операций
- Скорее всего речь идет о VirusTotal, куда загружались сэмплы для тестирования детекции
- Удалось идентифицировать человека, который в малварке оставил свои никнеймы
- Многочисленное использование русскоязычных бинарников и текстовых файлов
Не отбрасываю, наоборот хочу их увидеть, пошел перечитывать и искать неопровержимые доказательства. Спасибо за подсказки
АЧ
Создать идеальный False Flag, чтобы не проколоться на ошибках очень сложно. Гораздо чаще бывает что операторы малвари ошибаются и не соблюдают OPSEC.
AS
Создать идеальный False Flag, чтобы не проколоться на ошибках очень сложно. Гораздо чаще бывает что операторы малвари ошибаются и не соблюдают OPSEC.
Согласен что глупость бывает но и коварство бывает. Некачественный фолс флаг это все равно фолс флаг :)
https://ru.m.wikipedia.org/wiki/Бритва_Хэнлона
https://ru.m.wikipedia.org/wiki/Бритва_Хэнлона
AS
В настоящее время я все чаще думаю: если компания по безопасности в своих отчётах не рассматривает возможность ложного флага. То она либо недостаточно компетентна (не в курсе существующих возможностей) либо предвзята. Мнение
SP
IP, Язык, Таймзона - это очень сильное упращение того, о чем написали FireEye. Не знаю специально ли в этой группе вы отбрасываете другие факты, о которых шла речь в посте, чтобы аргументация FireEye не выглядела правдоподобной. Но выглядит так, как-будто сделано специально.
- В отчете говорится о том что удалось идентифицировать malware testing environment, где тестировались образцы вредоносного ПО во время операций
- Скорее всего речь идет о VirusTotal, куда загружались сэмплы для тестирования детекции
- Удалось идентифицировать человека, который в малварке оставил свои никнеймы
- Многочисленное использование русскоязычных бинарников и текстовых файлов
- В отчете говорится о том что удалось идентифицировать malware testing environment, где тестировались образцы вредоносного ПО во время операций
- Скорее всего речь идет о VirusTotal, куда загружались сэмплы для тестирования детекции
- Удалось идентифицировать человека, который в малварке оставил свои никнеймы
- Многочисленное использование русскоязычных бинарников и текстовых файлов
Вы отчет то почитайте .. там говорится о некой малваре, которая "very likely supporting temp.veles" активности
SP
Ну и банальный взлом персоналки .. это совсем не вариант?
SP
false flag-и никто не отменял
AE
Согласен что глупость бывает но и коварство бывает. Некачественный фолс флаг это все равно фолс флаг :)
https://ru.m.wikipedia.org/wiki/Бритва_Хэнлона
https://ru.m.wikipedia.org/wiki/Бритва_Хэнлона
Улыбнуло:
Миром правит не тайная ложа, а явная лажа[3].
Миром правит не тайная ложа, а явная лажа[3].
SP
Оставлять свои никнеймы и pdb файлы .. это видимо тренд такой в вирусописательстве ))
DK
профессор Химии - хакер
Не показатель. У меня коллега-пентестер по основной профессии - финансовый ревизор. А уж отбор пентестеров у нас очень придирчивый.
A
В настоящее время я все чаще думаю: если компания по безопасности в своих отчётах не рассматривает возможность ложного флага. То она либо недостаточно компетентна (не в курсе существующих возможностей) либо предвзята. Мнение
Либо имеет стопроцентные доказательства, которые не намерена (или не может) публиковать.
SP
Alis
Либо имеет стопроцентные доказательства, которые не намерена (или не может) публиковать.
Надо подавать в суд имхо, если есть у fireeye представительство в Европе, то лучше в Европе .. это прокол, что в этот раз опорочили конкретное юрлицо
SP
Даже, если не выиграть суд .. будет поднято куча инфы .. будет заключения экспертов и т.д. .. освещение в прессе
SP
Очевидно, что никакой суд такую атрибуцию не примет .. а факт воздействия на репутацию юрлица налицо