Воин Добра и Света
Professional
- Messages
- 121
- Reaction score
- 48
- Points
- 28
А ты пытался когда нибудь обратиться в web-приёмную ЦИБ ФСБ? Я вот попытался. Решил написать о существовании наркобарыжьих сайтов на DDoS-Guard.net и посмотреть что будет. Думал, может они не знают об этом. К теме барыжников размещенных на той же площадке, что ресурсы МинОбороны и Центробанка РФ я обязательно вернусь, лишь напомню, что об этом уже писала meduza.io. А пока меня удивило другое.
При входе на ресурс web-приёмной ЦИБ ФСБ отсутствует шифрование SSL и предлагается скачать файл, приложения для “генерации случайного числа для создани
я защищенного соединения”.
Предложение ЦИБ ФСБ
У меня возник вопрос, это как? А умнее там никого не было тексты писать?
Скачав файл, я надеялся увидеть по крайней мере установщик КриптоПРО. Но, увы, увидел другое. Под видом генератора случайных чисел выгружается файл, который не стесняясь отстукиваться на сервер c IP 213.24.76.29 сразу после запуска. А вот что думает VirusTotal:
Вот что думает VirusTotal про “генератор чисел” ФСБ
Дальше я продолжать не стал. Закрыл окно и написал эту статью.
Хорошо задумайся перед тем, как обращаться в ЦИБ ФСБ по любым вопросам или иметь c ними дело, а если ты всё же решил это сделать, лучше используй виртуальную машину. И скафандр. И, желательно, находясь в другой стране.
Похоже, что в ФСБ случайные числа генерируются либо при назначении сумм откатов, либо при назначении тюремных сроков оппозиционерам.
А вот если ты решил написать про наркобарыг, которые хостятся на той же площадке, что и ресурсы Центробанка РФ, помни, что придут не за ними, а за тобой. Или, F0x, как там было?
P.S. То, что выгрузил я, прилагаю. На случай, если чекисты захотят что то поменять после моего сообщения:
client-win2k-i386_key-20210525-100635-00000000_20210603-085736-00000000Скачать
И главное. По окончании работы, пожалуйста, не забудьте закрыть приложение.
UPD: со времени моего поста (4 июня утром, выгружаемый файл поменялся).
UPD2: Разобрались с поведением файла. А именно, после запуска действительно происходит соединенение с указанным выше сервером, причём после обмена информацией с сервером, помимо того, что бинарь удаляет сам себя никакой подозрительной деятельности выявлено не было.
