Наконец нашёл хорошую статью

Объясняющую связывание российских спецслужб (APT29 и AP28, предположительно ФСБ и ГРУ соответственно) с взломами серверов Демпартии США.

https://motherboard.vice.com/read/all-signs-point-to-russia-being-behind-the-dnc-hack

Статья не очень сильно техническая.
да я тебя умоляю
suspected.. no evidence.. etc
Чуваки просто сказали - apt28 это фсб, apt29 - это гру
усе
Сразу после этих довольно-таки спорных утверждений, рассуждения идут в русле russian softwаere то, russian group се
эрго, CrowdStrike - такие же балаболы, как и прочие. Все "доказательства" - "мы и еще пара компаний считаем, что это русские". Все.
Граждане тупо стригут дивиденды на волне истерии
omfg

The metadata in the leaked documents are perhaps most revealing: one dumped document was modified using Russian language settings, by a user named “Феликс Эдмундович,” a code name referring to the founder of the Soviet Secret Police, the Cheka, memorialised in a 15-ton iron statue in front of the old KGB headquarters during Soviet times.

Ты серьезно считаешь этих вот паяцев экспертами?
Что в данном параграфе неправда?

Документа не было?
В графе "автор" не было написано "Дзержинский"?
Он не основывал ЧК?

В чём проблема? Что тебя не устраивает?

С чем у тебя проблема? С аттрибуцией данного хака группе APT28/29? Вроде нет.

А с чем? Со связью APT28/29 с русским правительством?

Про это в данной бумаге не пишут.

Если тебя интересует конкретно это -- изволь, вот:

https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html
> В графе "автор" не было написано "Дзержинский"?
> Он не основывал ЧК?

А если б там было написано Mansfield Smith-Cumming - это однозначное доказательсто причастности MI6?
Мощное доказательство причастности российских фед. служб, а как же

> А с чем? Со связью APT28/29 с русским правительством?
> Про это в данной бумаге не пишут.

В первом же параграфе пишут

> Если тебя интересует конкретно это -- изволь, вот:
> https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html

Да где там связь с фед. российскими институтами-то!? Я вот тоже в коде оставляю коменты по-русски - мне платит фсб?
Что за бред.. Прям как в кино про русскую мафию, ептель
Зачем передёргивать-то? Это лишь свидетельствует о том, что ты русскоязычный. И это не бред. Это реалии киберпреступности -- в ней практически не бывает одного прямого доказательства, а есть толпа мелких косвенных, которые, будучи сгруппированными, рисуют весьма однозначную картинку. Поэтому ты часто будешь видеть термин constellation of evidence.

Та же самая картина, между прочим, наблюдается в разведке и шпионаже. Никто не будет писать в открытую о том, что в каком-то месте строится что-то секретное. Но собрав множество косвенных непротиворечивых свидетельств, можно уже что-то утверждать с достаточной достоверностью.

Ты чего ждал, что на месте взлома найдут бумажную копию паспорта Путина, что ли?

Нет, граждане, разведка так не работает.
> Нет, граждане, разведка так не работает.

Ну так если она так не работает - нечего так писать.
Это чисто какая-то истерическая пропаганда, или просто некомпетентность
Да и в нормальной разведке такого себе не позволяют - там тишину любят, особенно если их поимели.

Будем откровенны, наличие русских каментов и utc +4 доказывает только то, что как минимум один член группы говорит по-русски
Все
Это не доказывает, что группа базируется в россии(есть и другие страны с +4). Это не доказывает, что это именно российские хакеры(их можно нанять кому угодно). Это не доказывает, что они на содержании фед. институтов, и т.п.
Ты через дырку в картонке, что ли, текст читаешь?

Почему ты берёшь ОДИН факт из статьи, и с упорством утверждаешь, что именно на основании этого ОДНОГО факта делается весь вывод?

Я кому тут долго рассказывал о группировке косвенных свидетельств?

Возьми хотя бы те факты:

Русский язык внутри бинарников
Spearphishing кампании на русском языке
Высокое качество кода
Наличие различных модулей, взаимодействующих друг с другом
Время основной активности

И:

Список атакованных целей
Что было достигнуто?
Кому выгодно атаковать именно эти цели?
Кому выгодно, чтобы были произведены именно эти действия?

Выводы вполне однозначны.
> Русский язык внутри бинарников
> Spearphishing кампании на русском языке
> Высокое качество кода
> Наличие различных модулей, взаимодействующих друг с другом
> Время основной активности

Это говорит о чем? О том, что программеры толковые и хотя бы один говорит на русском. Все
Там же ведь не все комменты на русском, правда? Группа может быть распределенной, правильно? Билд-машина может стоять в россии, а группа сидеть по всему миру, правильно?

Spearphishing кампании на русском языке - это они демпартии письма на русском слали, что ли?

> Список атакованных целей
> Что было достигнуто?
> Кому выгодно атаковать именно эти цели?
> Кому выгодно, чтобы были произведены именно > эти действия?

Тому, у кого зуб на штаты, а таких - вагон и маленькая тележка. С чего американцы думают, что их только россия не любит? Да их весь мир ненавидит
Т.е., оплатить услуги может кто угодно.

> Выводы вполне однозначны.

Косвенные улики дают тебе только предположения. Вот например у Пауэлла были предположения, что в Ираке ОМП есть. Чем закончилось - мы прекрасно знаем
> Это говорит о чем? О том, что программеры толковые и хотя бы один говорит на русском. Все
Там же ведь не все комменты на русском, правда? Группа может быть распределенной, правильно? Билд-машина может стоять в россии, а группа сидеть по всему миру, правильно?

А, может быть, это инопланетяне из ближайшей галактики?

Значительно логичнее было бы думать, имея на руках данные факты, что это российская группа, имеющая вполне формализованную платформу с отлаженным процессом софтверного инженеринга. Учитывая секретность подобных мероприятий, маловероятно, что это девелоперы раскиданные географически. Скорее всего, приходят в один и тот же офис.

> Spearphishing кампании на русском языке - это они демпартии письма на русском слали, что ли?

При чём тут демпартия?

Они что, только демпартию атаковали, что ли?

> Тому, у кого зуб на штаты

Да блджад.

Ты почитай список ВСЕХ хаков, совершённых этой группой. Что ты на США зациклился? Не читай ты текст через дырку.

> Косвенные улики дают тебе только предположения.

Группировка косвенных улик -- даёт не предположения, а определённую степень уверенности.

На чём всегда стоял и будет стоять data mining.
> Значительно логичнее было бы думать, имея на руках данные факты, что это российская группа, имеющая вполне формализованную платформу с отлаженным процессом софтверного инженеринга. Учитывая секретность подобных мероприятий, маловероятно, что это девелоперы раскиданные географически. Скорее всего, приходят в один и тот же офис.

Это если считать их подразделением фсб
Если это группа хакеров - то никакой проблемы, поднимаем свой git, и работаем удаленно

> Они что, только демпартию атаковали, что ли?

Логично предположить, что если они фишили русскоговорящих, то письма д.б. на русском.

> Ты почитай список ВСЕХ хаков

Прочитал
Опять-таки, вынужден верить на слово, что все эти хаки были, и однозначно связаны с данной группой
После всех истерик в прессе - веры не прибавляется



> Это если считать их подразделением фсб

Не надо обязательно считать, что там все с корочками.

Просто кому выгоднее всего было совершать хаки, сделанные этой группой?

Российскому правительству.

Так как данная информация не является коммерчески, а только политически значимой, от самих хаков невозможно заработать.

Следовательно, им платят. Кто? А кому выгодно -- см. выше.

А уж с корочками ли хакеры -- это, в принципе, не так важно. Но, то, что группа тоже российская -- тоже вполне логично. Не к зимбабвийским же хакерам идти русскому правительству? Свои есть, и весьма хорошо образованные.

> Логично предположить, что если они фишили русскоговорящих, то письма д.б. на русском.

Это когда они фишили российских корреспондентов, "неправильно" освещающих войну с Грузией 2008 года.

> однозначно связаны с данной группой

А вот про атрибуцию конкретного данного хака с APT28/29 -- и есть данная статья. Где написано, что в данном хаке использовались те же C2 и сертификаты, что в других хаках, атрибуцированных данной группе.

Что есть весьма однозначное свидетельство -- что-то, зашифрованное несимметричным публичным ключом, можно прочитать только если имеешь соответствующий частный ключ.
> Просто кому выгоднее всего было совершать хаки, сделанные этой группой? Российскому правительству.

Из того списка? Значительная часть выгодна не только росс. правительству.
Если говорить о политике вообще, то имхо, США переоценивает свою важность для России, кмк
Европа и Азия россии гораздо важнее

> А вот про атрибуцию конкретного данного хака с APT28/29 -- и есть данная статья. Где написано, что в данном хаке использовались те же C2 и сертификаты, что в других хаках, атрибуцированных данной группе.

Как же так получается, что группа вроде толковая и все такое, а на протяжение многих лет использует один и тот же ключ, что позволяет ее однозначно идентифицировать?
> Значительная часть выгодна не только росс. правительству.

Но ВСЁ, СУММАРНО -- то бенефециар может быть только один.

Кому, кроме русского правительства, было выгодно компреметировать некоторых российских журналистов, пишуших о Грузии?

> Как же так получается, что группа вроде толковая и все такое, а на протяжение многих лет использует один и тот же ключ, что позволяет ее однозначно идентифицировать?

Во-первых, все совершают ошибки.
Во-вторых, смена ключа -- довольно серьёзное мероприятие. Возможно, решили не менять, побоялись что-то сломать.

Меня значительно больше удивило использование того же C2 с тем же адресом.

Впрочем, если провайдер его не закрывает, зачем менять?
> Но ВСЁ, СУММАРНО -- то бенефециар может быть только один.

Ты интерпретируешь факты под свою теорию
"А давайте суммарно!"
А давайте нет. Версия, что они работают по разным заказчикам(потому что есть определенная репутация) и версия, что на одного(потому что один финансовый источник) - равноценны

Кроме того, повторюсь - с чего ты взял, что все указанные случаи - дело рук данных групп? Это, тащемто, голословные утверждения. И мне интересно, раз эти группы существуют и успешно действуют вот уже 10 лет(или больше), почему до этого никто о них не говорил, не было никаких скандалов? Тем более, что так легко определили следы по ключу, который везде использовался?

> Во-вторых, смена ключа -- довольно серьёзное мероприятие. Возможно, решили не менять, побоялись что-то сломать.

Таки ты определись.
Если они на содержании кагебе, то деньги у них есть, и сменить ключ не проблема
Если они толковые парни - то ничо у них не сломается, сменить ключ не проблема
Либо же, продали кому-нить сертификат. Это ведь возможно?
> А давайте нет. Версия, что они работают по разным заказчикам(потому что есть определенная репутация) и версия, что на одного(потому что один финансовый источник) - равноценны

Нет, не равноценны.

Так как есть одна группа, которая заинтересована во ВСЕХ хаках сразу.

Это наиболее логичное и непротиворечивое объяснение, чем кучка различных индивидуалов с ВЕСЬМА глубокими карманами.

> с чего ты взял, что все указанные случаи - дело рук данных групп

Из твоего вопроса я могу только заключить, что ты ни одну статью толком не прочитал.

> И мне интересно, раз эти группы существуют и успешно действуют вот уже 10 лет(или больше), почему до этого никто о них не говорил, не было никаких скандалов?

Ты где был последние 7 лет?

Первые рапорты о APT, спонсируемых государствами, датируются 2010 годом.

https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf

> Если они на содержании кагебе, то деньги у них есть, и сменить ключ не проблема
> Если они толковые парни - то ничо у них не сломается, сменить ключ не проблема

А зачем его менять? Ну? Какой смысл? Всё работает. Потом найдут и обнаружат? Ну и что? И так и так -- у любой группы есть свой MO, просто было бы одним индикатором меньше. И всё.

> Либо же, продали кому-нить сертификат. Это ведь возможно?

Нахера? Его самостоятельно можно сгенерировать.
> Так как есть одна группа, которая заинтересована во ВСЕХ хаках сразу.

Ты способен предсказать, в чем заинтересовано фсб и гру?

> Это наиболее логичное и непротиворечивое объяснение,

С т.з. теории заговора - безусловно

> Из твоего вопроса я могу только заключить, что ты ни одну статью толком не прочитал.

Прочитал.
Там говорится - "мы считаем, что это они ответственны за.."
Это не доказательство, это предположение. Т.е., понятно, что все указывает на, но твердых доказательств - нет. И в данной ситуации, спокон веку развед. организации по-тихому гадили друг другу, не вынося это все на публику.
А тут - эти агенства на весь мир орут "нас поимели"! Так либо они совершеннейшие бездари и им нечем ответить(что позорно), либо им есть чем, и они вполне так себе отвечают, и они ничем не лучше.


> Ты способен предсказать, в чем заинтересовано фсб и гру?

Безусловно. Во всём, что выгодно положению России в мире.

Все эти хаки были выгодны положению России в мире.

> С т.з. теории заговора - безусловно

Я понял ПРАВДУ.

Эту группу нанимали зимбабвийские латифундисты, чилийские коммунисты, а также лично Фидель Кастро -- с того света.

Это я-то теорией заговора страдаю?

Ты извини, но принцип cui bono испокон веков был на службе у следователей.

> Прочитал.

Тогда твоё непонимание мне неясно -- те же C2, те же сертификаты, те же отпечатки пальцев на софте. В чём проблема-то? Что ты тут разыгрываешь из себя Станиславского со своим "не верю"? Вопрос атрибуции к APT28/29 тут как бы вообще не стоит.

> нечем ответить

Комитету демпартии США? Безусловно, нечем ответить. Чем им отвечать-то? Поломать сервер Путина? Они не в этом бизнесе.

Отвечают граждане вроде ЦРУ. См. stuxnet.
> Безусловно. Во всём, что выгодно положению России в мире.
> Все эти хаки были выгодны положению России в мире.

Ты крайне самоуверен:)
Надо бы тебя про ситуацию на рынках поспрашивать, глядишь, миллионером стану!!!

> Отвечают граждане вроде ЦРУ. См. stuxnet.

Ну так чего кипиш-то тогда?
> Ты крайне самоуверен:)
> Надо бы тебя про ситуацию на рынках поспрашивать, глядишь, миллионером стану!!!

Давай не будем ударяться в юродство.

Если бы среди актов, приписываемых данной группе, было бы ХОТЬ ОДНО деяние, идущее вразрез с интересами России -- был бы смысл говорить о том, что у группы нет одного хозяина.

> Ну так чего кипиш-то тогда?

А почему СССР заявлял протесты в ООН по поводу действий США?

Чего кипиш-то? Ответить было нечем?
> Если бы среди актов, приписываемых данной группе, было бы ХОТЬ ОДНО деяние, идущее вразрез с интересами России

Ну так я тебя еще раз спрошу - ты настолько уверен, что знаешь, что руководство РФ считает своими интересами, а что нет?

> А почему СССР заявлял протесты в ООН по поводу действий США?

Имхо, это показывает слабость заявляющего. Потому что да, больше ответить нечем
> Ну так я тебя еще раз спрошу - ты настолько уверен, что знаешь, что руководство РФ считает своими интересами, а что нет?

Уж во всяком случае я 100% уверен, что ослабление НАТО, США, Германии, стран-членов НАТО типа стран Балтики -- именно что в их интересах.

> Имхо, это показывает слабость заявляющего.

А на мой взгляд это просто показывает желание задокументировать всё соответствующим образом.
Кстати
Сейчас разговор идет только о взломе демпартийных серверов. А начиналось все с воплей что проклятые русские хакнули избирательную систему

Это - пропагандистская истерика, соотвецтвенно, отношение сразу скептическое
Что меня напрягает в этом подходе, так же как и в OSINT. Это соврешенно не строгий и не научный подход. Вывод делается на основании ряда наблюдений. А это ж как в математике - два-три-десять наблюдений подтверждающих гипотезу - это еще не доказательство, в то время как одно наблюдение опровергающее эту гипотезу - это уже таки 100% опровержение. Другое дело что люди занимающиеся этой самой ОСИНТ и прочими косвенными - на возможнные опровержения они не смотрят и их не ищут. То есть - имеется набор фактов которые со степенью достоверности ХХ укладывается гипотезу, а факты возможно опровергающие эту гипотезу вы ищите сами. В упрощенной аналогии - много наблюдений говорит нам что солнце вращается вокруг земли. И чтобы доказать обратное - надо искать факты обратного и не отбрасывать их по тем или иным причинам.

Это все безотносительно к результатам данного исследования, скорее просто критика подхода