Lazarus Tears

Вот интересно, есть ли какие-либо точки сборки информации о масштабных публичных событиях или все как в известной притче все вынуждены ощупывают слона за известные места с закрытыми глазами.

Возьмем случай WannaCry. Народ следил в прямом эфире за перипетиями. Уже придумали карту поражения, рассказали драматические детали из серии противостояния международным кибербанд домохозяйкам.

Сейчас туман немного развеялся и можно поговорить, отойдя от слона на безопасное расстояние.

Считается, что это модификация похищенного у NSA вируса, который уже был вброшен в феврале этого года в сеть.

Т.е. это рутинная деятельность — похищение секретных деструктивных объектов у NSA. С момента освещения находок Ассанжем никто не предпринял шагов по минимальной защите данных? Ай-яй-яй.

Значит, долго ли коротко ли, опубликовал его WikiLeaks и пошла писать губерния.

Но «всемирный слив» ничего похожего не выкладывал в публичный доступ, значит, страшно подумать, его либо украли у воров, либо воры сами его дописали да и вбросили от нечего делать в сеть.
Благо через неделю после этого лицо WikiLeaks решии выпустить на свободу, чтобы моментально арестовать :-)

Все сходится?

Ну как вам сказать…

На референсный Eternal Blue он похож чуть менее чем никак.

До воскресенья, 14 мая, он распространялся по локальным сетям, а после этого появилось аж две новых версии, каждая из которых имеет принципиальную иную природу почкования — не в локальных сетях, а садясь верхом на почтовый сервер. Самая последняя разновидность появилась вчера и она также не похоже на все прошлые включения, как и на Eternal Blue.

Наконец два дня назад Kaspersky разразился откровением: похоже это «притча во языцах» группа северокорейских хакеров Lazarus. Название-то какое чучхэ удумали!?

Само наличие специалистов подобного профиля в КНДР является дискуссионной темой. Поэтому тратить время на мифы и легенды древнего Пхеньяна не стоит, а нужно непредвзято взглянуть на факты.

Где находился эпицентр атаки?

Началось всё с британской National Health Service. Буквально моментально степень скандальности выросла до терминальной: речь шла об отключении госпиталей от электричества и (как бы) неминуемой гибели части пациентов на искусственном дыхании.

Абсурд конечно, там все уже лет 40 на резервной батарее.

Дальше пошли сообщения о заражении Telefonica и FedEx и уже оттуда вирус пошел по рукам.

Вброшена версия, что это спонтанное проявление активности, рвется там, где тонко.

Есть, однако, два но:
1) во всех трех случаях выбирали организации с огромным количеством локальных рабочих станций, в ряде случаев, как показал пост-анализ, не имеющих прямого гейта в интернет. Эпидемия началась со внутренних подсетей;
2) случилось все практически одновременно. Сообщения на пул новостных агентств упали с задержкой в 10 минут и еще непонятно, кто фактически был первым.

Можно, чисто гипотетически, для смеха, попробовать такой вывод: кому-то нужно было иметь доступ к трем этим сетям изнутри для закладки сюрприза и наш «кто-то» очень хотел масштабами своей деятельности (в общем-то невинной в сравнении с тем, что можно было бы сделать) скрыть деструктивные действия, вызванные так называемыми модификациями вируса. В последнем случае все важно было свалить на «хулиганское заражение» и под сурдинку совершить несколько действительно важных шагов. Частного порядка.

Прежде чем говорить о версиях и целях в рамках моей гипотезы, нужно сказать пару слов о потенциальном исполнителей. Начинать придется издалека, поэтому посвящу этой теме отдельный пост в ближайшее время.

https://telegram.me/mikaprok