¿Qué evidencia existe de que el Kremlin estaba detrás de los ataques de DNC y cómo podemos estar seguros de su autenticidad? La mayor parte de la evidencia potencial puede ser falsificada.

¿Qué evidencia existe de que el Kremlin estaba detrás de los ataques de DNC? ¿Y cómo podemos estar seguros si es autenticidad? La mayor parte de la evidencia potencial puede ser falsificada

La información a continuación se basa en el informe conjunto del sitio web del FBI / DHS y Crowdstrike donde publicaron el informe y el COI (indicadores de compromiso)

Aquí hay un problema con los ciberataques. La atribución es un problema realmente muy difícil. Cuando combinas la política con el ciberataque, se vuelve aún más desafiante.

No voy a comentar sobre la autenticidad del informe emitido por la firma de seguridad del Área de la Bahía. Respeto a esos tipos, pero el informe carece de pruebas concretas.

Antes de entrar en detalles solo por el contexto, DNC (convención nacional demócrata) le pidió a la compañía de seguridad Crowdstrike que realizara una investigación forense para el pirateo de correo electrónico de DNC.

Crowdstrike identificó a dos adversarios, Cozy bear (APT29) y Fancy bear (APT 28). No te preocupes por los nombres de los adversarios (osos acogedores y elegantes).

Cosy está sucediendo desde 2015.

Primero echemos un vistazo a la dirección IP en el COI (indicadores de compromiso)

185 [.] 100 [.] 84 [.] 13- pertenece a Países Bajos y el servidor ejecuta Apache con PhP 5.6.28 según la información del encabezado HTTP

58 [.] 49 [.] 58 [.] 58- pertenece a algún lugar de China que ejecuta Apache 2.2.15 y centOs según la información del encabezado HTTP

218 [.] 1 [.] 98 [.] 203: IP pertenece a shanghai telco y el servidor http no se ejecuta en él.

187 [.] 33 [.] 33 [.] 8 pertenece a Brasil.

185 [.] 86 [.] 148 [.] 227 región indefinida pero basada en el bloque de IP pertenece a la región de Europa

45 [.] 32 [.] 129 [.] 185 IP pertenece a Europa Occidental

23 [.] 227 [.] 196 [.] 217 IP pertenece a la región de EE. UU. Con Apache 2.2.6 / php 5.2.5

6c1bce76f4d2358656132b6b1d471571820688ccdbaca0d86d0ca082b9390536 Es un archivo hash de un malware que utiliza exe para comprometer el sistema de Windows. Este malware fue enviado a virustotal hace 6 meses y 2 semanas en junio, mucho antes del pirateo de DNC

b101cd29e18a515753409ae86ce68a4cedbe0d640d385eb24b9bbb69cf8186ae Es un hash de archivo y el mismo que el hash anterior se envió al virus hace 6 meses y 2 semanas.

fd39d2837b30e7233bc54598ff51bdc2f8c418fa5b94dea2cadb24cf40f395e5 Igual que el anterior.

4845761c9bed0563d0aa83613311191e075a9b58861e80392914d61a21bad976 Igual que el anterior

40ae43b7d6c413becc92b07076fa128b875c8dbb4da7c036639eccf5a9fc784f Igual que el anterior.

Todos los archivos se enviaron por primera vez a virus en total hace 6 meses y 2 semanas.

Ninguna de las direcciones IP pertenece incluso a la región rusa. Ahora concedido el ciberataque se puede realizar desde cualquier región y cualquier país. Esa es la naturaleza de la bestia.

Aquí tiene la evidencia según la cual el gobierno de los EE. UU. Concluyó (suponiendo que tengamos toda la evidencia y no se clasifique nada más) no hay nada que se conecte con Rusia o con este truco.

¿Es posible que alguien enmarque a Rusia?
¿Es posible que alguien quiera que peleemos con Rusia?
¿Podría ser hecho por otros países?
¿Por qué Rusia usaría un viejo archivo de malware (enviado hace 6 meses) para un caso de tan alto perfil?

El arbitraje (asignar un individuo al zip / hack) es difícil y ahora agrega la geopolítica a la mezcla y no se puede aceptar nada en su valor nominal.

Más aún en el mundo cibernético.

No digo que Crowdstrike esté equivocado o que GOvt esté equivocado, pero todo lo que digo es que la evidencia no es a prueba de balas para concluir que Rusia estaba detrás de este malware.

En el mundo cibernético, tomas todo con un grano de sal porque nada es lo que parece.

Otra víctima (DNC) contrató a una empresa privada (Crowdstrike) y culpó a Rusia por este ataque. Crea un problema de independencia cuando la víctima paga los honorarios. ¿Podría la víctima pagar por esta investigación influiría en el resultado?

De todos modos, hay mucho que considerar antes de dar un sello de aprobación a este informe.

Espero que esto ayude

Editar:

La dirección IP es la dirección ascendente del servidor CnC (comando y control) utilizado por el malware. Los hash de archivos son huellas digitales de los archivos exe maliciosos utilizados por los adversarios APT 28 y 29.

Todos los archivos se enviaron al virus total (un motor AV adquirido por Google) donde prueban el archivo malicioso escaneándolo a través de múltiples proveedores de AV. Si el primer archivo se envió hace 6 meses en el mundo cibernético, es mucho tiempo. Su máquina debería haber sido parcheada y AV debería haber sido actualizada y las posibilidades de un ataque exitoso se reducen considerablemente.

Según el comentario, esto es demasiado detalle para la persona promedio.

Para simplificar saber esto,

1) El malware se conecta al servidor de comando y control en Internet que tiene la dirección IP. La dirección IP mencionada aquí es la IP utilizada para CnC

2. Los hashes de archivos son los archivos utilizados por los adversarios para comprometer las máquinas DNC y todos fueron enviados a virustotal hace 6 meses.

3. Supongamos que Rusia está detrás de esto, ¿por qué Rusia usaría malware antiguo?

4. ¿Hay alguna otra posibilidad?

5) ¿Desde qué aspecto el gobierno y Crowdstrike están seguros de que Rusia está detrás del ataque? ¿Cuál es el método y la evidencia que apunta a Rusia?

Existenciainformáticaseguridad de Internetseguridad de la informaciónseguridad de redSeguridad informáticaSeguridad nacional

Related Content

¿Cuál es el bosquejo de la informática?

Cómo asegurarme de que mi red de computadoras esté segura

¿Por qué el color de la carpeta es amarillo en Windows?

¿Cuáles son algunas de las mejores prácticas para escribir paquetes de software específicamente para aplicaciones científicas y aprendizaje automático? ¿Serían relevantes las mismas prácticas utilizadas en el desarrollo de software ágil?

¿Cuáles son las puertas lógicas más comunes en las computadoras?

Cómo identificar un dispositivo en particular en una red local

¿Cómo se solucionan los errores informáticos?

Hay una excelente reseña de la evidencia disponible aquí:

Lo que sabemos sobre el papel de Rusia en la fuga de correo electrónico de DNC

Parece ser bastante completo, y las afirmaciones que hace están vinculadas a muchas otras fuentes que parecen respaldarlo.

En cuanto a si la información podría ser falsificada, es una decisión difícil.

Si decides desconfiar absolutamente de todos, entonces, sin tus propias habilidades de pirata informático (y estar allí observando los sitios relevantes cuando ocurrieron los ataques), no tienes ninguna posibilidad de reunir tu propia evidencia. Eso significa que si desea tener una opinión firme sobre el asunto, absolutamente debe confiar en la evidencia presentada por ALGUIEN.

Lo que tiene que decidir es en quién confía.

Si tienes fe absoluta en el gobierno ruso, cuando digan que no están involucrados, tendrás que presumir que el Partido Republicano, la NSA, la HSA, la CIA y el FBI están coludiendo con evidencia falsa.

Si tiene fe en la integridad de incluso una de esas agencias de siglas de tres letras, entonces debe creer la evidencia que están presentando.

Todo se reduce al equilibrio de confianza aquí.

Personalmente, recuerdo la historia reciente de mentiras y tratos sucios del gobierno de Putin con Ucrania y su horrible comportamiento en Alepo, Siria. También veo cada vez más pruebas de otros gobiernos de que también alteraron sus elecciones (Francia está muy preocupada por eso en este momento).

La teoría de la conspiración de que el Partido Republicano, a través de Obama, ordenó a la NSA * y * a la CIA * y * al FBI que produjeran pruebas falsas * y * que el gobierno francés también está falsificando sus pruebas … me parece un poco improbable.

Entonces, en general, creo que las elecciones en los Estados Unidos fueron pirateadas, aunque todavía tengo una mente abierta sobre el grado en que afectó el resultado.

Sabemos que las agencias de seguridad de EE. UU. Han prometido publicar una versión “redactada” del informe de seguridad que Obama y Trump recibieron recientemente, y lo veremos en los próximos días. Creo que eso será lo que yo personalmente confiaré.

Hay algunos otros senderos altamente sospechosos por ahí: algunos observadores de redes independientes vieron un tráfico de red altamente sospechoso entre un servidor viejo, aparentemente en desuso, ubicado en el edificio Trump Towers y un Banco Ruso que está dirigido por un ex seguridad soviético con vínculos con El gobierno de Putin. Pero ese tipo de evidencia realmente no se puede confiar.

Al final, debes decidir dónde vas a confiar en la evidencia. Si solo confías en la campaña de Trump, entonces no hay NADA que pueda decirte, o que puedas leer, o que puedas ver en la televisión, que te convenza. Cualquier forma de evidencia * podría * ser falsificada.

Si decide que no confía en NADIE, entonces está jodido, no hay forma de encontrar evidencia primaria por sí mismo, por lo que debe tener cuidado de NO tener una opinión de ninguna manera.

Lo peor que puede hacer es decidir que no confía en nadie, y luego decidirse de todos modos … de esa manera se encuentra la locura.

Taylor Jenkins

La anatomía de un hack comienza con el reconocimiento y termina con la eliminación de datos u otra actividad maliciosa.

** No describiré cómo se ejecuta una aplicación ni un ataque a la red. **

Dicho esto, y después de haber sido parte de varios análisis, revisiones y soluciones posteriores al ataque, siempre hay evidencia digital. No estoy seguro de la base detrás de su afirmación de que se puede falsificar la mayor parte de la evidencia potencial …

Un hacker necesita identificar un punto de vulnerabilidad, soltar una carga útil y ejecutar un exploit, lo que a su vez da como resultado el acceso a cualquiera que sea su objetivo … correos electrónicos, otros datos, etc. Hay personas realmente buenas que saben cómo limpiar detrás. su truco …

Sin embargo, en este ataque al que hace referencia, necesitamos al menos ver que el informe se haga público, la próxima semana, antes de sacar conclusiones. No creo que valga la pena el esfuerzo para crear evidencia digital falsa, parte de un buen truco es garantizar la huella mínima que queda del pirateo, la ofuscación de la ruta de ataque y el redireccionamiento y la fuente de ataque de origen confusa … sin embargo, siempre hay algunos datos dejado atrás, en la mayoría de los casos, para que expertos forenses y de análisis trabajen con 🙂

Steve Baker

No mucho, seguro que hay algunos, pero es difícil de probar de cualquier manera … a diferencia de muchas personas que no saben cómo funcionan los “Hacks” una vez que se muestra uno, hay estas personas llamadas “script kiddies” que no hacen el ” Hacks “simplemente los usan.

Dado que gran parte de la evidencia proviene de lugares ya “conocidos”, es muy poco probable que sea utilizada nuevamente por los “Grupos Rusos Oficiales”.

Lo que me molesta es esta publicación sobre “Quién hackeó”, aparentemente ignorando los “HECHOS” Honestamente, prefiero tener la “Verdad” por ahí y luego quejas sobre cómo llegó allí. Y esa verdad muestra cuán corruptos son incluso nuestros “partidos políticos”

¡Esto es lo que tenemos que hacer!

Inicio | Nuevo Congreso

Taylor Jenkins

More Interesting

¿Qué RAM debo instalar en mi PC 2005? Ahora corre lento; ¿Es este el resultado de instalar Windows 7? ¿Cómo puedo acelerarlo?

Si P = NP para que las clases colapsen en una sola, ¿debería cambiarse el nombre de la clase solo por 'P'?

Cómo saber si una computadora está conectada a una red

¿Por qué se sobrecalienta mi computadora?

¿Cómo reacciona la gente al escuchar que eres un experto en informática?

¿Grunt para Yeoman y WAMP son las mismas cosas?

¿Cómo la IA puede ser útil en las pruebas?

¿Cuál era el objetivo de las Apple 1 y 2 cuando estaban siendo diseñadas?