Throwback: NSA Hacking Tools – Det du trenger å vite

[ware_item id=33][/ware_item]

Å kunngjøre auksjonen til NSA-byrået som ble laget "cybervåpen" av en hackinggruppe "Shadow Brokers" bekrefter cachen til dokumenter som var utgitt av varsleren Edward Snowden. Det bekrefter at denne autentiske NSA-programvaren i hemmelighet brukes til å infisere datamaskiner over hele verden. I løpet av debatten om hvordan denne programvaren lekket, er det en ting som er helt sikker på at denne malware kommer fra NSA-byrået.


16 Karakterstrenger som binder Shadow Broker-lekkasje og skadelig programvare

Bevisene for Shadow Broker-datadumpene som kobles til den klassifiserte NSAs interne byråhåndboken, er levert av Edward Snowden, aldri før publisert for publikum. Utkastet til håndbok guider NSA-operatører om å spore bruken av skadeprogrammer med en 16-karakter streng, "ace02468bdf13579." Shadow Broker-lekkasjen viser denne strengen gjennom alle dataene som knytter koden til et program SECONDDATE.

Hva annet hadde å si og NSA-stillhet

Nicholas Weaver, en datasikkerhetsforsker ved University of California i Berkeley, sa i et intervju med WashingtonPost, "å innhente denne informasjonen ville være monumentalt vanskelig, det er bare et så stort antall meningsfulle ting. "Mye av denne koden skal aldri forlate NSA."

Filene som ble lagt ut så ut til å være sanne, ifølge tidligere personell som arbeidet i NSA-byråets hackingsdivisjon, kjent som Tailored Access Operations (TAO).

"Uten tvil er de nøklene til riket," sa en tidligere ansatt i TAO, som snakket med WashingtonPost om anonymitet for å diskutere sensitive interne operasjoner. "De tingene du snakker om, vil undergrave sikkerheten til mange store myndigheter og bedriftsnettverk både her og i utlandet."

En annen tidligere TAO-hacker som så filen: "Fra det jeg så, var det ingen tvil i mitt sinn om at det var legitimt."

"Det som er klart er at dette er svært sofistikerte og autentiske hackingverktøy," sa Oren Falkowitz, administrerende direktør i Area 1 Security og en annen tidligere TAO-ansatt.

Nicholas Weaver, en datasikkerhetsforsker ved University of California i Berkeley, sa i et intervju med WashingtonPost, "å innhente denne informasjonen ville være monumentalt vanskelig, det er bare et så stort antall meningsfulle ting. "Mye av denne koden skal aldri forlate NSA."

Tweetet Snowden: "Omstendighetsbevis og konvensjonell visdom indikerer russisk ansvar." Han sa at avsløringen "sannsynligvis er en advarsel om at noen kan bevise USAs ansvar for eventuelle angrep som stammer fra denne" omdirigerings- eller malware-serveren ved å koble den til NSA-byrået.

Han snakket med The Intercept, og sa kryptograf Matthew Green fra Johns Hopkins University:

“Faren for disse utnyttelsene er at de kan brukes til å målrette alle som bruker en sårbar ruter. Dette tilsvarer det å la verktøy for å plukke lås ligge rundt en kafeteria på videregående skole. Det er verre, fordi mange av disse utnyttelsene ikke er tilgjengelige på noen andre måter, så de kommer akkurat nå til oppmerksomhet fra brannmuren og ruteprodusentene som trenger å fikse dem, så vel som kundene som er sårbare. ”

-

Så risikoen er todelt: For det første at personen eller personene som stjal denne informasjonen kan ha brukt dem mot oss. Hvis dette virkelig er Russland, antar man at de sannsynligvis har sine egne utnyttelser, men det er ikke nødvendig å gi dem mer. Og nå som utnyttelsene er løslatt, risikerer vi at vanlige kriminelle bruker dem mot bedriftens mål. "

Sikkerhetsforsker Mustafa Al-Bassam la ut sin detaljerte undersøkelse og jobber med de lekkede verktøyene på sin personlige webside.

På den annen side svarte ikke NSA-byrået på spørsmål angående Shadow Brokers, Snowden-dokumentene eller skadelig programvare.

Dilemmaet i SECONDDATE

Mens de andre støtende skadevareverktøyene som er kodenavnet som POLARSNEEZE og ELIGIBLE BOMBSHELL, fremdeles vurderes for sitt sanne formål. SECONDDATE er hovedfokuset på grunn av tilkoblingen til kodenavnet TURBINE, utnyttelsesinnsats i 2014, og BADDECISION.

Det lekkede SECONDDATE, sammen med andre malware-verktøy, er et spesialisert skadeprogram av NSA-byrået som har som mål å kapre og overvåke aktivitetene til millioner av datamaskiner over hele kloden. Å markere historien med utgivelsen av disse fullstendige kopiene av NSAs støtende skadevareverktøy viser virkeligheten til systemer skissert i dokumentene som Edward Snowden lekket ut.

SECONDDATE er et skadelig verktøy for å avskjære nettforespørsler og omdirigere nettleserne til en NSA-webserver. Den serveren infiserer deretter datamaskinen med skadelig programvare. Den webserveren som er referert til som FOXACID er tidligere nevnt i tidligere lekkede dokumenter fra Snowden.

Et avsnitt i en klassifisert manual med tittelen “FOXACID SOP for Operational Management,” et 31-siders utkast til dokumentmerke, peker på den samme strengen og beskriver verktøy for å spore ofrene som er videresendt til FOXACID webserver, inkludert et merkesystem som brukes til å katalogisere servere sammen med forskjellige identifikatorer:

Den samme MSGID dukket opp i 14 forskjellige filer med ShadowBroker-lekkasje, inkludert et filnavn med tittelen “SecondDate-3021.exe”.

SECONDDATE og BADDECISION

SECONDDATE-tilværelsen passer sammen med de tidligere upubliserte lekkasjene til Edward Snowden som forbinder SECONDDATE med BADDECISION, som er et bredere verktøy for infiltrasjon.

I 2010 lekket dokumenter, var en powerpoint-presentasjon kalt "Introduction to BADDECISION," der et lysbilde beskrev at dette verktøyet er designet for å sende brukere av et trådløst nettverk, noen ganger referert til som et 802.11-nettverk, til FOXACID malware-servere.

Videre i disse lekke filene, presenterte et presentasjonsdokument fra april 2013 bruken av SECONDDATE i utlandet: brudd på "Pakistans National Telecommunications Corporation (NTC) VIP Division", som inneholder dokumenter som angår "ryggraden i Pakistans Green Line kommunikasjonsnettverk" brukt av "sivile og militær ledelse. ”og i Libanon for å infisere en libanesisk ISP for å hente ut“ 100+ MB data fra Hizballah Unit 1800 ”, en spesiell undergruppe av terrorgruppen dedikert til å hjelpe palestinske militanter.

SECONDDATE er bare en av metodene NSA-byrået bruker for å få målets nettleseroverføring til en FOXACID-server. Andre metoder inkluderer sending av spam for å infisere med feil eller nettbaserte e-postkoblinger som fører til FOXACID-server.

Hva Edward Snowden hadde å si?

Mens mange tror at NSA-byrået blir hacket. Men i rekken av tweets påpekte han at datamaskinene NSA-byråets hovedkvarter bruker for å angripe ble kompromittert på grunn av at noen ikke klarte å rydde opp i systemet, noe som førte til at en hackergruppe benyttet muligheten.

Foto: Associated Press