Retrocesso: NSA Hacking Tools – O que você precisa saber

[ware_item id=33][/ware_item]

O anúncio do leilão da agência da NSA feita "armas cibernéticas" por um grupo de hackers "Shadow Brokers" confirma o cache de documentos divulgados pelo denunciante Edward Snowden. Afirma, de fato, que este software autêntico da NSA é usado secretamente para infectar computadores em todo o mundo. Durante o debate sobre como esse software vazou, uma coisa está além da certeza de que esse malware se origina da agência da NSA.


Cadeia de caracteres 16 amarrando vazamento e malware do Shadow Broker

A evidência dos despejos de dados do Shadow Broker que se conectam ao manual interno da agência da NSA é fornecida por Edward Snowden, nunca antes publicado ao público. O rascunho do manual orienta os operadores da NSA a rastrear o uso de programas de malware por uma sequência de 16 caracteres, "ace02468bdf13579". O vazamento do Shadow Broker mostra essa sequência nos dados que associam o código a um programa SECONDDATE.

O que os outros tinham a dizer e o silêncio da NSA

"Fingir essa informação seria monumentalmente difícil, há apenas um volume tão grande de coisas significativas", disse Nicholas Weaver, pesquisador de segurança de computadores da Universidade da Califórnia em Berkeley, em entrevista ao WashingtonPost. "Grande parte desse código nunca deve sair da NSA."

Os arquivos postados pareciam verdadeiros, de acordo com ex-funcionários que trabalhavam na divisão de hackers da agência da NSA, conhecida como TAO (Tailored Access Operations).

"Sem dúvida, eles são as chaves do reino", disse um ex-funcionário da TAO, que conversou com o WashingtonPost sob a condição de anonimato para discutir operações internas sensíveis. "O que você está falando prejudicaria a segurança de muitas das principais redes corporativas e governamentais, aqui e no exterior".

Disse um segundo ex-hacker da TAO que viu o arquivo: "Pelo que vi, não havia dúvida de que era legítimo".

"O que está claro é que essas são ferramentas de hackers altamente sofisticadas e autênticas", disse Oren Falkowitz, executivo-chefe da Area 1 Security e outro ex-funcionário da TAO.

"Fingir essa informação seria monumentalmente difícil, há apenas um volume tão grande de coisas significativas", disse Nicholas Weaver, pesquisador de segurança de computadores da Universidade da Califórnia em Berkeley, em entrevista ao WashingtonPost. "Grande parte desse código nunca deve sair da NSA."

Tweeted Snowden: "Evidências circunstanciais e sabedoria convencional indicam responsabilidade russa". Ele disse que a divulgação "provavelmente é um aviso de que alguém pode provar a responsabilidade dos EUA por qualquer ataque que tenha se originado desse" redirecionador ou servidor de malware, vinculando-o à agência da NSA.

Conversando com The Intercept, o criptógrafo da Johns Hopkins University Matthew Green disse:

“O perigo dessas explorações é que elas podem ser usadas para atingir qualquer pessoa que esteja usando um roteador vulnerável. Isso equivale a deixar as ferramentas de trava fechadas ao redor de uma lanchonete do ensino médio. É pior, de fato, porque muitas dessas explorações não estão disponíveis por outros meios, então agora elas estão chamando a atenção dos fabricantes de firewall e roteador que precisam corrigi-las, bem como dos clientes vulneráveis. "

-

Portanto, o risco é duplo: primeiro, que a pessoa ou pessoas que roubaram essas informações possam usá-las contra nós. Se essa é realmente a Rússia, supõe-se que eles provavelmente tenham suas próprias façanhas, mas não há mais necessidade de fazê-las. E agora que as explorações foram liberadas, corremos o risco de que criminosos comuns as usem contra alvos corporativos. ”

O pesquisador de segurança Mustafa Al-Bassam publicou seu exame detalhado e trabalha nas ferramentas vazadas em sua página pessoal na web.

Por outro lado, a agência da NSA não respondeu a perguntas sobre Shadow Brokers, os documentos Snowden ou seus malwares..

O dilema de SECONDDATE

Enquanto as outras ferramentas de malware ofensivas com o codinome POLARSNEEZE e ELEGIBLE BOMBSHELL ainda estão sendo avaliadas quanto ao seu verdadeiro objetivo. SECONDDATE é o foco principal devido à sua conectividade com o codinome TURBINE, esforço de exploração em 2014 e BADDECISION.

O SECONDDATE vazado, juntamente com outras ferramentas de malware, é um programa especializado de malware da agência da NSA que visa seqüestrar e monitorar as atividades de milhões de computadores em todo o mundo. Marcar o histórico com o lançamento dessas cópias completas das ferramentas ofensivas de malware da NSA mostra a realidade dos sistemas descritos nos documentos que Edward Snowden vazou.

SECONDDATE é uma ferramenta maliciosa para interceptar as solicitações da Web e redirecionar os navegadores para um servidor da NSA. Esse servidor infecta esse computador com malware. Esse servidor da Web conhecido como FOXACID é mencionado anteriormente em documentos anteriormente vazados do Snowden.

Uma seção em um manual classificado intitulado “FOXACID SOP para Gerenciamento Operacional”, uma marca de rascunho de documento de 31 páginas, aponta para a mesma sequência e descreve ferramentas para rastrear as vítimas encaminhadas ao servidor da Web FOXACID, incluindo um sistema de tags usado para catalogar servidores junto com diferentes identificadores:

O mesmo MSGID apareceu em 14 arquivos diferentes do vazamento do ShadowBroker, incluindo um nome de arquivo chamado "SecondDate-3021.exe".

SEGUNDA-FEIRA E BADDECISÃO

A existência do SECONDDATE se encaixa nos vazamentos inéditos de Edward Snowden que conectam o SECONDDATE ao BADDECISION, que é uma ferramenta mais ampla de infiltração.

Em 2010, documentos vazados foram uma apresentação em powerpoint chamada "Introdução à BADDECISION", na qual um slide descreveu que essa ferramenta foi projetada para enviar usuários de uma rede sem fio, às vezes chamada de rede 802.11, para servidores de malware FOXACID.

Além disso, nesses arquivos vazados, um caso de apresentação de abril de 2013 com a aplicação do SECONDDATE no exterior: violando a Divisão VIP da NTC (Corporação Nacional de Telecomunicações do Paquistão), contendo documentos pertencentes à “espinha dorsal da rede de comunicações da Linha Verde do Paquistão” usada por “civis e liderança militar. ”e no Líbano por infectar um ISP libanês para extrair“ mais de 100 MB de dados da Unidade Hizballah 1800 ”, um subconjunto especial do grupo terrorista dedicado a ajudar militantes palestinos.

SECONDDATE é apenas um dos métodos usados ​​pela agência da NSA para obter a transferência do navegador de seu alvo em um servidor FOXACID. Outros métodos incluem enviar spam para infectar com bugs ou links de email baseados na Web que levam ao servidor FOXACID.

O que Edward Snowden tinha a dizer?

Enquanto muitos pensam que a agência da NSA está sendo invadida. Mas, na série de tweets, ele apontou que os computadores que a sede da agência da NSA usa para atacar foram comprometidos devido a alguém que não conseguiu limpar o sistema, levando um grupo de hackers a aproveitar a oportunidade.

Foto: Associated Press