Пуркуа бы, сеньоры, и не па ?

Это текст одного моего коллеги, которому стал любопытен шум вокруг злосчастной обворованной вражеской ЧВК. Мне кажется, что он совершенно прав.

Очередной переполох в интернете пробудил любопытство и я скачал обнародованый архив, дабы взглянуть внутрь и узнать как на самом деле ЭТО выглядит. Не буду многословен, просто из опыта знаю что люди в массе своей невнимательны и легко ведутся на различные сенсации. Итак. Распаковываем архив и видим три папочки — !!Syria, Iran, Iraq.


Первое, на что сразу заостряет внимание предварительный текст "хакера" — естественно Сирийский вопрос. Все в шоке! Но давайте все таки, после шоковой терапии попробуем пораскинуть мозгами, просмотрев содержание остальных папок. Аха!!! Личные данные сотрудников, отчеты по проводимым мероприятиям, документы по методике мероприятий, блок схема компании и схема текущего состояния компьютерной сети на июль 2012 года. Файлов много — мало времени. К чему доказательства, если вот оно — "письмо", вот они — "украинцы и грузины", вот в письме — "Катар и Вашингтон" и исполнитель налицо. Какие еще нужны доказательства?!

Начинаем разбираться. Во первых удивительно, что компания такого профиля запросто хранит секретные документы в открытой сети, совершенно пренебрегая безопасностью сотрудников. Уже закрадывается сомнение. Почему обе схемы лежат там же? Центральный оффис делится разработкой внутренней стратегии с работниками филиалов компании? — Сомнительно. Просто есть элементарные понятия о хранении конфиденциального материала и элементарной безопасности в сети. И у компании такого профиля нет сетевых администраторов, у котрых нет этих понятий и методики? — Трудно поверить.

Рассматриваем материал повнимательней. В папке !!Syria хранится одно единственное письмо и как бы нечаянно туда попавшие, копия паспорта с CV карточкой писавшего, как будто он пришел устраиваться на работу. Хотя все данные на сотрудников хранятся в другом месте. Само письмо не имеет никакого аттачмента, намекающего на присутствие там какого либо файла.


В папке Iran, на которую мало кто обратил внимание, хранится единственное письмо с таким текстом:

А с чего это вдруг Дэвиду понадобилось заливать на сторонний публичный файл-сервер секретную информацию? Почему бы его сразу не прикрепить к письму, вместо того чтобы тратить лишнее время на заливку файла? Это наверное новая секретная методика соблюдения безопасности и заметания следов внутри своей компании? Далее, в той же папке лежат некие планы, некоей гипотетической операции, по которой отрабатываются некие мероприятия: ANNEX A OPLAN , ANNEX B OPLAN и так далее, под кодовым названием "Ruhayyat". Естественно возникает ассоциация с названием папочки — Иран и возникает ощущение о разработке операции против Ирана.

Наконец третья папка — Ирак, в которой хранится основной массив файлов с отчетами об основной деятельности компании:

Сканы паспортов, списки и личные данные служащих, интернет аккаунты с паролями, отчеты о происшествиях на объектах, ежедневные расписания "караульной службы" и единственный файл с перепиской, в которой разбирается инцидент по поводу некорректной работы с документацией о безопасности клиента, который привел к неприятным последствиям, с прикрепленным документом-отчетом по инциденту.

Еще больше не верится в пренебрежительное отношение компании к своим документам, из за которого можно запросто вылететь с работы.

Тут осеняет мысль. Если из папки Иран, файлы с вернуть обратно на место, в папку Ирак, то все становится на свои места. Компания занимается своим бизнесом по охране объектов и разработке методики операций в военных условиях, по которой обучает вооруженные силы или частные формирования различных заказчиков. Обычная рутина и документация по Ираку.

Сканируем полностью все файлы на предмет присутствия в них слов — Сирия и Иран. Ничего нет.

Только два письма, которые остаются одинокими в двух ненужных папках. Возникает мысль попробовать подделать сам файл Оутлука — Syrian Issue.eml. Открываем файл письма с помощью текстового редактора NotePad++ и просто заменяем там текст на нужный, полностью оставляя оригинальные реквизиты владельца. Мне пришлось еще сменить кодировку на UTF-8 Unicode, что-бы можно было прочесть на русском языке. В итоге получаем такую загогулину.

Из первой папки — Сирия, возвращаем CV и копию паспорта на место, в папку Ирак, к служащим компании и итоге получаем два поддельных письма, в папках, которые были искуственно созданы и в них переброшены нужные файлы, для создания видимости каких-то действий. Ненужные письма удалены и оставлена информация нужная для создания эффекта. Сделано криво и нелогично, но с выхлопнувшим эффектом. Два письма подделать не сложно, а остальные нужно удалить и оставить только одно оригинальное, для примера и сравнения с подделкой, создав видимость подлинности.

Кто и кому слил документацию ЧВК??? — Остается только гадать.
Примерно такая версия, не претендующая на истину в конечной инстанции, но вполне правдоподобная на мой взгляд.

Реклама