У меня возник вопрос, связанный сэтот вопрос, где кто-то показывает историю Терминала о попытках взлома его системы.
В выводе есть строка, которая предполагает, что взлом произошел из Китая. Это утверждение было сделано во многих ответах, и никто не подумал усомниться в этом. Строка выглядит так:
Accept-Language: zh-cn
что означает, что на другом конце был предпочтен китайский язык. IP-адреса, с которых хакер загружает некоторые инструменты, являются китайскими. Однако, аналогично главному вопросу здесь... Говорит ли это нам, что хакер сидит в Китае?
Возможно ли, что люди включают эту строку просто для того, чтобы сделать еепоявлятьсячто атака произошла из Китая? Или есть дополнительные улики, указывающие на это?
В конце концов они вполне могли бы продолжать работать на английском или любом другом языке.
Я представляю себе, например, англичанина, сидящего в интернет-кафе в Москве и подключенного через VPN в Эквадоре...
Являются ли статистические данные, которые сообщаются,в прессеили, например, американским правительством, котороеИксПроцент всех кибервойн/хакерских атак исходит из Китая на основе более надежной информации? Если да, то какой?
решение1
Я рад, что кто-то поднял эту тему, так как я подумал то же самое, когда прочитал этот вопрос.
Accept-Language: zh-cn
Первое, что я думаю, когда вижу это, — кто-то скопировал заголовок HTTP-запроса из своего браузера, не понимая, что он делает.
Даже в обычных запросах это обычно не нужно, и в этом случае URL, вероятно, используется для загрузки бинарных активов, которые не нужно переводить. Это просто пустая трата места.
Эта строка не обязательно что-либо обозначает, но гипотетически она может указывать на языковые настройки браузера злоумышленника.
На что-то указывают IP-адреса, обнаруженные в двоичном файле, но это не означает, что злоумышленник находится в Китае, возможно, просто он взломал какие-то серверы в Китае.
Я всегда скептически отношусь к такой статистике. Я не уверен, на чем она основана, кроме IP-адресов.
решение2
В этом случае злоумышленник, по-видимому, скрыл свою личность, осуществив атаку через серверы Microsoft Azure Cloud. Таким образом, происхождение атаки трудно определить без каких-либо журналов, которые могут быть у Microsoft.
Однако IP-адреса, с которых загружались файлы, были из Китая. Это, а также упомянутая строка, являются наиболее близкими к тому, что мы знаем без дополнительных логов.
Имейте в виду, что Китай не особенно известен своим свободным и открытым интернетом. Напротив, в последний раз, когда я искал информацию, любая форма базового хостинга там была невероятно дорогой. Возможно, что-то изменилось, но кажется маловероятным, что люди за пределами Китая приложили бы слишком много усилий, чтобы арендовать там сервер, и приложили бы столько усилий, чтобы создать видимость того, что он возник в Китае.
Это на 100% убедительно? Нет, совсем нет. Но вероятно? Я бы так сказал.
Что касается СМИ, я считаю, что это слишком открыто для мнений и каждого СМИ и их источников, чтобы дать окончательный ответ в этом формате.