¿Qué evidencia existe de que el Kremlin estaba detrás de los ataques de DNC? ¿Y cómo podemos estar seguros si es autenticidad? La mayor parte de la evidencia potencial puede ser falsificada
La información a continuación se basa en el informe conjunto del sitio web del FBI / DHS y Crowdstrike donde publicaron el informe y el COI (indicadores de compromiso)
Aquí hay un problema con los ciberataques. La atribución es un problema realmente muy difícil. Cuando combinas la política con el ciberataque, se vuelve aún más desafiante.
- ¿Cuál es la mejor manera de probar el aprendizaje automático?
- ¿Proporcionar energía de la CPU a la investigación científica distribuida acortará la vida útil de la computadora?
- ¿Existe un procesador de red neuronal de la vida real similar al de Terminator?
- ¿Por qué es importante encontrar tantos números primos como sea posible o tantos dígitos de pi como sea posible?
- ¿Cuáles son algunas aplicaciones de la semántica computacional?
No voy a comentar sobre la autenticidad del informe emitido por la firma de seguridad del Área de la Bahía. Respeto a esos tipos, pero el informe carece de pruebas concretas.
Antes de entrar en detalles solo por el contexto, DNC (convención nacional demócrata) le pidió a la compañía de seguridad Crowdstrike que realizara una investigación forense para el pirateo de correo electrónico de DNC.
Crowdstrike identificó a dos adversarios, Cozy bear (APT29) y Fancy bear (APT 28). No te preocupes por los nombres de los adversarios (osos acogedores y elegantes).
Cosy está sucediendo desde 2015.
Primero echemos un vistazo a la dirección IP en el COI (indicadores de compromiso)
185 [.] 100 [.] 84 [.] 13- pertenece a Países Bajos y el servidor ejecuta Apache con PhP 5.6.28 según la información del encabezado HTTP
58 [.] 49 [.] 58 [.] 58- pertenece a algún lugar de China que ejecuta Apache 2.2.15 y centOs según la información del encabezado HTTP
218 [.] 1 [.] 98 [.] 203: IP pertenece a shanghai telco y el servidor http no se ejecuta en él.
187 [.] 33 [.] 33 [.] 8 pertenece a Brasil.
185 [.] 86 [.] 148 [.] 227 región indefinida pero basada en el bloque de IP pertenece a la región de Europa
45 [.] 32 [.] 129 [.] 185 IP pertenece a Europa Occidental
23 [.] 227 [.] 196 [.] 217 IP pertenece a la región de EE. UU. Con Apache 2.2.6 / php 5.2.5
6c1bce76f4d2358656132b6b1d471571820688ccdbaca0d86d0ca082b9390536 Es un archivo hash de un malware que utiliza exe para comprometer el sistema de Windows. Este malware fue enviado a virustotal hace 6 meses y 2 semanas en junio, mucho antes del pirateo de DNC
b101cd29e18a515753409ae86ce68a4cedbe0d640d385eb24b9bbb69cf8186ae Es un hash de archivo y el mismo que el hash anterior se envió al virus hace 6 meses y 2 semanas.
fd39d2837b30e7233bc54598ff51bdc2f8c418fa5b94dea2cadb24cf40f395e5 Igual que el anterior.
4845761c9bed0563d0aa83613311191e075a9b58861e80392914d61a21bad976 Igual que el anterior
40ae43b7d6c413becc92b07076fa128b875c8dbb4da7c036639eccf5a9fc784f Igual que el anterior.
Todos los archivos se enviaron por primera vez a virus en total hace 6 meses y 2 semanas.
Ninguna de las direcciones IP pertenece incluso a la región rusa. Ahora concedido el ciberataque se puede realizar desde cualquier región y cualquier país. Esa es la naturaleza de la bestia.
Aquí tiene la evidencia según la cual el gobierno de los EE. UU. Concluyó (suponiendo que tengamos toda la evidencia y no se clasifique nada más) no hay nada que se conecte con Rusia o con este truco.
- ¿Es posible que alguien enmarque a Rusia?
- ¿Es posible que alguien quiera que peleemos con Rusia?
- ¿Podría ser hecho por otros países?
- ¿Por qué Rusia usaría un viejo archivo de malware (enviado hace 6 meses) para un caso de tan alto perfil?
El arbitraje (asignar un individuo al zip / hack) es difícil y ahora agrega la geopolítica a la mezcla y no se puede aceptar nada en su valor nominal.
Más aún en el mundo cibernético.
No digo que Crowdstrike esté equivocado o que GOvt esté equivocado, pero todo lo que digo es que la evidencia no es a prueba de balas para concluir que Rusia estaba detrás de este malware.
En el mundo cibernético, tomas todo con un grano de sal porque nada es lo que parece.
Otra víctima (DNC) contrató a una empresa privada (Crowdstrike) y culpó a Rusia por este ataque. Crea un problema de independencia cuando la víctima paga los honorarios. ¿Podría la víctima pagar por esta investigación influiría en el resultado?
De todos modos, hay mucho que considerar antes de dar un sello de aprobación a este informe.
Espero que esto ayude
Editar:
La dirección IP es la dirección ascendente del servidor CnC (comando y control) utilizado por el malware. Los hash de archivos son huellas digitales de los archivos exe maliciosos utilizados por los adversarios APT 28 y 29.
Todos los archivos se enviaron al virus total (un motor AV adquirido por Google) donde prueban el archivo malicioso escaneándolo a través de múltiples proveedores de AV. Si el primer archivo se envió hace 6 meses en el mundo cibernético, es mucho tiempo. Su máquina debería haber sido parcheada y AV debería haber sido actualizada y las posibilidades de un ataque exitoso se reducen considerablemente.
Según el comentario, esto es demasiado detalle para la persona promedio.
Para simplificar saber esto,
1) El malware se conecta al servidor de comando y control en Internet que tiene la dirección IP. La dirección IP mencionada aquí es la IP utilizada para CnC
2. Los hashes de archivos son los archivos utilizados por los adversarios para comprometer las máquinas DNC y todos fueron enviados a virustotal hace 6 meses.
3. Supongamos que Rusia está detrás de esto, ¿por qué Rusia usaría malware antiguo?
4. ¿Hay alguna otra posibilidad?
5) ¿Desde qué aspecto el gobierno y Crowdstrike están seguros de que Rusia está detrás del ataque? ¿Cuál es el método y la evidencia que apunta a Rusia?