The Shadow Brokers — различия между версиями

Материал из Национальной библиотеки им. Н. Э. Баумана
(Добавлена статья)
(Исправлены источники)
Строка 26: Строка 26:
 
В сентябре 2017 года The Shadow Brokers опубликовали новое послание, в котором рассказали, что теперь правила их сервиса меняются. Отныне хакеры обещают предоставлять своим подписчикам сразу два дампа в месяц. Очевидно, таким образом группа пытается подогреть интерес потенциальных покупателей к своей информации.
 
В сентябре 2017 года The Shadow Brokers опубликовали новое послание, в котором рассказали, что теперь правила их сервиса меняются. Отныне хакеры обещают предоставлять своим подписчикам сразу два дампа в месяц. Очевидно, таким образом группа пытается подогреть интерес потенциальных покупателей к своей информации.
  
Вместе с новым посланием хакеры бесплатно опубликовали мануал к августовскому дампу, который дает понять, что тогда подписчики The Shadow Brokers якобы получили эксплоит АНБ под названием UNITEDRAKE. Из описания малвари ясно, что UNITEDRAKE — это модульная платформа для атак на машины, работающие под управлением Microsoft Windows (XP, Windows Server 2003 и 2008, Vista, Windows 7 SP 1 и ниже, а также Windows 8 и Windows Server 2012). Эксплойт предназначен для удаленного сбора данных, но может использоваться и для перехвата контроля над зараженным устройством. Различные модули, включая FOGGYBOTTOM и GROK, позволяют следить за всеми коммуникациями жертвы, перехватывать нажатия клавиш, а также сигнал микрофона и веб-камеры<ref group=""> Группировка The Shadow Brokers рассказала об ещё одном эксплоите АНБ //Хакер. URL: https://xakep.ru/2017/09/08/the-shadow-brokers-unitedrake/ (дата обращения: 03.06.2019).</ref>.
+
Вместе с новым посланием хакеры бесплатно опубликовали мануал к августовскому дампу, который дает понять, что тогда подписчики The Shadow Brokers якобы получили эксплоит АНБ под названием UNITEDRAKE. Из описания малвари ясно, что UNITEDRAKE — это модульная платформа для атак на машины, работающие под управлением Microsoft Windows (XP, Windows Server 2003 и 2008, Vista, Windows 7 SP 1 и ниже, а также Windows 8 и Windows Server 2012). Эксплойт предназначен для удаленного сбора данных, но может использоваться и для перехвата контроля над зараженным устройством. Различные модули, включая FOGGYBOTTOM и GROK, позволяют следить за всеми коммуникациями жертвы, перехватывать нажатия клавиш, а также сигнал микрофона и веб-камеры<ref name="refs 1" group="Источник"> Группировка The Shadow Brokers рассказала об ещё одном эксплоите АНБ //Хакер. URL: https://xakep.ru/2017/09/08/the-shadow-brokers-unitedrake/ (дата обращения: 03.06.2019).</ref>.
  
В 2014 году UNITEDRAKE уже упоминался на страницах издания The Intercept, когда началась публикация документов Сноудена. В 2015 году инструмент также фигурировал в отчете «Лаборатории Касперского», посвященном деятельности хакерской группировки [[Equation Group]] (группа, которую обокрали The Shadow Brokers, чья связь с АНБ давно доказана). Специалисты «Лаборатории Касперского» называли малварь EquationDrug и писали, что ее наследником стал вредонос GrayFish. По словам экспертов, EquationDrug и GrayFish применялись с 2003 по 2014 годы и были одними из наиболее сложных шпионских платформ в арсенале Equation Group (то есть АНБ)<ref group=""> Powerful NSA hacking tools have been revealed online // Washington Pos. URL: https://www.washingtonpost.com/world/national-security/powerful-nsa-hacking-tools-have-been-revealed-online/2016/08/16/bce4f974-63c7-11e6-96c0-37533479f3f5_story.html?noredirect=on&utm_term=.89969dd8e9fa (дата обращения: 03.06.2019).</ref>.  
+
В 2014 году UNITEDRAKE уже упоминался на страницах издания The Intercept, когда началась публикация документов Сноудена. В 2015 году инструмент также фигурировал в отчете «Лаборатории Касперского», посвященном деятельности хакерской группировки [[Equation Group]] (группа, которую обокрали The Shadow Brokers, чья связь с АНБ давно доказана). Специалисты «Лаборатории Касперского» называли малварь EquationDrug и писали, что ее наследником стал вредонос GrayFish. По словам экспертов, EquationDrug и GrayFish применялись с 2003 по 2014 годы и были одними из наиболее сложных шпионских платформ в арсенале Equation Group (то есть АНБ)<ref name="refs 2" group="Источник"> Powerful NSA hacking tools have been revealed online // Washington Pos. URL: https://www.washingtonpost.com/world/national-security/powerful-nsa-hacking-tools-have-been-revealed-online/2016/08/16/bce4f974-63c7-11e6-96c0-37533479f3f5_story.html?noredirect=on&utm_term=.89969dd8e9fa (дата обращения: 03.06.2019).</ref>.  
  
Хотя в теории, дампы The Shadow Brokers содержат такие интересные вещи, как UNITEDRAKE, ИБ-специалисты настроены крайне скептически. Дело в том, что даже если оставить за скобками этический аспект, злоумышленники по-прежнему не предоставляют каких-либо серьезных доказательств наличия у них ценной информации, но при этом требуют огромные суммы за этого «кота в мешке». Кроме того, один из подписчиков злоумышленников уже жаловался, что заплатил десятки тысяч долларов (500 XMR) за совершенно бесполезную информацию<ref group=""> President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools // International Business Times UK. URL: https://www.ibtimes.co.uk/president-trump-what-fk-are-you-doing-say-shadow-brokers-dump-more-nsa-hacking-tools-1616141 (дата обращения: 03.06.2019).</ref>.
+
Хотя в теории, дампы The Shadow Brokers содержат такие интересные вещи, как UNITEDRAKE, ИБ-специалисты настроены крайне скептически. Дело в том, что даже если оставить за скобками этический аспект, злоумышленники по-прежнему не предоставляют каких-либо серьезных доказательств наличия у них ценной информации, но при этом требуют огромные суммы за этого «кота в мешке». Кроме того, один из подписчиков злоумышленников уже жаловался, что заплатил десятки тысяч долларов (500 XMR) за совершенно бесполезную информацию<ref name="refs 3" group="Источник"> President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools // International Business Times UK. URL: https://www.ibtimes.co.uk/president-trump-what-fk-are-you-doing-say-shadow-brokers-dump-more-nsa-hacking-tools-1616141 (дата обращения: 03.06.2019).</ref>.
  
 
==Из истории утечек==
 
==Из истории утечек==
Строка 68: Строка 68:
 
Эдвард Сноуден заявил в Твиттере 16 августа 2016 года, что «косвенные доказательства и общепринятая мудрость указывают на ответственность России» и что утечка «скорее всего является предупреждением о том, что кто-то может доказать вину США за любые атаки, совершенные с этого вредоносного сервера», резюмируя, что «кто-то посылает сообщение о том, что эскалация в игре атрибуции может быстро запутаться».
 
Эдвард Сноуден заявил в Твиттере 16 августа 2016 года, что «косвенные доказательства и общепринятая мудрость указывают на ответственность России» и что утечка «скорее всего является предупреждением о том, что кто-то может доказать вину США за любые атаки, совершенные с этого вредоносного сервера», резюмируя, что «кто-то посылает сообщение о том, что эскалация в игре атрибуции может быстро запутаться».
  
Нью-Йорк Таймс поместила инцидент в раздел кибератак Демократического национального комитета и взлома электронных писем Подеста. Поскольку американские спецслужбы обдумывали контратаки, выпуск кода Shadow Brokers должен был восприниматься как предупреждение: «Возмездие за DNC…».<ref group=""> Is the Shadow Brokers leak the latest in a series? // Electrospaces. URL: https://electrospaces.blogspot.com/2016/08/is-shadow-brokers-leak-latest-in-series.html (дата обращения: 03.06.2019).</ref>
+
Нью-Йорк Таймс поместила инцидент в раздел кибератак Демократического национального комитета и взлома электронных писем Подеста. Поскольку американские спецслужбы обдумывали контратаки, выпуск кода Shadow Brokers должен был восприниматься как предупреждение: «Возмездие за DNC…»<ref name="refs 5" group="Источник"> Is the Shadow Brokers leak the latest in a series? // Electrospaces. URL: https://electrospaces.blogspot.com/2016/08/is-shadow-brokers-leak-latest-in-series.html (дата обращения: 03.06.2019).</ref>.
  
 
==Источники==
 
==Источники==
{{reflist|group=""}}
+
{{reflist|group=Источник}}

Версия 01:48, 15 июня 2019

The Shadow Brokers
Логотип хакерской группировки The Shadow Brokers
Логотип хакерской группировки The Shadow Brokers
Formation 2016 год
Type Криминальная организация
Legal status Последняя активность была в 2017
Purpose Хакерская деятельность
Location
  • Неизвестно

The Shadow Brokers – хакерская группировка, о которой стало известно в 2016 году. Группа прославилась взломами информационных систем Агентства национальной безопасности США (АНБ). Они крали информацию, а после продавали её и опубликовывали в общем доступе. В частности, в 2017 году группой была украдена у АНБ документация о найденных уязвимостях в Server Message Block (SMB), которой подвержены компьютеры, работающие на основе операционной системы Windows, а также эксплойты для эксплуатации этих уязвимостей. Впоследствии, опубликованные уязвимости были использованы неизвестными лицами для создания сетевого червя-вымогателя WannaCry и проведения одной из масштабнейших кибератак. Также стало известно о публикации уязвимостей нулевого дня (0day-уязвимостей). Все опубликованные уязвимости — эксплойты, нацеленные на получение несанкционированного доступа к системам семейства Windows. Как известно из опубликованных данных, авторство бэкдора DoublePulsar также принадлежит АНБ. The Shadow Brokers изначально приписывали авторство украденной информации хакерской группировке Equation Group, по причине того, что они, возможно, сотрудничали с АНБ.

Название

Рисунок 1 – Скриншот из видеоигры «Mass Effect: Andromeda»}

Некоторые новостные источники отметили, что название группы, скорее всего, относится к персонажу из серии видеоигр Mass Effect. Мэтт Суич привел следующее описание этого персонажа:

« The Shadow Broker представлена экспансивной организацией, которая торгует информацией. К тому же, всегда продаёт эту самую информацию за самую высокую цену. Стоит отметить, что является весьма компетентной в торговле: все секреты, которые покупаются и продаются, никогда не дают получить существенного преимущества клиенту. Это сделано для того, чтобы заставить клиентов продолжать торговать информацией, тем самым оставаясь всегда в выгодном для себя положении.
Мэтт Суич
»

Официальные заявления The Shadow Brokers

Еще в мае 2017 года группа The Shadow Brokers, ранее опубликовавшая в открытом доступе хакерский инструментарий АНБ, заявила, что в ее распоряжении имеется еще немало ценной информации и эксплойтов.

После шумихи, вызванной шифровальщиком WannaCry, который распространялся при помощи одного из инструментов, бесплатно обнародованных The Shadow Brokers, злоумышленники вновь попытались монетизировать попавшие в их руки данные и предложили всем желающим подписаться на новый сервис «Ежемесячный дамп The Shadow Brokers», чье название говорит само за себя. Для оформления «подписки» нужно было перевести хакерам 200 ZEC (Zcash) или 1000 XMR (Monero), то есть 46 000 — 64 000 долларов на тот момент.

В сентябре 2017 года The Shadow Brokers опубликовали новое послание, в котором рассказали, что теперь правила их сервиса меняются. Отныне хакеры обещают предоставлять своим подписчикам сразу два дампа в месяц. Очевидно, таким образом группа пытается подогреть интерес потенциальных покупателей к своей информации.

Вместе с новым посланием хакеры бесплатно опубликовали мануал к августовскому дампу, который дает понять, что тогда подписчики The Shadow Brokers якобы получили эксплоит АНБ под названием UNITEDRAKE. Из описания малвари ясно, что UNITEDRAKE — это модульная платформа для атак на машины, работающие под управлением Microsoft Windows (XP, Windows Server 2003 и 2008, Vista, Windows 7 SP 1 и ниже, а также Windows 8 и Windows Server 2012). Эксплойт предназначен для удаленного сбора данных, но может использоваться и для перехвата контроля над зараженным устройством. Различные модули, включая FOGGYBOTTOM и GROK, позволяют следить за всеми коммуникациями жертвы, перехватывать нажатия клавиш, а также сигнал микрофона и веб-камеры[Источник 1].

В 2014 году UNITEDRAKE уже упоминался на страницах издания The Intercept, когда началась публикация документов Сноудена. В 2015 году инструмент также фигурировал в отчете «Лаборатории Касперского», посвященном деятельности хакерской группировки Equation Group (группа, которую обокрали The Shadow Brokers, чья связь с АНБ давно доказана). Специалисты «Лаборатории Касперского» называли малварь EquationDrug и писали, что ее наследником стал вредонос GrayFish. По словам экспертов, EquationDrug и GrayFish применялись с 2003 по 2014 годы и были одними из наиболее сложных шпионских платформ в арсенале Equation Group (то есть АНБ)[Источник 2].

Хотя в теории, дампы The Shadow Brokers содержат такие интересные вещи, как UNITEDRAKE, ИБ-специалисты настроены крайне скептически. Дело в том, что даже если оставить за скобками этический аспект, злоумышленники по-прежнему не предоставляют каких-либо серьезных доказательств наличия у них ценной информации, но при этом требуют огромные суммы за этого «кота в мешке». Кроме того, один из подписчиков злоумышленников уже жаловался, что заплатил десятки тысяч долларов (500 XMR) за совершенно бесполезную информацию[Источник 3].

Из истории утечек

Первая утечка

Точная дата неясна, но сообщения свидетельствуют о том, что подготовка утечки началась примерно в начале августа, и первая публикация произошла 13 августа 2016 года с учетной записи социальной сети Twitter @shadowbrokerss. В Pastebin был размещён раздел под названием «Аукцион кибер-оружия Equation Group — Приглашение», со следующим содержанием:

« !!! Прошу внимания правительственных спонсоров кибервойны и тех, кто получает от нее прибыль !!!! Сколько вы платите за вражеские кибер-оружия? Безопасное ПО, Вы найдете и в сети. Две стороны : RAT + LP, разве это набор инструментов для государства? Мы ищем лишь то кибер-оружие, которое дано создателями таких вирусных программ как Stuxnet, Duqu, Flame. Что ж, мы следуем за трафиком Equation Group. Мы, по крайней мере, ищем её исходный диапазон. Не секрет и то, что мы взламываем Equation Group. Мы находим много кибер-оружия Equation Group. Итак, мы опубликуем специально для Вас несколько файлов, украденных у Equation Group. Что скажете? Разве это плохие доказательства? Вы многое нарушаете, слишком много... Находите много уязвимостей, Вы пишете много слов. Но не все лучшие файлы попадут на аукцион...
Twitter @shadowbrokerss
»

Вторая утечка

Эта публикация предположительно была сделана 31 октября 2016 года. В публикации были доступны списки серверов, предположительно скомпрометированных Equation Group, а также ссылки на семь якобы нераскрытых инструментов нового поколения. Стали известны лишь названия: DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK и STOCSURGEON.

Третья утечка

« The Shadow Brokers пытается создавать аукционы. Людям не нравится, они игнорируют. The Shadow Brokers пытается объединять файлы. Люди отзываются негативно. Что же, теперь The Shadow Brokers пробует другие попытки, а именно — прямая торговля. Если Вам это подходит, Вы отправляете по электронной почте The Shadow Brokers с именем Warez запрос, указывая желаемую покупку. The Shadow Brokers отправляет Вам также по электронной почте биткоин-адрес. Вы производите платеж. The Shadow Brokers после проверки платежа передаёт Вам необходимую ссылку и пароль дешифрования. Если Вам не нравится данный метод проведения транзакций, Вы с лёгкостью найдёте агентов The Shadow Brokers на подземных торговых площадках. Файлы подписаны.
The Shadow Brokers
»

Четвёртая утечка

8 апреля 2017 года в учётной записи Medium, используемой The Shadow Brokers, было опубликовано сообщение с паролем к зашифрованным файлам, украденным в прошлом году:CrDj "(; Va.*NdlnzB9M ?@K2) #> deB7mN. Эти файлы, как утверждалось, содержали огромное количество инструментов для проведения кибер-атак, разработанных АНБ. В этой публикации было также указано, что сообщение частично является ответом за нападение президента Трампа на сирийский аэродром, который также использовался российскими войсками.

Пятая утечка

14 апреля 2017 года учётная запись Twitter, используемая The Shadow Brokers, отправила сообщение с ссылкой на историю Steemit. Сообщение со ссылкой на файлы утечки были зашифрованы паролем Reeeeeeeeeeeeeee. Общее содержание базировалось на трёх папках: «oddjob», «swift» и «windows». Общепринятое считается, что пятая утечка стала «… самым разрушительным релизом», а CNN цитирует некоего Мэтью Хики:

« Должен заметить, это, вполне возможно, самая разрушительная вещь, которую я видел за последние несколько лет.
Мэтью Хики
»

Утечка включала себя инструменты для взлома, проведения кибер-атак и эксплойты под кодовым названием DANDERSPIRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, DOUBLEPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE, EXPLODINGCAN и EWOKFRENZY. О FuzzBunch, DoublePulsar и EternalBlue известно немного больше, чем об остальных, но предполагается, что и другие эксплойты не менее эффективны для кибер-атак. Некоторые из эксплойтов, нацеленных на операционную систему Windows, были исправлены в обновлении 14 марта 2017 года, то есть, за месяц до того, как произошла утечка. Некоторые предположили, что в Microsoft, возможно, были проинформированы о будущей утечке эксплойтов в сеть.

EternalBlue

Более 500 000 компьютеров были заражены инструментами из этой утечки в течение первых двух недель, а в мае 2017 года была распространена основная атака WannaCry с целью вымогательства. Создатели WannaCry использовали эксплойт ETERNALBLUE для проведения атаки на протокол SMB по 445 порту с целью распространения, и, бэкдор DoublePulsar, чтобы получить доступ к системе.

Размышления и теории о мотивах

Инсайдерская угроза АНБ

Джеймс Бэмфорд вместе с Мэттом Суиче предположили, что инсайдер, «возможно, кто-то, назначенный на высокочувствительные операции индивидуального доступа [АНБ]», украл хакерские инструменты. В октябре 2016 года The Washington Post сообщила, что ведущим подозреваемым был Гарольд Т. Мартин III, бывший подрядчик Booz Allen Hamilton, обвиняемый в краже приблизительно 50 терабайт данных из Агентства национальной безопасности (АНБ). Темные Брокеры продолжали публиковать сообщения, которые были криптографически подписаны и были опрошены СМИ, когда Мартин был задержан.

Теория о связях с Россией

Эдвард Сноуден заявил в Твиттере 16 августа 2016 года, что «косвенные доказательства и общепринятая мудрость указывают на ответственность России» и что утечка «скорее всего является предупреждением о том, что кто-то может доказать вину США за любые атаки, совершенные с этого вредоносного сервера», резюмируя, что «кто-то посылает сообщение о том, что эскалация в игре атрибуции может быстро запутаться».

Нью-Йорк Таймс поместила инцидент в раздел кибератак Демократического национального комитета и взлома электронных писем Подеста. Поскольку американские спецслужбы обдумывали контратаки, выпуск кода Shadow Brokers должен был восприниматься как предупреждение: «Возмездие за DNC…»[Источник 4].

Источники

  1. Группировка The Shadow Brokers рассказала об ещё одном эксплоите АНБ //Хакер. URL: https://xakep.ru/2017/09/08/the-shadow-brokers-unitedrake/ (дата обращения: 03.06.2019).
  2. Powerful NSA hacking tools have been revealed online // Washington Pos. URL: https://www.washingtonpost.com/world/national-security/powerful-nsa-hacking-tools-have-been-revealed-online/2016/08/16/bce4f974-63c7-11e6-96c0-37533479f3f5_story.html?noredirect=on&utm_term=.89969dd8e9fa (дата обращения: 03.06.2019).
  3. President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools // International Business Times UK. URL: https://www.ibtimes.co.uk/president-trump-what-fk-are-you-doing-say-shadow-brokers-dump-more-nsa-hacking-tools-1616141 (дата обращения: 03.06.2019).
  4. Is the Shadow Brokers leak the latest in a series? // Electrospaces. URL: https://electrospaces.blogspot.com/2016/08/is-shadow-brokers-leak-latest-in-series.html (дата обращения: 03.06.2019).