2014/08/07

Тагнуулын тухай "үлгэр"

FinFisher хэмээх бүтээгдэхүүн зардаг Gamma гэдэг фирмийн серверийг нэг нөхөр хакердаад 40 Гигабайт хэмжээтэй файлуудыг нээлттэй болгочихлоо гээд интернэтээр шуугиад эхэллээ. Уг хакерын мэдсэнээр бол уг байгууллага програмaa одоо болтол идэвхитэй зарж байгааг нь дурдсан байна. FinFisher хэмээх програм нь 1.5 сая евроны үнэтэй програм. Анти-вирус програмд өртдөггүй Трояан програмын багц бөгөөд хянаж тагнах зориулалтаар германы улсын хэмжээнд хэрэглэгдэж байсан нь мэдэгдэж хоёр жилийн өмнө хэсэг л шуугиан тарьсан эд. Энүүгээр таны компьютер луу бүрэн эрхээр орж бүх зүйлийг хийж болохоос гадна, гар утасны яриаг давхар чагнах, мэдэгдэлгүй залгаж яриаг чагнах, мессенжерийн текстийг давхар унших, email ийг унших гээд л жагсаалт бол хөвөрч өгнө. Гарын авлага болон үнийн жагсаалтуудыг нь дор жагсаав:


Ингээд та уг бүтээгдэхүүнүүдийн юу хийх чадалтайг нь нэг хараарай. Тэр дунд нь хэрэв гар утасны сүлжээнийх нь оператор нь huawei бол бараг бүх боломж нээлттэй байгаа ч бий. Бүр тухайн улсад очиж сургалт хийдэг байх жишээтэй.

За тэгтэл найзтайгаа энэ тухай "шагшран" ярилцаж цааш нэтээр хайтал уг програмыг суулгасан серверээс хүсэлт гаргавал өөдөөс Hallo Steffi гэж хариулдагийг нь мэдээд дэлхийн таван тивд серверүүд ажилладаг нь тодорхой болов.

  • 112.78.143.26 (Indonesia)
  • 121.215.253.151 (Australia)
  • 78.100.57.165 (Qatar)
  • 213.55.99.74 (Ethiopia)
  • 94.112.255.116 (Czech Republic)
  • 213.168.28.91 (Estonia)
  • 54.248.2.220 (USA)
  • 202.179.31.227 (Mongolia)
  • 80.95.253.44 (Czech Republic)
  • 81.198.83.44 (Latvia)
  • 86.97.255.50 (Dubai, UAE)

Өө хөөрхий, монгол улс дотор нь жагсаж байдаг юм байна.
Гэхдээ энэ нь ийм програмыг тэр улс ажиллуулж байна гэсэн үг биш, магадгүй өөр улс нүүрээ нууж өөр улс дээр ажиллуулж болох юм гэсэн тодорхойлолтууд ч уншигдаж байлаа. Манай ерөнхийлөгчийн тамгын газраас Bloomberg.com оос асуусан асуултанд хариу өгөлгүй таг хэмээн мэдээлэл бас байх юм. Австралийн гадаад харилцаа худалдааг хариуцсан албанаас бол FinFisher-г мэдэхгүй л гэсэн байгаа юм. Чех улсын дотоод явдлын яамны хэвлэлийн мэдээлэгч бол Gamma аас бүтээгдэхүүн авч хэрэглэдэг гэсэн ямар ч мэдээлэл байхгүй гэж хариулж. Индонезийн холбоо харилцааны сайд нь манайд иймэрхүү төрлийн бүтээгдэхүүний санал ирдэг гэхдээ бид хүний эрхийг зөрчихгүйн үүднээс хэрэглэдэггүй гэж хариулжээ. Этопиа, Катар, Монголоос хариу ирэлгүй таг. Ингээд хэсэг хугацааны дараа эдгээр серверүүд харанхуй руу алга болоод мэдэгдэхгүй болжээ. Ингээд амар сайхандаа жаргаж гэнээ... За одоо утсаа унтраагаад унтацгаа даа :)


ШИНЭЧЛЭЛ: 22.08.14

Үлгэр дууссангүй ээ, ингээд өнөөх 40GB өгөгдөл задарч эхэлж байх шиг байна. Энд болон эндээс бас эндээс HelpDesk буюу уг програмтай холбоотой хүндрэлүүдийг шийдэхэд тусалдаг газартай нь холбогдсон хүмүүсийн захианууд ил тавигдаж эхлэв. Гэтэл дотор нь odmagnai гэгч нөхөр, gmail хаяг руу халдах кодтой хавсаргасан захиа илгээгээд бүтэхгүй байгаа тухай тусламж гуйсан захидал явж байх юм:



@h2please give us reference as soon as possible
Firstname: Odmagnai at: 2012-05-18 05:41:37
Description: Dear Sirs. We tried to send infected pdf file to gmail account. It giving error message even we had zipped it please give us reference as soon as possible Odmagnai.S altan_edu@yahoo.com mnkhzrg@yahoo.com odmagnai@yahoo.com

@h2please give us reference as soon as possible
Firstname: Odmagnai at: 2012-05-17 04:30:47
Description: Dear Sirs. We tried to send infected pdf file to gmail account. It giving error message even we had zipped it please give us reference as soon as possible Hi. This is the qmail-send program at mail.mn. Im afraid I wasnt able to deliver your message to the following addresses. This is a permanent error Ive given up. Sorry it didnt work out. odmagnai@gmail.com: 173.194.79.26 failed after I sent the message. Remote host said: 552-5.7.0 Our system detected an illegal attachment on your message. Please 552-5.7.0 visit http://support.google.com/mail/bin/answer.py?answer6590 to 552 5.7.0 review our attachment guidelines. ou2si7873584pbb.339 --- Below this line is a copy of the message. Return-Path: info@future-mongolia.com Received: qmail 7724 invoked by uid 1009 27 Apr 2012 20:24:44 -0000 Received: from unknown HELO progamer491hij info@future-mongolia.com@10.5.0.10 by mail.mn with SMTP 27 Apr 2012 20:24:44 -0000 From: Future Mongolia info@future-mongolia.com To: odmagnai@gmail.com

@h2please give us reference as soon as possible
Firstname: Odmagnai at: 2012-05-17 04:30:16
Description: Dear Sirs. We tried to send infected pdf file to gmail account. It giving error message even we had zipped it please give us reference as soon as possible Hi. This is the qmail-send program at mail.mn. Im afraid I wasnt able to deliver your message to the following addresses. This is a permanent error Ive given up. Sorry it didnt work out. odmagnai@gmail.com: 173.194.79.26 failed after I sent the message. Remote host said: 552-5.7.0 Our system detected an illegal attachment on your message. Please 552-5.7.0 visit http://support.google.com/mail/bin/answer.py?answer6590 to 552 5.7.0 review our attachment guidelines. ou2si7873584pbb.339 --- Below this line is a copy of the message. Return-Path: info@future-mongolia.com Received: qmail 7724 invoked by uid 1009 27 Apr 2012 20:24:44 -0000 Received: from unknown HELO progamer491hij info@future-mongolia.com@10.5.0.10 by mail.mn with SMTP 27 Apr 2012 20:24:44 -0000 From: Future Mongolia info@future-mongolia.com To: odmagnai@gmail.com



ШИНЭЧЛЭЛ: 15.09.14

За ингээд энэ програмыг худалдан авсан үйлчлүүлэгчид, хэдэн лицензтэй худалдаж авсан, одоо болтол хэрэглэгч байгаа хэвээрээ юу гэсэн мэдээллүүдийг алдарт wikileaks хуудсан дээрээс өөрийнхөө нүдээр хараарай. Одоо болтол идвэвхитэй хэрэглэгч гэсэн жагсаалтан дотор Монгол улс товойж л байна. Одмагнай гэгч нөхрийн захидал болон бусад мэдээлэл бас бий. Уг програмыг бүх лицензтэй нь худалдаж авбал 50 сая евро болж байгаа бөгөөд хамгийн том хэрэглэгч нь монгол улс байна гэсэн мэдээллийг эндээс уншаарай.


За буцаад нүдээ аниад утсаа унтраагаад унт даа :)