The Shadow Brokers

The Shadow Brokers — хакерская группировка, о которой впервые стало известно летом 2016 года[1][2]. Группа известна взломами информационных систем Агентства национальной безопасности США (АНБ), кражей информации, последующей продажей и опубликованием её в общий доступ. В частности, в 2017 году группой была украдена у АНБ документация о найденных уязвимостях в Server Message Block (SMB), которой подвержены компьютеры, работающие на основе операционной системы Windows, а также эксплойты для эксплуатации этих уязвимостей[3][4][5]. Впоследствии, опубликованные уязвимости были использованы неизвестными лицами для создания сетевого червя-вымогателя WannaCry и проведения одной из масштабнейших кибератак. Также стало известно о публикации уязвимостей нулевого дня (0day-уязвимостей). Все опубликованные уязвимости — эксплойты, нацеленные на получение несанкционированного доступа к системам семейства Windows. Как известно из опубликованных данных, авторство бэкдора DoublePulsar также принадлежит АНБ. The Shadow Brokers изначально приписывали авторство украденной информации хакерской группировке Equation Group, по причине того, что они, возможно, сотрудничали с АНБ[6][7][8][9].

Псевдоним

Несколько источников новостей отметили, что название группы, скорее всего, имеет отношение к серии видеоигр Mass Effect[10][11]. Мэтт Саич процитировал описание псевдонима :

The Shadow Broker представлена экспансивной организацией, которая торгует информацией. К тому же, всегда продаёт эту самую информацию за самую высокую цену. Стоит отметить, что является весьма компетентной в торговле: все секреты, которые покупаются и продаются никогда не дают получить существенного преимущества клиенту. Это сделано для того, чтобы заставить клиентов продолжать торговать информацией, тем самым оставаясь всегда в выгодном для себя положении.

Хронология утечек

Первая утечка: «Аукцион кибер-оружия Equation Group»

Точная дата неясна, но сообщения свидетельствуют о том, что подготовка утечки началась примерно в начале августа, и первая публикация произошла 13 августа 2016 года с учетной записи социальной сети Twitter @shadowbrokerss.

В Pastebin был размещён раздел под названием «Аукцион кибер-оружия Equation Group — Приглашение», со следующим содержанием:

!!! Прошу внимания правительственных спонсоров кибервойны и тех, кто получает от нее прибыль !!!! Сколько вы платите за вражеские кибер-оружия? Безопасное ПО, Вы найдете и в сети. Две стороны : RAT + LP, разве это набор инструментов для государства? Мы ищем лишь то кибер-оружие, которое дано создателями таких вирусных программ как Stuxnet, Duqu, Flame. Что ж, мы следуем за трафиком Equation Group. Мы, по крайней мере, ищем её исходный диапазон. Не секрет и то, что мы взламываем Equation Group. Мы находим много кибер-оружия Equation Group. Итак, мы опубликуем специально для Вас несколько файлов, украденных у Equation Group. Что скажете? Разве это плохие доказательства? Вы многое нарушаете, слишком много... Находите много уязвимостей, Вы пишете много слов. Но не все лучшие файлы попадут на аукцион...

Снимок экрана украденных инструментов

Вторая утечка: «Сообщение № 5 — Уловка или угощение (TrickOrTreat)»

Эта публикация предположительно была сделана 31 октября 2016 года. В публикации были доступны списки серверов, предположительно скомпрометированных Equation Group, а также ссылки на семь якобы нераскрытых инструментов нового поколения. Стали известны лишь названия: DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK и STOCSURGEON.

Третья утечка: «Сообщение № 6 — Чёрная пятница / Понедельник кибер-продаж»

Текст сообщения № 6:

The Shadow Brokers пытается создавать аукционы. Людям не нравится, они игнорируют. The Shadow Brokers пытается объединять файлы. Люди отзываются негативно. Что же, теперь The Shadow Brokers пробует другие попытки, а именно — прямая торговля. Если Вам это подходит, Вы отправляете по электронной почте The Shadow Brokers с именем Warez запрос, указывая желаемую покупку. The Shadow Brokers отправляет Вам также по электронной почте биткойн-адрес. Вы производите платеж. The Shadow Brokers после проверки платежа передаёт Вам необходимую ссылку и пароль дешифрования. Если Вам не нравится данный метод проведения транзакций, Вы с лёгкостью найдёте агентов The Shadow Brokers на подземных торговых площадках. Файлы подписаны.

Список цен на кибер-товар (в биткойнах)

Четвёртая утечка: «Не забудьте свою базу данных»

8 апреля 2017 года в учётной записи Medium, используемой The Shadow Brokers, было опубликовано сообщение с паролем к зашифрованным файлам, украденным в прошлом году для CrDj "(; Va.*NdlnzB9M ?@K2) #> deB7mN. Эти файлы, как утверждалось, содержали огромное количество инструментов для проведения кибер-атак, разработанных АНБ. В этой публикации было также указано, что сообщение частично является ответом за нападение президента Трампа на сирийский аэродром, который также использовался российскими войсками.

Пятая утечка: «Потерянный в переводе»

14 апреля 2017 года учётная запись Twitter, используемая The Shadow Brokers, отправила сообщение с ссылкой на историю Steemit. Сообщение со ссылкой на файлы утечки были зашифрованы паролем Reeeeeeeeeeeeeee. Общее содержание базировалось на трёх папках: «oddjob», «swift» и «windows». Общепринятое считается, что пятая утечка стала «… самым разрушительным релизом», а CNN цитирует некоего Мэтью Хики:

Должен заметить, это, вполне возможно, самая разрушительная вещь, которую я видел за последние несколько лет.

Утечка включала себя инструменты для взлома, проведения кибер-атак и эксплойты под кодовым названием DANDERSPIRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, DOUBLEPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE, EXPLODINGCAN и EWOKFRENZY. О FuzzBunch, DoublePulsar и EternalBlue известно немного больше, чем об остальных, но предполагается, что и другие эксплойты не менее эффективны для кибер-атак. Некоторые из эксплойтов, нацеленных на операционную систему Windows, были исправлены в обновлении 14 марта 2017 года, то есть, за месяц до того, как произошла утечка. Некоторые предположили, что в Microsoft, возможно, были проинформированы[источник не указан 2736 дней] о будущей утечке эксплойтов в сеть.

EternalBlue

Основная статья: EternalBlue

Более 500 000 компьютеров были заражены инструментами из этой утечки в течение первых двух недель, а в мае 2017 года была распространена основная атака WannaCry с целью вымогательства. Создатели WannaCry использовали эксплойт ETERNALBLUE для проведения атаки на протокол SMB по 445 порту с целью распространения, и, бэкдор DoublePulsar, чтобы получить доступ к системе.

См. также

Примечания

  1. Ghosh, Agamoni (2017-04-09). "'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools". International Business Times UK. Архивировано 14 мая 2017. Дата обращения: 28 мая 2017.
  2. "'NSA malware' released by Shadow Brokers hacker group". BBC News (англ.). 2017-04-10. Архивировано 23 мая 2017. Дата обращения: 28 мая 2017.
  3. Powerful NSA hacking tools have been revealed online. Washington Post. Дата обращения: 28 мая 2017. Архивировано 19 мая 2017 года.
  4. Equation Group - Cyber Weapons Auction - Pastebin.com (16 августа 2016). Дата обращения: 28 мая 2017. Архивировано 16 августа 2016 года.
  5. "NSA-leaking Shadow Brokers lob Molotov cocktail before exiting world stage". Ars Technica (англ.). Архивировано 24 мая 2017. Дата обращения: 28 мая 2017.
  6. "Confirmed: hacking tool leak came from "omnipotent" NSA-tied group". Ars Technica (англ.). Архивировано 6 июня 2017. Дата обращения: 28 мая 2017.
  7. The Equation giveaway - Securelist. securelist.com. Дата обращения: 28 мая 2017. Архивировано 15 августа 2017 года.
  8. "Group claims to hack NSA-tied hackers, posts exploits as proof". Ars Technica (англ.). Архивировано 24 мая 2017. Дата обращения: 28 мая 2017.
  9. Sam BiddleSam Biddle2016-08-19T12:00:55+00:00. The NSA Leak Is Real, Snowden Documents Confirm. The Intercept. Дата обращения: 28 мая 2017. Архивировано 25 мая 2017 года.
  10. "The 'Shadow Brokers' NSA theft puts the Snowden leaks to shame - ExtremeTech". ExtremeTech (англ.). 2016-08-19. Архивировано 3 мая 2017. Дата обращения: 28 мая 2017.
  11. "Shadow Brokers: Hackers Claim to have Breached NSA's Equation Group". The Daily Dot (англ.). 2016-08-15. Архивировано 27 мая 2017. Дата обращения: 28 мая 2017.