Dziś 1 kwietnia, a więc i prima aprilis dlatego dzisiejszą „prasówkę” trzeba traktować z dystansem, zwłaszcza gdy znajdźcie w niej jakieś sensacyjne wiadomości.
Właśnie dostałem od znajomego link do 2 wpisów w serwisie Niebezpiecznik, w których jest opisywany „rządowy tajny projekt” o kryptonimie ID29 (Projekt 29), czyli polski wojskowy wirus/trojan i to właśnie jemu (koledze, nie ID29) dedykuje ten wpis ;-)
Spis treści w artykule
Projekt 29 „prima aprilis 2015” w serwisie Niebezpiecznik
Jak zawsze ekipa z Niebezpiecznika przyłożyła się do swojego żartu, choć nie ustrzegli się też kilku wpadek.
Pierwszy wpis dotyczący ID29 został opublikowany już wczoraj w godzinach wieczornych, a dla uwiarygodnienia całej operacji znajdziemy w nim sporo prawdziwych informacji (Alladyn2 włamuje się do kancelarii premiera, prezydenta i MON) oraz „aktualnie nośnych tematów” jak choćby NATO, Rosja, inwigilacja, seryjny samobójca…
Zapewne by dodatkowo podkręcić napięcie pojawiały się aktualizacje wpisu, oraz zapowiedź publikacji wyników analizy trojana wraz ze sposobem sprawdzenia, czy również nasz komputer został zainfekowany.
Ogólnie wpis bez większych „wpadek”, choć może troszkę „zbyt sensacyjny” ;-)
Wyniki analizy wirusa/trojana Projekt 29 (ID29)
Dziś pojawił się kolejny wpis – z wynikami analizy działania trojana/wirusa, oraz – zgodnie z zapowiedziami – sposobem na sprawdzenie czy i nasz komputer jest zainfekowany.
Tu już mam wrażenie, że troszkę przesadzono i miejscami ma się wrażenie, że to żart.
f14950b970bc87ca183072dcdc40.pl
Kluczem jest domena pod która znajduje się serwer-matka (C&C):
f14950b970bc87ca183072dcdc40.pl
Domen zarejestrowana pod koniec marca – ale w końcu co tydzień jest nowa, więc to nie powinno dziwić. I to właśnie sprawdzając czy w cache DNS mamy odwołanie do niej ma upewnić nas w przekonaniu, że padliśmy ofiarą ID29.
Np. w systemie Windows możecie skorzystać z takiej komendy:
ipconfig /displaydns | findstr f1495
Nic u Was nie znalazło? Możecie odetchnąć z ulgą… Choć od razu wiadomo, że nie byliście ostatnio na Niebezpieczniku ;-)
WhoIS
Domena zarejestrowana jest w Aftermarket na firmę, ale niestety danych abonenta nie sprawdzimy – 10 zł wydane na ochronę prywatności robi swoje ;-)
Cloudflare
Ale z WhoIS dowiemy się, że domena jest schowana za Cloudflare, a więc łatwo nie poznamy faktycznego adresu IP serwera – zwłaszcza że domyślna subdomena „pomijająca Cloudflare” została skasowana:
direct.f14950b970bc87ca183072dcdc40.pl
Słusznie :-)
admin.f14950b970bc87ca183072dcdc40.pl
Ale ekipie z Niebezpiecnzika „udało się wytropić” za pomocą przeszukiwania „popularnych subdomen” niezabezpieczony adres:
admin.f14950b970bc87ca183072dcdc40.pl
Pod którym zgłasza się strona błędu:
Adres wskazuje na rządowy serwer:
IP: 91.208.93.177
Na którym znajdziemy m.in. hosta:
wp.mil.pl
A wp.mil.pl to:
Ministerstwo Obrony Narodowej
Przyznam, że pomysł z spreparowaniem tej subdomeny odpowiednim wpisem w DNSach bardzo dobry :-)
Wikimedia
Ale wystarczy wejść na adres bez „admin.” by zobaczyć troszkę mniej profesjonalnie przygotowaną stronę:
Na której znajduje się grafika z… Wikimedia:
<img src="http://upload.wikimedia.org/wikipedia/commons/thumb/b/b7/JWK_oznk_rozp_%282014%29_mund-pust.gif/93px-JWK_oznk_rozp_%282014%29_mund-pust.gif">
Co już wygląda trochę mniej profesjonalnie… ;-)
Jak to żart? Sprawdziłem i komputer faktycznie się łączył z podanym adresem!
Jeśli ktoś z Was sprawdził – zgodnie z radami w serwisie Niebezpiecnzik – czy system jest zainfekowany, to prawdopodobnie się okazało, że faktycznie jest… A przynajmniej tak wynika z historii zapytań DNS.
Jeśli ktoś z Was nie był ostatnio na Niebezpiecnziku, i zrobi test – zapewne w systemie nie znajdzie śladów tej infekcji…
A sprawcą jest sam Niebezpiecnzik, który kodzie strony dodał „obrazek”:
<img src='http://xxxxx.f14950b970bc87ca183072dcdc40.pl/pa.gif' width=3px height=3px>
Gdzie „xxxxx” to cyfry generowane prawdopodobnie losowo, a mające odpowiadać nadanemu nam „numerowi ofiary” ;-)
- Zero Trust od Cloudflare, czyli prosty i bezpieczny sposób na dostęp do lokalnych zasobów z zewnątrz, bez publicznego adresu IP i otwierania portów na routerze - 1970-01-01
- Home Assistant i integracja z IMGW-PIB, czyli tworzymy automatyzację z powiadomieniami bazując na sensorach zagrożenie i alarm powodziowy - 1970-01-01
- Home Assistant 2024.9 i kolejne przydatne nowości w widoku „sekcje”, dzięki którym jeszcze lepiej można dopasować wygląd - 1970-01-01
https://imagizer.imageshack.us/v2/1504x968q90/905/HWFtM0.png
Hm… „pamiętać by wstawić prawdziwe zdjęcie” – ciekawe czy to celowe działanie „dla spostrzegawczych” czy gafa…
Ogólnie w tym roku sporo ich było, i oczywiście „giganci” również nie zawiedli, choć nie wszystkie można uznać za udane…
Informacji na ten temat sporo – w większości już z informacją, że to był żart.
ID29 jako wyjątek zagościł na stronie – ale zamiast tłumaczyć kolejny raz kolejnemu znajomemu i/lub klientowi postanowiłem napisać i później tylko odsyłać… :-)
Zwłaszcza, że dziś moją uwagę i czas musiałem skierować na szukanie nowego konta firmowego, bo Alior zgodnie z przewidywaniami wziął się za podwyżki w… Meritum. I to o efektach tych poszukiwań miał się dziś ukazać wpis, ale uznałem, że sporo osób mogłoby uznać to (zmiany w Meritum) za żart…