Теневые Брокеры ( TSB ) является группой хакеров , которые впервые появились летом 2016 года [1] [2] Они опубликовали несколько утечек , содержащих хакерские инструменты, в том числе нескольких нулевого дня подвигов , [1] из « Equation группы » , который многие подозревают, что они являются отделением Агентства национальной безопасности (АНБ) США. [3] [4] В частности, эти эксплойты и уязвимости [5] [6] нацелены на корпоративные межсетевые экраны , антивирусное программное обеспечение и продукты Microsoft . [7]Изначально Shadow Brokers приписали утечку злоумышленнику Equation Group, который был связан с подразделением Tailored Access Operations АНБ . [8] [9] [10] [4]
Имя и псевдоним
Несколько источников новостей отметили, что название группы, вероятно, было отсылкой к персонажу из серии видеоигр Mass Effect . [11] [12] Мэтт Суич процитировал следующее описание этого персонажа: «Теневой брокер - это человек, возглавляющий обширную организацию, которая торгует информацией, всегда продавая тому, кто предложит самую высокую цену. Теневой брокер, кажется, очень компетентен. в своей торговле: все секреты, которые покупаются и продаются, никогда не позволяют одному клиенту Брокера получить значительное преимущество, вынуждая клиентов продолжать торговлю информацией, чтобы не оказаться в невыгодном положении, позволяя Брокеру продолжать бизнес ». [13]
История утечек
Первая утечка: "Аукцион кибероружия Equation Group - приглашение"
Хотя точная дата неясна, отчеты предполагают, что подготовка утечки началась, по крайней мере, в начале августа [14], и что первая публикация произошла 13 августа 2016 года с твита из учетной записи Twitter "@shadowbrokerss", объявляющего Страница Pastebin [6] и репозиторий GitHub, содержащий ссылки и инструкции для получения и расшифровки содержимого файла, предположительно содержащего инструменты и эксплойты, используемые Equation Group .
Публикация и предположения о подлинности
Pastebin [6] представляет раздел под названием «Аукцион кибероружия Equation Group - приглашение» со следующим содержанием:
Equation Group Cyber Chase Weapons Auction - Приглашение
- ------------------------------------------------
!!! Вниманию государственных спонсоров кибервойны и тех, кому это выгодно !!!!
Сколько вы платите врагам за кибероружие ? Не вредоносное ПО, которое вы найдете в сети. Обе стороны, RAT + LP, полный набор инструментов государственного спонсора? Мы находим кибероружие, созданное создателями stuxnet , duqu , flame . Касперский звонит в Equation Group. Мы следим за трафиком Equation Group. Находим диапазон источников Equation Group. Мы взламываем Equation Group. Мы находим множество кибероружий Equation Group. Вы видите картинки. Видите ли, мы бесплатно предоставляем вам несколько файлов Equation Group. Это хорошее доказательство, нет? Ты наслаждаешься!!! Вы много чего ломаете. Вы найдете много вторжений. Вы пишете много слов. Но не все, мы выставляем на аукцион лучшие файлы. .
Pastebin включает различные ссылки для получения файла с именем "EQGRP-Auction-Files.zip". Этот zip-файл содержит семь файлов, два из которых представляют собой зашифрованные GPG архивы «eqgrp -uction-file.tar.xz.gpg» и «eqgrp-free-file.tar.xz.gpg». Пароль архива «eqgrp-free-file.tar.xz.gpg» был обнаружен в оригинальном Pastebin theequationgroup
. Пароль архива "eqgrp-аукцион-file.tar.xz" был раскрыт в более позднем посте на Medium CrDj"(;Va.*NdlnzB9M?@K2)#>deB7mN
.
Pastebin продолжает инструкции по получению пароля к зашифрованному файлу аукциона :
Инструкции по аукциону
- --------------------
Мы выставляем на аукцион лучшие файлы тому, кто предложит самую высокую цену. Аукционные файлы лучше, чем stuxnet. Аукционные файлы лучше бесплатных файлов, которые мы вам уже даем. Сторона, которая отправляет большую часть биткойнов по адресу: 19BY2XCgbDe6WtTVbTyzM9eR3LYr6VitWK до остановки торгов, является победителем, мы говорим, как расшифровать. Очень важный!!! Когда вы отправляете биткойн, вы добавляете дополнительный вывод к транзакции. Вы добавляете вывод OP_Return. В выводе Op_Return вы указываете свою контактную информацию (участника торгов). Мы предлагаем использовать адрес электронной почты bitmessage или I2P-bote. Никакая другая информация не будет раскрыта нами публично. Не верьте неподписанным сообщениям. Мы свяжемся с победителем и предоставим инструкции по расшифровке. Winner может поступать с файлами по своему усмотрению, мы не публикуем файлы.
Первоначальный ответ на публикацию был встречен с некоторым скептицизмом [15] относительно того, действительно ли контент будет «... много-много кибероружия Equation Group». [6]
Вторая утечка: «Сообщение №5 - TrickOrTreat».
Эта публикация, сделанная 31 октября 2016 г., содержит список серверов, предположительно взломанных Equation Group, а также ссылки на семь якобы нераскрытых инструментов (DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK И STOICSURGEON), также используемых исполнитель угрозы. [16]
Третья утечка: «Сообщение №6 - ЧЕРНАЯ ПЯТНИЦА / КИБЕРПОНЕДЕЛЬНИК»
Сообщение №6 гласит:
TheShadowBrokers пытается провести аукцион. Людям не нравится. TheShadowBrokers пытается провести краудфандинг. Народы не нравятся. Теперь TheShadowBrokers пробует прямые продажи. Проверяйте ListOfWarez. Если хотите, отправьте электронное письмо TheShadowBrokers с именем Warez, с которым вы хотите совершить покупку. TheShadowBrokers отправляет вам обратный биткойн-адрес по электронной почте. Вы производите оплату. TheShadowBrokers отправляет вам ссылку + расшифровку пароля. Если вам не нравится этот метод транзакции, вы найдете TheShadowBrokers на подпольных торговых площадках и совершите транзакцию с условным депонированием. Файлы как всегда подписываются. [17]
Эта утечка [18] содержит 60 папок, названных так, чтобы служить ссылкой на инструменты, которые, вероятно, используются Equation Group. Утечка не содержит исполняемых файлов, а содержит скриншоты файловой структуры инструментов. Хотя утечка может быть подделкой, общая взаимосвязь между предыдущими и будущими утечками и ссылками, а также работа, необходимая для подделки такой фабрикации, придает достоверность теории о подлинности упомянутых инструментов.
Четвертая утечка: «Не забывай свою базу»
8 апреля 2017 года средний аккаунт The Shadow Brokers опубликовал новое обновление. [19] Сообщение раскрыло пароль к зашифрованным файлам, выпущенным в прошлом году CrDj"(;Va.*NdlnzB9M?@K2)#>deB7mN
. Эти файлы якобы раскрывают другие хакерские инструменты АНБ. [20] В этом сообщении прямо говорилось, что пост был частично в ответ на нападение президента Трампа на сирийский аэродром , который также использовался российскими войсками.
Расшифрованный файл, eqgrp-аукцион-file.tar.xz, содержал набор инструментов, предназначенных в первую очередь для взлома сред на базе Linux / Unix. [21]
Пятая утечка: «Трудности перевода»
14 апреля 2017 года учетная запись Twitter, используемая Shadow Brokers, опубликовала твит со ссылкой [22] на блокчейн Steem. Здесь сообщение со ссылкой на файлы утечки, зашифрованные паролем Reeeeeeeeeeeeeee
.
Общий контент основан на трех папках: oddjob, swift и windows. [23] Пятая утечка считается «… самой разрушительной на сегодняшний день» [24], и CNN цитирует слова Мэтью Хики: «Это, возможно, самая разрушительная вещь, которую я видел за последние несколько лет». . [25]
Утечка включает, среди прочего, инструменты и эксплойты под кодовым названием: DANDERSPIRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE , EXPLODINGCAN и EWOKFRENZY. [24] [26] [27]
Некоторые из эксплойтов, нацеленных на операционную систему Windows, были исправлены в бюллетене по безопасности Microsoft 14 марта 2017 г., за месяц до утечки. [28] [29] Некоторые предполагали, что Microsoft могла быть проинформирована о выпуске эксплойтов. [30]
Eternalblue
Более 200 000 машин были заражены инструментами из этой утечки в течение первых двух недель [31], а в мае 2017 года крупная атака вымогателя WannaCry использовала эксплойт ETERNALBLUE для Server Message Block (SMB) для распространения. [32] Эксплойт также использовался для проведения кибератаки «Петя» 27 июня 2017 г. [33]
ETERNALBLUE содержит шелл-код ядра для загрузки непостоянного бэкдора DoublePulsar . [34] Это позволяет установить полезную нагрузку PEDDLECHEAP, которая затем будет доступна злоумышленнику с помощью программного обеспечения DanderSpritz Listening Post (LP). [35] [36]
Домыслы и теории о мотивах и идентичности
Инсайдерская угроза АНБ
Джеймс Бэмфорд и Мэтт Суич предположили [37], что хакерские инструменты украл инсайдер, «возможно, кто-то из сотрудников [АНБ], ответственных за высокочувствительные операции специального доступа ». [38] [39] В октябре 2016 года газета The Washington Post сообщила, что главным подозреваемым был Гарольд Т. Мартин III , бывший подрядчик Booz Allen Hamilton, обвиненный в краже примерно 50 терабайт данных из Агентства национальной безопасности (АНБ). Shadow Brokers продолжали публиковать сообщения, которые были подписаны криптографически и давали интервью средствам массовой информации, пока Мартин был задержан. [40]
Теория связи с Россией
Эдвард Сноуден заявил в Твиттере 16 августа 2016 г., что «косвенные доказательства и общепринятое мнение указывают на ответственность России» [41] и что утечка «вероятно является предупреждением о том, что кто-то может доказать ответственность за любые атаки, исходящие с этого сервера вредоносного ПО» [42 ] резюмируя, что это выглядит как «кто-то отправляет сообщение о том, что эскалация в атрибутивной игре может быстро стать беспорядочной». [43] [44]
The New York Times поместила этот инцидент в контекст кибератак Национального комитета Демократической партии и взлома электронной почты Podesta . Поскольку американские спецслужбы подумывали о контратаках, выпуск кода Shadow Brokers должен был рассматриваться как предупреждение: «Ответьте на DNC, и есть гораздо больше секретов от взломов Государственного департамента, Белого дома и Пентагон, это тоже могло быть разлито. Один высокопоставленный чиновник сравнил это со сценой из «Крестного отца», где голова любимой лошади оставлена в постели в качестве предупреждения ». [45]
В 2019 году Дэвид Айтель, ученый-компьютерщик, ранее работавший в АНБ, резюмировал ситуацию так: «Я не знаю, знает ли кто-нибудь, кроме русских. И мы даже не знаем, русские ли это. Мы не знаем. знаю на данный момент; все может быть правдой ". [46]
Рекомендации
- ^ a b Гош, Агамони (9 апреля 2017 г.). « „ Президент Trump , что ж ** к вы делаете“сказать Теневым брокер и сбросить больше NSA хакерских инструментов» . International Business Times UK . Проверено 10 апреля 2017 года .
- ^ « „ NSA вредоносных“выпущенный Теневые Brokers хакерской группы» . BBC News . 10 апреля 2017 . Проверено 10 апреля 2017 года .
- ^ Брюстер, Томас. «Equation = NSA? Исследователи раскрывают огромный« американский кибер-арсенал » » . Forbes . Проверено 25 ноября 2020 года .
- ^ а б Сэм Биддл (19 августа 2016 г.). «Утечка АНБ реальна, документы Сноудена подтверждают» . Перехват . Проверено 15 апреля 2017 года .
- ^ Накашима, Эллен (16 августа 2016 г.). «В сети были обнаружены мощные хакерские инструменты АНБ» . Вашингтон Пост .
- ^ а б в г «Equation Group - Аукцион кибероружия - Pastebin.com» . 16 августа 2016 года Архивировано из оригинального 15 августа 2016 года.
- ^ Дэн Гудин (12 января 2017 г.). «Теневые брокеры, получившие утечку из АНБ, подбрасывают коктейль Молотова перед тем, как покинуть мировую арену» . Ars Technica . Проверено 14 января 2017 года .
- ^ Гудин, Дэн (16 августа 2016 г.). «Подтверждено: утечка средств взлома исходила от« всемогущей »группы, связанной с АНБ» . Ars Technica . Проверено 14 января 2017 года .
- ^ «Бесплатная раздача Equation - Securelist» .
- ^ «Группа утверждает, что взламывает хакеров, связанных с АНБ, и в качестве доказательства публикует эксплойты» .
- ^ «Кража АНБ« Shadow Brokers »посрамляет утечки информации о Сноудене - ExtremeTech» . 19 августа 2016 г.
- ^ «Теневые брокеры: хакеры утверждают, что взломали группу уравнений АНБ» . 15 августа 2016 г.
- ^ «Shadow Brokers: Подвиги недели АНБ» . Medium.com . 15 августа 2016 г.
- ^ "Теневые брокеры: устранение теней группы уравнений АНБ?" .
- ^ Роб Прайс (15 августа, 2016). « « Теневые брокеры »утверждают, что взломали элитное подразделение компьютерной безопасности, связанное с АНБ» . Business Insider . Проверено 15 апреля 2017 года .
- ^ " „ Теневые брокеров“Reveal Список серверов взломан АНБ, Китай, Япония, Корея Top 3 Целевые страны; 49 Всего стран, в том числе: Китай, Япония, Германия, Корея, Индия, Италия, Мексика, Испания, Тайвань, И Россия » . Уголок Фортуны . 1 ноября 2016 . Проверено 14 января 2017 года .
- ^ «СООБЩЕНИЕ №6 - РАСПРОДАЖА ЧЕРНОЙ ПЯТНИЦЫ / КИБЕР-ПОНЕДЕЛЬНИКА» . bit.no.com . bit.no.com.
- ^ "unix_screenshots.zip" . bit.no.com.
- ^ theshadowbrokers (8 апреля 2017 г.). «Не забывай свою базу» . Средний . Проверено 9 апреля 2017 года .
- ^ Кокс, Джозеф (8 апреля 2017 г.). «Они вернулись: Shadow Brokers выпускают новые предполагаемые эксплойты» . Материнская плата . Вице-материнская плата . Проверено 8 апреля 2017 года .
- ^ https://github.com/x0rz/EQGRP
- ^ «Трудности перевода» . Steemit . 14 апреля 2017 . Проверено 14 апреля 2017 года .
- ^ «Поделиться» . Яндекс.Диск . Проверено 15 апреля 2017 года .
- ^ а б «Утечка из АНБ Shadow Brokers только что сбросила свой самый разрушительный релиз» . Ars Technica . Проверено 15 апреля 2017 года .
- ^ Ларсон, Селена (14 апреля 2017 г.). «Мощные инструменты взлома Windows от АНБ просочились в сеть» . CNNMoney . Проверено 15 апреля 2017 года .
- ^ «Последний дамп теневых брокеров - владеющий SWIFT Alliance Access, Cisco и Windows» . Средний . 14 апреля 2017 . Проверено 15 апреля 2017 года .
- ^ "misterch0c" . GitHub . Проверено 15 апреля 2017 года .
- ^ «Microsoft заявляет, что пользователи защищены от предполагаемого вредоносного ПО АНБ» . AP News . Проверено 15 апреля 2017 года .
- ^ «Защита клиентов и оценка рисков» . MSRC . Проверено 15 апреля 2017 года .
- ^ «Microsoft заявляет, что уже исправила утечки АНБ« Shadow Brokers »» . Engadget . Проверено 15 апреля 2017 года .
- ^ «Утечка инструментов АНБ, которыми сейчас заражено более 200 000 машин, будет использоваться в качестве оружия на долгие годы» . CyberScoop . Проверено 24 апреля 2017 года .
- ^ «Червь-вымогатель, созданный АНБ, выключает компьютеры по всему миру» .
- ^ Перлрот, Николь; Скотт, Марк; Френкель, Шира (27 июня 2017 г.). «Кибератака поразила Украину, затем распространилась по всему миру» . Нью-Йорк Таймс . п. 1 . Проверено 27 июня 2017 года .
- ^ Сумма, ноль (21 апреля 2017 г.). "zerosum0x0: Анализ шеллкода DoublePulsar начального бэкдора SMB Ring 0" . zerosum0x0 . Проверено 15 ноября 2017 года .
- ^ «Сияющий свет на теневых посредников» . Состояние безопасности . 18 мая 2017 года . Проверено 15 ноября 2017 года .
- ^ «Анализ трафика DanderSpritz / PeddleCheap» (PDF) . Точка силы . 6 февраля 2018 . Проверено 7 февраля 2018 года .
- ^ «Теневые брокеры: инсайдерская теория» . 17 августа 2016 г.
- ^ «Комментарий: свидетельства указывают на еще одного Сноудена из АНБ» . Рейтер . 23 августа 2016 г.
- ^ «Подсказки предполагают, что инсайдер помог утечке средств взлома АНБ« Equation Group »» . Ars Technica . 22 августа 2016 г.
- ^ Кокс, Джозеф (12 января 2017 г.). «Разносчики эксплойтов АНБ. Теневые брокеры называют это прекращением» . Материнская плата .
- ^ «Косвенные доказательства и общепринятое мнение указывают на ответственность России. Вот почему это важно» . Twitter . 16 августа 2016 . Проверено 22 августа 2016 года .
- ^ «Эта утечка, вероятно, является предупреждением о том, что кто-то может доказать ответственность США за любые атаки, исходящие от этого вредоносного сервера» . 16 августа 2016 . Проверено 22 августа 2016 года .
- ^ «TL; DR: эта утечка выглядит так, как будто кто-то отправляет сообщение о том, что эскалация в игре атрибуции может быстро стать беспорядочной» . twitter.com . Проверено 22 августа 2016 года .
- ^ Прайс, Роб (16 августа, 2016). «Эдвард Сноуден: Россия могла передать информацию о предполагаемом кибероружии АНБ в качестве« предупреждения » » . Business Insider . Проверено 22 августа 2016 года .
- ^ Эрик Липтон, Дэвид Э. Сэнджер и Скотт Шейн (13 декабря 2016 г.). «Идеальное оружие: как российская киберсила вторглась в США» New York Times . Проверено 15 апреля 2017 года .CS1 maint: использует параметр авторов ( ссылка )
- ^ Абдолла, Тами; Такер, Эрик (6 июля 2019 г.). «Тайна утечки АНБ сохраняется, когда закрывается ящик с украденными документами» . Ассошиэйтед Пресс . Архивировано 6 июля 2019 года.
Внешние ссылки
- Публичный реестр адреса аукциона на blockchain.info
- Различные сценарии относительно того, кто стоит за утечкой The Shadow Brokers
- Список эксплойтов брандмауэра, содержащихся в утечке The Shadow Brokers
{[Контроль полномочий}}