[Offtopic constructiv] Romania - cyberattack ?

[Vlachs]

Salut baieti si fete(putine da bune ).

Topicul se spera a fi unu offtopic dar constructiv, dinainte de a vorbi trebuie sa stiti ca oricine posteaza doar un cuvant/poza si nu incearca sa posteze o propozitie cap coada si sa aiba un inteles...primeste ban 3 zile.

1.Ce credeti despre atacurile la adresa romaniei ?

2.Nu vi se pare ciudat ca institutiile romaniei au acces la 'reteaua mare' in loc sa aiba doar pe retea locala cu reguli privind ip-urile la care sa se conecteze ?

3.Nu vi se pare ca SRI-ul incearca sa isi faca o imagine prea buna cu 'comunicatele' astea de presa, apar aproape zilnic comunicate in care SRI-ul drege cate ceva

4.O alta chestie care nu o inteleg, atacurile asupra celorlalte tari au avut un scop(au furat ceva important) dar in cazul romaniei oare ce au vrut sa fure, la noi cercetare nu se face, nu avem area 51, deci ce credeti ca au vrut sa fure?

[shaggi]

3. YES, restul sunt nenecesare deoarece cred ca atacurile nici nu exista:)

[Nytro]

In cazul Red October cei de la Kaspersky au scris ca Romania e pe lista tarilor atacate si au multumit CERT-RO pentru colaborare. De asemenea, in lista de fisiere analizate de ei, erau vreo 2 care aveau nume romanesti.

Da, nu inteleg ce ar putea vrea cineva de la noi.

Oricum acces la institutiile noastre de 2 lei se poate obtine rapid printr-un SQLI de cacat, nu vad de ce s-ar complica atat.

[begood]

Cum sa ne dam cu parerea cand nici nu stim cum a fost facut atacul, daca a fost prin mailuri targetate si asa mai departe.

[Kwelwild]

1. Poate c? atacurile venite din partea româniei c?tre ??rile str?ine au ie?it prea mult în eviden??, iar atunci s-au gândit s? ne ard?. Întrebarea mea este, cu ce s? ne ard??!

Guvernul ?i site-urile f?cute în word...

[begood]

Are cineva un sample de la atacul asta ? Ca sa putem sa ne dam totusi cu parerea.

[Vlachs]

Are cineva un sample de la atacul asta ? Ca sa putem sa ne dam totusi cu parerea.

Si eu caut, sunt curios ce e atat de avansat la malware-ul asta, singurul care e cu adevarat notabil este exploit-ul.

[Sweby]

1. Am fost luati din scurt de catre serviciile secrete straine deoarece romanii sunt "hackerii renumiti". Acum inventam atacuri cibernetice de proportii mai mari ca mai apoi (viitorul apropiat) sa introducem legi mai stricte pe aceasta nisa.

2. Institutiile romaniei au acces la organele genitale ale unor servicii secrete straine, care au acces la 'reteaua mare'. De acolo isi procura informatiile.

3. Vor sa faca o imagine buna, mai ales pentru privitorii din exterior.

4. Avand in vedere intamplarile din zona politica (2012-2013) si faptul ca majoritatea oamenilor sunt lipsiti de scrupule, nu exclud ideea obtinerii unor informatii ce vor fi folosite (acum sau mai tarziu) sub forma de santaj, dar nici ideea unui atac inventat.

[fulminator]

1. Eu nu cred ca atacurile sunt ceva intentionat. Sunt prea multi oameni, institutii, ONG, tari etc pe planeta incat sa NU fie o coincidenta. Parerea mea este ca undeva pe lume au fost cativa baieti (probabil indieni, dar in orice caz asiatici, pentru ca ei sunt cei mai multi) care au spus: "poate gasim ceva bun aici", fara niciun motiv concret la adresa tarii.

2. Sistemul de infrastructura al institutiilor romanesti e praf. Dar asta, banuiesc, o stiti cu totii.

Sa dau un exemplu concret: mama mea lucreaza la CFR pe un calculator mai vechi decat permite legea (sincer, nu stiu ce model, dar cred ca e echivalentul lui pentium 2), care ce e si mai ciudat, in inventar valoreaza 70 de mil de lei vechi. Nu, nu mama a facut afacerea. Repet: e trecut in inventar, pe numele mamei mele, ca a fost cumparat cu 7.000 lei. Transferul de fisiere se face astfel: mama trage cablul de retea de la alt calculator din birou si-l baga vajnic in al ei. Ii da restart ca nu se poate altfel. Si ajunge intr-o retea pe regionala Brasov (mai multe judete centrale ale tarii) unde are full control in retea. Am incercat si eu. Am drepturi de read, write, modify pe orice calculator din retea.

Dupa acest exemplu sper sa va dati seama ca infrastructura IT al institutiilor sunt "ceea ce a ramas" in urma afacerilor "sefilor", care bineinteles, scapa cu fata curata pt ca nu ei figureaza la nume in inventare si in procese de predare-primire a infrastructurii. Acum ceva vreme, circula prin mass-media stirile cum profesorii de la scolile rurale luau calculatoarele scolii primite prin programe de dezvoltare, europene sau regio, sau le schimbau cu ale lor, mai slabe. Softurile care se cumpara, normal ca se fac de la firme favorizate fara un concurs sau o licitatie legala si dreapta. De-asta platim mii, efectiv, sute de mii de euro pentru lucruri ce valoreaza maxim maximorum 1000 de euro! Doar pentru ca au calitatea de a fi "folosite de stat"! Si din cauza alegerii favorizate a firmei, care desigur, nu e cea mai buna, produsele sunt foarte foarte proaste. Probabil stiti povestea cu logo-ul Romaniei, care a ajuns sa se puna problema daca e copiat sau nu!

Vreti sa stiti in ce programe se lucreaza in dispeceratele inspectoratelor de urrgenta, pentru ca acolo am lucrat si eu? In iexplorer. Nu vb prostii, dar softul e facut in aspx si ruleaza in internet explorer si e facut foarte, foarte prost. Singurul soft care e folositor de acolo stiti de cine e facut? De un angajat care a ajuns din greseala la 112 si care se saturase de atata prostie. Softul lui e facut in Visual Fox Pro acum foarte de mult, de pe vremea cand nu erau alte medii de programare, si continua sa fie bun pana in ziua de azi! Nu neaparat pt ca e genial, pentru ca nu are comparatii de vreo 20 de ani incoace!

3. SRI sunt o gasca de oameni foarte betivi care se angajeaza unii pe altii pe motive de slugarnicie si relatii. Pentru ca inteligenta medie e sub cea medie a romanilor, in general, mai sunt cativa mai rasariti (<20%), ce e drept, care tin pe picioare toata institutia, repara greselile celorlalti si se ocupa de imagine asa cum se ocupa cei din marketing. Vedeti cazurile cu gripa porcina, aviara si atentatele teroriste. Comunicatul lor oficial e ca au salvat tara de gripa porcina si vreo 20 de antentate teroriste anual. Problema e ca cele 3 cazuri de gripa porcina din tara sunt prea putine sa fie numite epidemie si cele lui nea Nelu cu butelia de gaz in fata crasmei comunale ca-si da foc ca si-a pierdut banii la pacanele nu se pune ca atentat terorist. Iata, intr-adevar, o institutie periculoasa si sfatul meu e sa va feriti de ea. Sunt atat de perversi incat sa va puna la pamant pentru un simplu deface ca sa declare oficial apoi ca au luptat cu frauda bancare si uite, v-au prins cu succes.

4. Asa cum am evidentiat la 1, eu cred ca a fost un atac orb. Sunt prea multi actori pe net care fac asta incat sa o faca neintentionat si necoincidental. Nu cred ca se asteptau la ceva sau doreau ceva. Ei au facut lucrul respectiv sa vada "oare aici gasim ceva"?

[Vlachs]

Detalii mai multe despre miniduke(analiza bitdefender):

Early Version of MiniDuke Ran on Chinese Time | Bitdefender Labs

More On MiniDuke and How to Remove It | Bitdefender Labs

Bitdefender antimalware researchers have come across samples of a previously-unrecognized version of the MiniDuke virus which, as it turns out, was active as early as May 2012 – and it wants to know what time it is in China.

A new sample of the ~20KB MiniDuke backdoor shows (in its header) a compile time of 21st of May 2012.

Previously known variants show a compile time of 20th of February, 2013.The sample was first detected and added to the Bitdefender malware database on 26th of May 2012. In conclusion, the file can be confidently dated to May 2012 or earlier.

The 2012 sample uses a different installation mode – it is hosted in an executable file as an embedded .dll.

The .dll is packed with the same packer as later variants and the code itself is similar. The .exe file drops the .dll, under the name of tempfile.dat and loads it using rundll32. exe

Then the virus adds itself to the registry under the key

Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell entry:

Unlike the February 2013 samples, it sets an environment variable which contains the path towards the malware. The path where it is stored is identical to the other variants: C:\Documents and Settings\All Users\ and possibly one of the “Application Data” or “Microsoft” subdirectories (picked at random).

The environment variable name can be one of the values :

APPINIT, DATA, PATHDATA, PROGRAM, USERINIT, SPEC, LOCALAPP, SYSTEMAPP, SYSTEMPATH, APPFOLDER, SESSION, etc. (as shown below).

The .dll copied in the temp path has one of the names: ntuser.dat, registry.dat, index.db, profile.dat, sysdata.dat, config.dat, sysini.dat, bootstat.dat … (see above). By contrast, samples from 2013 concatenate several string chunks, picking from:

“base, user, reg, index, profile, system, data, config, init, boot, stat, cache, class, setup, network.. etc”

and gets run using a .lnk file added to Startup.

A very interesting detail:

the virus accessesWhat Time is it in China which returns the current time and date in China! If an Internet connection is not present, the system time is used (connection is retried twice every 10 minutes.Although it requests date and time values for China, the malware seems to use only the date(y/m/d), not the time of day.

The time user agent for contacting Google is:

“User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)”

while other variants used different user agents.

Analysis is ongoing but so far it appears that otherwise this sample behaves the same as later ones.

The payload files which are downloaded (.gif) are decrypted and saved under one of the names:

“winupdt.exe wcsntfy.exe netmngr.exe dumpreport.exe taskhosts.exe wupdmngr.exe winhlp.exe dllhosts.exe dxdiagupd.exe dialers.exe netschd.exe connwiz.exe certupdt.exe repfault.exe wuapreport.exe lanmgr.exe”

and is then run with WinExec() if it is an .exe or loaded using LoadLibrary() if it’s a .dll.

Multe de aici nu se leaga, ce e atat de sofisticat?

1.daca il pui sa se incarce cu winlogon pe > xp, nu functioneaza, + ai nevoie de uac pentru current_machine(pe current_user nu merge)

2. la bucata asta urla cam toti antivirusii

The payload files which are downloaded (.gif) are decrypted and saved under one of the names:

“winupdt.exe wcsntfy.exe netmngr.exe dumpreport.exe taskhosts.exe wupdmngr.exe winhlp.exe dllhosts.exe dxdiagupd.exe dialers.exe netschd.exe connwiz.exe certupdt.exe repfault.exe wuapreport.exe lanmgr.exe”

and is then run with WinExec() if it is an .exe or loaded using LoadLibrary() if it’s a .dll.

[Usr6]

si o analiza a celor de la kaspersky: The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor - Securelist

pdf (analiza detaliata) : http://www.securelist.com/en/downloads/vlpdfs/themysteryofthepdf0-dayassemblermicrobackdoor.pdf

p.s. puteti intra si pe chat, tot despre acest subiect se discuta:)

l.e.

crysys.hu: http://www.crysys.hu/miniduke/miniduke_indicators_public.pdf

Edited March 2, 2013 by Usr6
completari

[R0cc0]

Salut baieti si fete(putine da bune ).

Topicul se spera a fi unu offtopic dar constructiv, dinainte de a vorbi trebuie sa stiti ca oricine posteaza doar un cuvant/poza si nu incearca sa posteze o propozitie cap coada si sa aiba un inteles...primeste ban 3 zile.

1.Ce credeti despre atacurile la adresa romaniei ?

2.Nu vi se pare ciudat ca institutiile romaniei au acces la 'reteaua mare' in loc sa aiba doar pe retea locala cu reguli privind ip-urile la care sa se conecteze ?

3.Nu vi se pare ca SRI-ul incearca sa isi faca o imagine prea buna cu 'comunicatele' astea de presa, apar aproape zilnic comunicate in care SRI-ul drege cate ceva .

4.O alta chestie care nu o inteleg, atacurile asupra celorlalte tari au avut un scop(au furat ceva important) dar in cazul romaniei oare ce au vrut sa fure, la noi cercetare nu se face, nu avem area 51, deci ce credeti ca au vrut sa fure?

1.Ce credeti despre atacurile la adresa romaniei ?

Cei ce l-au creat sunt priceputi nu ai lasat urme , si cu intamplari trecute plus acest virus , trebuie gasit un tap ispasitor .

2.Nu vi se pare ciudat ca institutiile romaniei au acces la 'reteaua mare' in loc sa aiba doar pe retea locala cu reguli privind ip-urile la care sa se conecteze ?

Nu este nimic ciudat , atata timp cat F.B.I ; C.I.A , au lucrat cu " noi " la cazul intamplarilor de pe acest forum , probabil ca si noi am avut de castigat , intrand in ' reteaua mare " .

4.O alta chestie care nu o inteleg, atacurile asupra celorlalte tari au avut un scop(au furat ceva important) dar in cazul romaniei oare ce au vrut sa fure, la noi cercetare nu se face, nu avem area 51, deci ce credeti ca au vrut sa fure?

"Avand in vedere intamplarile din zona politica (2012-2013) si faptul ca majoritatea oamenilor sunt lipsiti de scrupule, nu exclud ideea obtinerii unor informatii ce vor fi folosite (acum sau mai tarziu) sub forma de santaj, dar nici ideea unui atac inventat. " ( aici l-am citat pe @Sweby si ii dau dreptate ) .

[bcman]

Sper ca nu te superi ca am sa raspund la o singura intrebare din cele adresate de tine. Mentionez si ca nu am citit celelalte comentarii. Mi-a placut foarte mult cand cei de la SRI au declarat ca stiau de Red October cu nu stiu cate luni inainte. Ca angajatii lor super haxori au dat de urma unor infractori care isi faceau planuri impotriva romaniei. Cred ca cei din spatele Red October nici nu aveau in plan sa "atace" Romania la acea vreme. In general, cel mai important intr-o tara e senzatia de liniste si ca organele abilitate isi fac treaba. E logic ca intr-un domeniu in care omul de rand nu prea are habar, e foarte usor de schimbat perceptia publica asupra activitatii organelor.