El mundo de antivirus

Los hackers que por lo menos durante un año desde dentro supervisaban el contenido de los equipos del Comité nacional del Partido demócrata, no eran ciberdelincuentes ordinarios. Sospechan que ellos han cometido algunos ataques mediáticos a los EE.UU. y otros países occidentales durante los últimos casi diez años. Ahora los investigadores confirman que los mismos están directamente vinculados a las agencias de inteligencia rusas.

https://www.inopressa.ru/article/16Jun2016/csmonitor/Bear.html

Uno de los contrincantes principales del presidente Trump, el senador Marco Rubio: «En julio del año 2016, después de haber informado que intentaría conseguir la reelección al senado de EE.UU., los ex-miembros de mi campaña electoral que tenían acceso a la información interna de la misma, fueron atacados desde la ubicación desconocida en Rusia».

http://www.securitylab.ru/blog/personal/tsarev/341553.php

Los departamentos de investigación los tienen muchas empresas de seguridad informática nacionales, así mismo, las que ofrecen los servicios SOC, es decir, las que en teoría tienen experiencia, como mínimo, de investigación de incidentes, y quizás de atribución de ciberamenazas. Y tampoco dicen nada. ¿Por qué?

http://www.securitylab.ru/blog/personal/Business_without_danger/333612.php

Otra actividad de los “hackers rusos”: un ataque a la cadena de televisón francesa TV5Monde en abril. Según algunos expertos, este ataque por causa del cual el canal no funcionaba dos días y perdió 17 millones de USD, también fue cometido por un grupo misteriosos APT28, aunque los islamistas se responsabilizaban de este incidente.

https://xakep.ru/2015/10/15/russian-hackers

Entonces, ¿por qué los americanos estaban seguros de que los “rusos” son responsables de los ataques al partido demócrata y otros sistemas de información federales?

1. Web shell llamado PAS Tool PHP Web Kit, desarrollado en Ucrania y publicitado activamente en los foros de hackers rusos. Por otra parte, Robert Graham de Errata Security informa que este software lo usan centenares o miles de hackers en todo el mundo.
2. El software nocivo Xagent que se vincula a los hackers rusos. Pero cualquier experto cualificado lo puede encontrar. Por ejemplo, ESET lo recibió y analizó.
3. Muchas direcciones IP pertenecientes al proveedor de telefonía móvil Yota que además pertenecía al ex ministro de comunicaciones, es decir, a una persona cercana a las autoridades. Yota ocupa el primer lugar en el listado de los proveedores de comunicaciones, dueños de direcciones IP del listado DHS. De 876 direcciones, 44 pertenecen a Yota (y 5 más a Rostelecom). Por otra parte, si no analizamos el vínculo a los proveedores de comunicaciones, desde el punto de visto geográfico, es en EE.UU. donde hay más direcciones IP "“usas” que participaron en el ataque. Y un 15% de todas las direcciones están vinculadas a Tor, es decir, cualquier persona pudo ocultar su actividad usando esta red anónima.
4. Los hackers estaban más activos en el horario laboral de Moscú. Este atributo no se menciona en el informe DHS, pero se menciona en la investigación de CrowdStrike y Mandiant. Mencioné más de una vez que Moscú no quiere decir toda Rusia, Iraq e Irán pertenecen al mismo huso horario, y su relación con los EE.UU. no es la mejor. Y en el huso horario cercano observamos a Turquía, Siria, Libia, cuyas relaciones con este país tampoco son muy positivas.
5. Los comentarios en ruso, el uso de sitios web con interfaz rusa y los archivos creados en el SO/software con soporte del idioma ruso. Otro atributo ausente en el informe de DHS, pero mencionado en otras investigaciones. En el mundo más de 300 millones de personas dominan la lengua rusa, es el 5 idioma más difundido en el mundo y el 2 en Internet. Es el idioma materno de 160 millones de personas, no solo en Rusia. Por lo tanto, “Windows ruso” puede ser instalado en cualquier equipo, no solo en Rusia. Aunque entiendo muy bien que para los estadounidenses, “ruso” quiere decir cualquier descendiente de la antigua URSS, así mismo, los que ya no son ciudadanos de la Federación de Rusia.

http://lukatsky.blogspot.ru/2017/01/blog-post_11.html

El viernes, 31 de marzo (nota de la edición – del año 2017), el portal WikiLeaks publicó la tercera parte de la documentación secreta de la CIA. La tercera parte de la documentación publicada contiene 676 archivos del código inicial del instrumento secreto para esquivar el peritaje criminalístico de Marble Framework. Esta herramienta es un ofuscador o un comprimidor para ocultar la fuente real el software nocivo usado en la CIA.

Marble Framework tiene varios algoritmos con palabras extranjeras deliberadamente añadidas al código fuente. El texto en otro idioma debe desorientar a los criminalistas para que no busquen la fuente correcta. Usando este instrumento, la CIA pudo camuflar sus ataques como si fueran de hackers rusos, de la Corea del Norte, etc

En los archivos filtrados del código fuente hay palabras en chino, ruso, coreano, árabe, en farsi y en inglés. Como informa WikiLeaks, por ejemplo, la CIA quería demostrar que el idioma materno del software nocivo supuestamente no es inglés, sino chino. Pero, sin embargo, intentaban demostrar que un chino intentaba ocultar su idioma materno, camuflándose por otra persona.

http://www.securitylab.ru/news/485754.php