Powrót: Narzędzia hakerskie NSA – co musisz wiedzieć

[ware_item id=33][/ware_item]

Ogłoszenie aukcji agencji NSA stworzonej przez cyberprzestępców „Shadow Brokers” przez „hakerów” potwierdza „pamięć podręczną dokumentów” wydaną przez demaskatora Edwarda Snowdena. Potwierdza to, że to autentyczne oprogramowanie NSA jest potajemnie wykorzystywane do infekowania komputerów na całym świecie. W trakcie debaty na temat tego, jak wyciekło to oprogramowanie, jedno jest pewne, że to złośliwe oprogramowanie pochodzi z agencji NSA.


16 Ciąg znaków wiążący wyciek Brokera Cienia i złośliwe oprogramowanie

Dowody na zrzuty danych pośrednika Shadow Broker łączące się z podręcznikiem tajnej agencji wewnętrznej NSA zostały dostarczone przez Edwarda Snowdena, nigdy wcześniej nie publikowane publicznie. Projekt instrukcji prowadzi operatorów NSA do śledzenia ich wykorzystania szkodliwego oprogramowania za pomocą 16-znakowego ciągu „ace02468bdf13579”. Wyciek brokera cieni pokazuje ten ciąg w danych powiązanych z kodem z programem SECONDDATE.

Co inni mieli do powiedzenia i cisza NSA

„Udawanie tych informacji byłoby monumentalnie trudne, jest po prostu tak wiele znaczących rzeczy” - powiedział Nicholas Weaver, badacz bezpieczeństwa komputerowego na University of California w Berkeley w wywiadzie dla WashingtonPost. „Duża część tego kodu nigdy nie powinna opuszczać NSA”.

Opublikowane pliki okazały się prawdziwe, według byłych pracowników, którzy pracowali w dziale hakerskim agencji NSA, znanym jako Tailored Access Operations (TAO).

„Bez wątpienia są kluczem do królestwa”, powiedział jeden z byłych pracowników TAO, który rozmawiał z WashingtonPost pod warunkiem zachowania anonimowości w celu omówienia wrażliwych operacji wewnętrznych. „To, o czym mówisz, podważyłoby bezpieczeństwo wielu dużych sieci rządowych i korporacyjnych zarówno tutaj, jak i za granicą”.

Drugi były haker TAO, który widział plik: „Z tego, co widziałem, nie miałem wątpliwości, że jest to uzasadnione”.

„Oczywiste jest, że są to bardzo wyrafinowane i autentyczne narzędzia hakerskie” - powiedział Oren Falkowitz, dyrektor naczelny obszaru bezpieczeństwa 1 i inny były pracownik TAO.

„Udawanie tych informacji byłoby monumentalnie trudne, jest po prostu tak wiele znaczących rzeczy” - powiedział Nicholas Weaver, badacz bezpieczeństwa komputerowego na University of California w Berkeley w wywiadzie dla WashingtonPost. „Duża część tego kodu nigdy nie powinna opuszczać NSA”.

Tweetował Snowden: „Dowody poszlakowe i konwencjonalna mądrość wskazują na rosyjską odpowiedzialność”. Powiedział, że ujawnienie „jest prawdopodobnie ostrzeżeniem, że ktoś może udowodnić odpowiedzialność USA za wszelkie ataki pochodzące z tego” serwera przekierowującego lub złośliwego oprogramowania poprzez połączenie go z agencją NSA.

W rozmowie z The Intercept kryptograf z Uniwersytetu Johns Hopkins Matthew Green powiedział:

„Niebezpieczeństwo związane z tymi exploitami polega na tym, że można je wykorzystać do atakowania każdego, kto korzysta z podatnego na ataki routera. Jest to odpowiednik pozostawienia narzędzi do wybierania zamków leżących w stołówce w szkole średniej. Jest to w rzeczywistości gorsze, ponieważ wiele z tych exploitów nie jest dostępnych w żaden inny sposób, więc właśnie teraz zwracają uwagę producentów zapory i routerów, którzy muszą je naprawić, a także narażonych klientów. ”

-

Zatem ryzyko jest dwojakie: po pierwsze, osoba lub osoby, które ukradły te informacje, mogły wykorzystać je przeciwko nam. Jeśli to rzeczywiście Rosja, to zakłada się, że prawdopodobnie mają swoje własne wyczyny, ale nie trzeba już ich więcej dawać. A teraz, gdy exploity zostały wydane, ryzykujemy, że zwykli przestępcy wykorzystają je do celów korporacyjnych. ”

Badacz bezpieczeństwa Mustafa Al-Bassam opublikował szczegółowe badanie i pracuje nad wyciekającymi narzędziami na swojej osobistej stronie internetowej.

Z drugiej strony agencja NSA nie odpowiedziała na pytania dotyczące Shadow Brokers, dokumentów Snowden lub złośliwego oprogramowania.

Dylemat SECONDDATE

Podczas gdy inne obraźliwe narzędzia o złośliwym oprogramowaniu o nazwie kodowej, takie jak POLARSNEEZE i ELIGIBLE BOMBSHELL, wciąż są oceniane pod kątem ich prawdziwego celu. SECONDDATE jest w centrum uwagi ze względu na jego łączność z kryptonimem TURBINE, wysiłki związane z wykorzystaniem w 2014 r. Oraz BADDECISION.

Wyciekły SECONDDATE, wraz z innymi narzędziami do złośliwego oprogramowania, to wyspecjalizowany program złośliwego oprogramowania agencji NSA, którego celem jest przejęcie i monitorowanie działań milionów komputerów na całym świecie. Oznaczenie historii wydaniem tych pełnych kopii obraźliwych narzędzi NSA do złośliwego oprogramowania pokazuje rzeczywistość systemów przedstawionych w dokumentach ujawnionych przez Edwarda Snowdena.

SECONDDATE to złośliwe narzędzie do przechwytywania żądań internetowych i przekierowywania przeglądarek na serwer sieciowy NSA. Ten serwer następnie infekuje ten komputer złośliwym oprogramowaniem. Ten serwer WWW, zwany FOXACID, był wcześniej wspomniany we wcześniej wyciekających dokumentach Snowdena.

Sekcja w sklasyfikowanym podręczniku zatytułowanym „FOXACID SOP for Operational Management”, 31-stronicowy szkic dokumentu, wskazuje ten sam ciąg i opisuje narzędzia do śledzenia ofiar przekazanych na serwer internetowy FOXACID, w tym system znaczników używany do katalogowania serwerów wraz z różnymi identyfikatorami:

Ten sam MSGID pojawił się w 14 różnych plikach wycieku ShadowBroker, w tym w nazwie pliku „SecondDate-3021.exe”.

DRUGA DATA i ZŁA DECYZJA

Istnienie SECONDDATE pasuje do wcześniej niepublikowanych przecieków Edwarda Snowdena, które łączą SECONDDATE z BADDECISION, który jest szerszym narzędziem do infiltracji.

W 2010 r. Wyciekły dokumenty, była prezentacja Powerpoint o nazwie „Wprowadzenie do BADDECISION”, w której slajd opisał, że to narzędzie jest przeznaczone do wysyłania użytkowników sieci bezprzewodowej, czasami nazywanej siecią 802.11, do serwerów szkodliwego oprogramowania FOXACID.

W dalszej części wyciekły pliki przypadki prezentacji dokumentu z kwietnia 2013 r., W których zastosowano aplikację SECONDDATE za granicą: naruszenie „Pakietu VIP Pakistanu National Telecommunications Corporation (NTC)”, zawierającego dokumenty odnoszące się do „kręgosłupa pakistańskiej sieci komunikacyjnej zielonej linii” wykorzystywanej przez „cywilów i kierownictwo wojskowe. ”oraz w Libanie za zarażenie libańskiego dostawcy usług internetowych w celu wydobycia„ ponad 100 MB danych dotyczących jednostki Hezbollahu 1800 ”, specjalnego podzbioru grupy terrorystycznej poświęconej pomocy palestyńskim bojownikom.

SECONDDATE to tylko jedna z metod stosowanych przez agencję NSA w celu uzyskania transferu przeglądarki docelowej na serwer FOXACID. Inne metody obejmują wysyłanie spamu w celu zainfekowania błędami lub internetowych wiadomości e-mail prowadzących do serwera FOXACID.

Co powiedział Edward Snowden?

Podczas gdy wielu uważa, że ​​agencja NSA jest hakowana. Ale w serii tweetów wskazał, że komputery, których używa centrala agencji NSA do ataku, zostały naruszone, ponieważ ktoś nie wyczyścił systemu, co spowodowało, że grupa hakerów skorzystała z okazji.

Zdjęcie: Associated Press