Ну вобще-то это не их скрипт. Это скрипт правил для YARA (это такой специализированный инструмент для классификации файлов - по простому). В данном случае это правило помогает идентифицировать факт взлома на системах (наличие следа - если угодно).
Я так подробно не читал оригинальный отчет - я просто пьян (тк новый год) - да и вобще мне эта тема неинтересна - но могу предположить что они сделали заключение о том что хакеры отсюда (из постсоветского пространства) тк тут как то замешан PAS TOOL PHP WEB KIT - это разновидность веб-шела - который был разработан в украине/россии когда то.
Поскольку тулза отсюда и популярна она здесь => это сделали русские. (я думаю так они и думали) - хотя тулзой пользуются тысячи людей и не только здесь (но конечно преимущественно здесь).
Но я думаю это только открытая часть отчета. И скорее всего не только факт следа использовали для идентификации атакующих - все каналы связи контролируются (это безспорно). И можно все узнать если надо - но это дорого. Хотя если одного такого заподозрить - не проблема вычислить точно. Но как они это делали - они по понятным причинам не станут раскрывать...
Это сообщение отредактировал Muritiku - 1.01.2017 - 02:06
yaplakal.com