Создателем инструмента GRIZZLY STEPPE может быть студент из Украины

Согласно отчету Министерства внутренней безопасности США, нашумевший взлом серверов Национального комитета Демократической партии США – дело рук хакеров, работающих на российские спецслужбы. Вредоносная кампания получила название GRIZZLY STEPPE, а используемые во время ее проведения инструменты могли быть созданы студентом из Украины. К такому выводу пришел финский политический активист, выпускник Университета Аалто и бывший сотрудник компании Nokia Петри Крохн (Petri Krohn). Свои выводы эксперт опубликовал на сайте OffGuardian.

Как отметил Крохн, в отчете Министерства внутренней безопасности США используемый в ходе GRIZZLY STEPPE инструмент называется «PAS tool PHP web kit». Эксперты министерства также опубликовали файл YARA Signature, позволяющий любому идентифицировать его.

Согласно исследователям компании Wordefence, вредонос представляет собой web-шелл P.A.S. – популярное вредоносное ПО для сайтов под управлением WordPress. Как обнаружили эксперты, инструмент связан с украинским сайтом Profexer.name.

Данный ресурс выдает SSL-сертификат, идентифицирующий его как pro-os.ru и предоставляющий электронный адрес aazzz@ ro .ru. В настоящее время сайт отключен, а срок регистрации домена истек, однако Архив интернета содержит его копии с апреля по май 2015 года. Судя по всему, ресурс специализировался на вредоносном ПО.  

В контактах на pro-os.ru указан адрес roman@pro-os .ru и страница в соцсети «ВКонтакте», принадлежащая некоему Роману Алексееву. В настоящий момент данная страница заблокирована из-за «подозрительной активности».

На сайте toster.ru адрес aazzz@ ro.ru числится за Романом Алексеевым. В Сети Алексеев называет себя web-разработчиком и предлагает соответствующие услуги. На сайте Freelancehunt.com имеется фотография Алексеева, зарегистрированного под псевдонимом aazzz. Согласно указанным на сайте данным, разработчику 25 лет и проживает он в Запорожье (Украина).

Что интересно, на самом деле фото принадлежит студенту Полтавского национального технического университета Ярославу Панченко. Не исключено, что Панченко и Алексеев – одно и то же лицо, и имеет отношение к вредоносной кампании GRIZZLY STEPPE.