Теневые брокеры
Хакерская группа

Shadow Brokers ( TSB ) — хакерская группа , впервые появившаяся летом 2016 года. [1] [2] Они опубликовали несколько утечек, содержащих хакерские инструменты, включая несколько эксплойтов нулевого дня , [1] от « Equation Group », которую многие подозревают в том, что она является филиалом Агентства национальной безопасности (АНБ) США. [3] [4] В частности, эти эксплойты и уязвимости [5] [6] были нацелены на корпоративные брандмауэры , антивирусное программное обеспечение и продукты Microsoft . [7] Первоначально Shadow Brokers приписывали утечки злоумышленникам из Equation Group, которые были связаны с подразделением Tailored Access Operations АНБ . [8] [9] [10] [4]

Имя и псевдоним

Несколько новостных источников отметили, что название группы, скорее всего, отсылает к персонажу из серии видеоигр Mass Effect . [11] [12] Мэтт Суиш процитировал следующее описание этого персонажа: «Теневой Посредник — это человек, стоящий во главе обширной организации, которая торгует информацией, всегда продавая ее тому, кто предлагает самую высокую цену. Теневой Посредник, по-видимому, очень компетентен в своей торговле: все секреты, которые покупаются и продаются, никогда не позволяют одному клиенту Посредника получить значительное преимущество, заставляя клиентов продолжать торговать информацией, чтобы не оказаться в невыгодном положении, позволяя Посреднику оставаться в бизнесе». [13]

История утечек

Утечки Equation Group

Хотя точная дата неизвестна, сообщения предполагают, что подготовка утечки началась по крайней мере в начале августа [14], а первоначальная публикация произошла 13 августа 2016 года с твита из аккаунта Twitter "@shadowbrokerss", анонсирующего страницу Pastebin [6] и репозиторий GitHub , содержащий ссылки и инструкции по получению и расшифровке содержимого файла, предположительно содержащего инструменты и эксплойты, используемые Equation Group . Первоначальная реакция на публикацию была встречена с некоторой неопределенностью относительно ее подлинности. [15]

31 октября 2016 года The Shadow Brokers опубликовали список серверов, предположительно скомпрометированных Equation Group, а также ссылки на семь предположительно нераскрытых инструментов (DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK и STOICSURGEON), также используемых злоумышленником. [16]

8 апреля 2017 года аккаунт Medium , используемый The Shadow Brokers, опубликовал новое обновление. [17] В посте был раскрыт пароль к зашифрованным файлам, опубликованным в предыдущем году, в которых предположительно содержалось больше хакерских инструментов АНБ. [18] В этом посте прямо говорилось, что пост был частично ответом на атаку президента Трампа на сирийский аэродром , который также использовался российскими войсками.

Утечка хакерского инструмента 14 апреля

14 апреля 2017 года The Shadow Brokers выпустили, среди прочего, инструменты и эксплойты под кодовыми названиями: DANDERSPRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE , EXPLODINGCAN и EWOKFRENZY. [19] [20] [21]

Утечка была названа «...самой разрушительной утечкой на сегодняшний день» [19] , а CNN процитировал Мэтью Хики, заявившего: «Это, возможно, самая разрушительная вещь, которую я видел за последние несколько лет» [22] .

Некоторые из эксплойтов, нацеленных на операционную систему Windows, были исправлены в бюллетене по безопасности Microsoft 14 марта 2017 года, за месяц до утечки. [23] [24] Некоторые предполагали, что Microsoft могла быть предупреждена о выпуске эксплойтов. [25]

Вечносиний

Более 200 000 машин были заражены инструментами из этой утечки в течение первых двух недель, [26] а в мае 2017 года крупная атака вируса-вымогателя WannaCry использовала эксплойт ETERNALBLUE в Server Message Block (SMB) для своего распространения. [27] Эксплойт также использовался для проведения кибератаки NotPetya 2017 года 27 июня 2017 года. [28]

ETERNALBLUE содержит шелл-код ядра для загрузки непостоянного бэкдора DoublePulsar . [29] Это позволяет установить полезную нагрузку PEDDLECHEAP, к которой затем может получить доступ злоумышленник с помощью программного обеспечения DanderSpritz Listening Post (LP). [30] [31]

Размышления и теории о мотивах и идентичности

Угроза инсайдера АНБ

Джеймс Бэмфорд вместе с Мэттом Суишем предположили [32] , что инсайдер, «возможно, кто-то назначенный на высокочувствительные операции Tailored Access Operations [АНБ] », украл хакерские инструменты. [33] [34] В октябре 2016 года The Washington Post сообщила, что Гарольд Т. Мартин III , бывший подрядчик Booz Allen Hamilton, обвиняемый в краже приблизительно 50 терабайт данных из Агентства национальной безопасности (АНБ), был главным подозреваемым. Мартин работал с операциями Tailored Access Operations АНБ с 2012 по 2015 год в качестве вспомогательного персонала. Он признал себя виновным в хранении информации о национальной обороне в 2019 году, но неясно, получили ли Shadow Brokers свои материалы от него. Shadow Brokers продолжали публиковать сообщения, которые были криптографически подписаны и были опрошены СМИ, пока Мартин был задержан. [35]

Теория о связях с Россией

Эдвард Сноуден заявил в Twitter 16 августа 2016 года, что «косвенные доказательства и общепринятое мнение указывают на ответственность России» [36] и что утечка «вероятно является предупреждением о том, что кто-то может доказать ответственность за любые атаки, исходящие с этого вредоносного сервера» [37], резюмируя, что это выглядит как «кто-то посылает сообщение о том, что эскалация в игре атрибуции может быстро привести к беспорядку». [38] [39]

The New York Times поместила инцидент в контекст кибератак на Национальный комитет Демократической партии и взлома электронной почты Подесты . Поскольку американские разведывательные службы обдумывали контратаки, публикация кода Shadow Brokers должна была рассматриваться как предупреждение: «Отомстите за DNC, и есть еще много секретов, полученных от взломов Госдепартамента, Белого дома и Пентагона, которые также могут быть раскрыты. Один высокопоставленный чиновник сравнил это со сценой в «Крестном отце» , где голова любимой лошади остается в кровати в качестве предупреждения». [40]

В 2019 году Дэвид Айтел, компьютерный ученый, ранее работавший в АНБ, резюмировал ситуацию следующим образом: «Я не знаю, знает ли кто-нибудь, кроме русских. И мы даже не знаем, русские ли это. На данный момент мы не знаем; все, что угодно, может быть правдой». [41]

Ссылки

  1. ^ ab Ghosh, Agamoni (9 апреля 2017 г.). «Президент Трамп, какого хрена вы творите?» — говорят Shadow Brokers и сбрасывают еще больше хакерских инструментов АНБ». International Business Times UK . Получено 10 апреля 2017 г.
  2. ^ "'NSA malware' выпущено хакерской группой Shadow Brokers". BBC News . 10 апреля 2017 г. Получено 10 апреля 2017 г.
  3. ^ Брюстер, Томас. «Уравнение = АНБ? Исследователи раскрывают огромный «американский киберарсенал». Forbes . Получено 25 ноября 2020 г.
  4. ^ Сэм Биддл (19 августа 2016 г.). «Утечка АНБ реальна, документы Сноудена подтверждают». The Intercept . Получено 15 апреля 2017 г. .
  5. ^ Накашима, Эллен (16 августа 2016 г.). «В сети были обнаружены мощные хакерские инструменты АНБ». The Washington Post .
  6. ^ ab "Equation Group - Cyber ​​Weapons Auction - Pastebin.com". 16 августа 2016 г. Архивировано из оригинала 15 августа 2016 г.
  7. Дэн Гудин (12 января 2017 г.). «Сливающие информацию об АНБ Shadow Brokers бросают коктейль Молотова перед тем, как покинуть мировую сцену». Ars Technica . Получено 14 января 2017 г.
  8. Гудин, Дэн (16 августа 2016 г.). «Подтверждено: утечка хакерского инструмента произошла от «всемогущей» группы, связанной с АНБ». Ars Technica . Получено 14 января 2017 г.
  9. ^ "Раздача Equation - Securelist". 16 августа 2016 г.
  10. ^ «Группа утверждает, что взломала хакеров, связанных с АНБ, и публикует эксплойты в качестве доказательства». 16 августа 2016 г.
  11. ^ "Кража АНБ "Shadow Brokers" затмевает утечки Сноудена - ExtremeTech". Extremetech . 19 августа 2016 г.
  12. ^ «Shadow Brokers: Хакеры утверждают, что взломали Equation Group АНБ». The Daily Dot . 15 августа 2016 г.
  13. ^ "Shadow Brokers: NSA Exploits of the Week". Medium.com . 15 августа 2016 г.
  14. ^ «Теневые брокеры: развеивая тени группы Equation Агентства национальной безопасности?». 15 августа 2016 г.
  15. Роб Прайс (15 августа 2016 г.). ««Shadow Brokers» утверждают, что взломали элитное подразделение компьютерной безопасности, связанное с АНБ». Business Insider . Получено 15 апреля 2017 г.
  16. ^ ""Shadow Brokers" раскрывают список серверов, взломанных АНБ; Китай, Япония и Корея — три основные страны-цели; всего 49 стран, включая: Китай, Японию, Германию, Корею, Индию, Италию, Мексику, Испанию, Тайвань и Россию". Fortuna's Corner . 1 ноября 2016 г. Получено 14 января 2017 г.
  17. ^ theshadowbrokers (8 апреля 2017 г.). «Не забывайте свою базу». Medium . Получено 9 апреля 2017 г. .
  18. ^ Кокс, Джозеф (8 апреля 2017 г.). «Они вернулись: The Shadow Brokers раскрывают новые предполагаемые уязвимости». Motherboard . Vice Motherboard . Получено 8 апреля 2017 г. .
  19. ^ ab "Компания Shadow Brokers, утекающая из АНБ, только что опубликовала свой самый разрушительный релиз на сегодняшний день". Ars Technica . Получено 15 апреля 2017 г.
  20. ^ "Последний дамп Shadow Brokers — владеющий SWIFT Alliance Access, Cisco и Windows". Medium . 14 апреля 2017 г. . Получено 15 апреля 2017 г. .
  21. ^ "misterch0c". GitHub . Получено 15 апреля 2017 г. .
  22. Ларсон, Селена (14 апреля 2017 г.). «Мощные инструменты взлома Windows от АНБ утекли в сеть». CNNMoney . Получено 15 апреля 2017 г.
  23. ^ "Microsoft заявляет, что пользователи защищены от предполагаемого вредоносного ПО АНБ". AP News . Получено 15 апреля 2017 г.
  24. ^ "Защита клиентов и оценка риска". MSRC . Получено 15 апреля 2017 г.
  25. ^ "Microsoft заявляет, что уже исправила утечки АНБ "Shadow Brokers". Engadget . 15 апреля 2017 г. Получено 15 апреля 2017 г.
  26. ^ «Утечка инструментов АНБ, которые сейчас заражают более 200 000 машин, будет использоваться в качестве оружия в течение многих лет». CyberScoop . 24 апреля 2017 г. Получено 24 апреля 2017 г.
  27. ^ «Червь-вымогатель, созданный АНБ, выводит из строя компьютеры по всему миру». 12 мая 2017 г.
  28. ^ Перлрот, Николь; Скотт, Марк; Френкель, Шира (27 июня 2017 г.). «Кибератака на Украине, затем она распространяется по всему миру». The New York Times . стр. 1. Получено 27 июня 2017 г.
  29. Sum, Zero (21 апреля 2017 г.). "zerosum0x0: Анализ шеллкода DoublePulsar Initial SMB Backdoor Ring 0". zerosum0x0 . Получено 15 ноября 2017 г. .
  30. ^ «Проливая свет на теневых брокеров». Состояние безопасности . 18 мая 2017 г. Получено 15 ноября 2017 г.
  31. ^ "Анализ трафика DanderSpritz/PeddleCheap" (PDF) . Forcepoint . 6 февраля 2018 г. . Получено 7 февраля 2018 г. .
  32. ^ "Теневые брокеры: Теория инсайдера". 17 августа 2016 г.
  33. ^ "Комментарий: Доказательства указывают на еще одного Сноудена в АНБ". Reuters . 23 августа 2016 г.
  34. ^ «По некоторым данным, инсайдер помог организовать утечку хакерских инструментов АНБ «Equation Group». Ars Technica . 22 августа 2016 г.
  35. ^ Кокс, Джозеф (12 января 2017 г.). «NSA Exploit Peddlers The Shadow Brokers Call It Quits». Материнская плата .
  36. ^ «Косвенные доказательства и общепринятое мнение указывают на ответственность России. Вот почему это важно». Twitter . 16 августа 2016 г. . Получено 22 августа 2016 г. .
  37. ^ «Эта утечка, вероятно, является предупреждением о том, что кто-то может доказать ответственность США за любые атаки, исходящие с этого вредоносного сервера». 16 августа 2016 г. Получено 22 августа 2016 г.
  38. ^ "TL;DR: эта утечка выглядит так, будто кто-то посылает сообщение о том, что эскалация в игре атрибуции может быстро привести к беспорядку". twitter.com . Получено 22 августа 2016 г.
  39. Прайс, Роб (16 августа 2016 г.). «Эдвард Сноуден: Россия могла слить предполагаемое кибероружие АНБ в качестве «предупреждения»». Business Insider . Получено 22 августа 2016 г.
  40. ^ Эрик Липтон; Дэвид Э. Сэнгер; Скотт Шейн (13 декабря 2016 г.). «Совершенное оружие: как российская кибермощь вторглась в США» New York Times . Получено 15 апреля 2017 г.
  41. ^ Абдолла, Тами; Такер, Эрик (6 июля 2019 г.). «Тайна утечки АНБ сохраняется, поскольку дело о краже документов завершается». Associated Press . Архивировано из оригинала 6 июля 2019 г.
Взято с "https://en.wikipedia.org/w/index.php?title=The_Shadow_Brokers&oldid=1266268589"