Пуркуа бы, сеньоры, и не па
28-янв-2013 05:47 am
Это текст одного моего коллеги, которому стал любопытен шум вокруг злосчастной обворованной вражеской ЧВК. Мне кажется, что он совершенно прав.
Очередной переполох в интернете пробудил любопытство и я скачал обнародованый архив, дабы взглянуть внутрь и узнать как на самом деле ЭТО выглядит. Не буду многословен, просто из опыта знаю что люди в массе своей невнимательны и легко ведутся на различные сенсации. Итак. Распаковываем архив и видим три папочки - !!Syria, Iran, Iraq.
Первое, на что сразу заостряет внимание предварительный текст "хакера" - естественно Сирийский вопрос. Все в шоке! Но давайте все таки, после шоковой терапии попробуем пораскинуть мозгами, просмотрев содержание остальных папок. Аха!!! Личные данные сотрудников, отчеты по проводимым мероприятиям, документы по методике мероприятий, блок схема компании и схема текущего состояния компьютерной сети на июль 2012 года. Файлов много - мало времени. К чему доказательства, если вот оно - "письмо", вот они - "украинцы и грузины", вот в письме - "Катар и Вашингтон" и исполнитель налицо. Какие еще нужны доказательства?!
Начинаем разбираться. Во первых удивительно, что компания такого профиля запросто хранит секретные документы в открытой сети, совершенно пренебрегая безопасностью сотрудников. Уже закрадывается сомнение. Почему обе схемы лежат там же? Центральный оффис делится разработкой внутренней стратегии с работниками филиалов компании? - Сомнительно. Просто есть элементарные понятия о хранении конфиденциального материала и элементарной безопасности в сети. И у компании такого профиля нет сетевых администраторов, у котрых нет этих понятий и методики? - Трудно поверить.
Рассматриваем материал повнимательней. В папке !!Syria хранится одно единственное письмо и как бы нечаянно туда попавшие, копия паспорта с CV карточкой писавшего, как будто он пришел устраиваться на работу. Хотя все данные на сотрудников хранятся в другом месте. Само письмо не имеет никакого аттачмента, намекающего на присутствие там какого либо файла.
В папке Iran, на которую мало кто обратил внимание, хранится единственное письмо с таким текстом:
А с чего это вдруг Дэвиду понадобилось заливать на сторонний публичный файл-сервер секретную информацию? Почему бы его сразу не прикрепить к письму, вместо того чтобы тратить лишнее время на заливку файла? Это наверное новая секретная методика соблюдения безопасности и заметания следов внутри своей компании? Далее, в той же папке лежат некие планы, некоей гипотетической операции, по которой отрабатываются некие мероприятия: ANNEX A OPLAN , ANNEX B OPLAN и так далее, под кодовым названием "Ruhayyat". Естественно возникает ассоциация с названием папочки - Иран и возникает ощущение о разработке операции против Ирана.
Наконец третья папка - Ирак, в которой хранится основной массив файлов с отчетами об основной деятельности компании:
Сканы паспортов, списки и личные данные служащих, интернет аккаунты с паролями, отчеты о происшествиях на объектах, ежедневные расписания "караульной службы" и единственный файл с перепиской, в которой разбирается инцидент по поводу некорректной работы с документацией о безопасности клиента, который привел к неприятным последствиям, с прикрепленным документом-отчетом по инциденту.
Еще больше не верится в пренебрежительное отношение компании к своим документам, из за которого можно запросто вылететь с работы.
Тут осеняет мысль. Если из папки Иран, файлы с вернуть обратно на место, в папку Ирак, то все становится на свои места. Компания занимается своим бизнесом по охране объектов и разработке методики операций в военных условиях, по которой обучает вооруженные силы или частные формирования различных заказчиков. Обычная рутина и документация по Ираку.
Сканируем полностью все файлы на предмет присутствия в них слов - Сирия и Иран. Ничего нет.
Только два письма, которые остаются одинокими в двух ненужных папках. Возникает мысль попробовать подделать сам файл Оутлука - Syrian Issue.eml. Открываем файл письма с помощью текстового редактора NotePad++ и просто заменяем там текст на нужный, полностью оставляя оригинальные реквизиты владельца. Мне пришлось еще сменить кодировку на UTF-8 Unicode, что-бы можно было прочесть на русском языке. В итоге получаем такую загогулину.
Из первой папки - Сирия, возвращаем CV и копию паспорта на место, в папку Ирак, к служащим компании и итоге получаем два поддельных письма, в папках, которые были искуственно созданы и в них переброшены нужные файлы, для создания видимости каких-то действий. Ненужные письма удалены и оставлена информация нужная для создания эффекта. Сделано криво и нелогично, но с выхлопнувшим эффектом. Два письма подделать не сложно, а остальные нужно удалить и оставить только одно оригинальное, для примера и сравнения с подделкой, создав видимость подлинности.
Кто и кому слил документацию ЧВК??? - Остается только гадать.
Примерно такая версия, не претендующая на истину в конечной инстанции, но вполне правдоподобная на мой взгляд