Throwback: NSA-hakkerointityökalut – mitä sinun on tiedettävä

[ware_item id=33][/ware_item]

Hakkerointiryhmän "Shadow Brokers" järjestämän NSA-agentuurin "verkkoaseiden" huutokaupan ilmoittaminen vahvistaa väärinkäyttäjän Edward Snowdenin julkaisemat asiakirjat. Se vakuuttaa todella, että tätä NSA: n aitoja ohjelmistoja käytetään salaa tartuttamaan tietokoneita maailmanlaajuisesti. Tämän ohjelmiston vuotamisesta käydyn keskustelun aikana on epävarmaa, että tämä haittaohjelma on peräisin NSA-virastolta.


16 Merkkijonon sitominen Shadow Broker -vuoto ja haittaohjelmat

Edward Snowden on toimittanut todisteet Shadow Broker -rekisteröinnin yhteydessä luokiteltuun NSA: n sisäisen viraston käsikirjaan, jota ei ole koskaan ennen julkaistu yleisölle. Käsikirjaluonnoksessa ohjataan NSA-operaattoreita seuraamaan haittaohjelmien käyttöä 16-merkkisellä merkkijonolla, ”ace02468bdf13579”. Shadow Broker -vuoto näyttää tämän merkkijonon koko tiedossa, joka yhdistää koodin ohjelmaan SECONDDATE..

Mitä muuta piti sanoa ja NSA: n hiljaisuus

"Tämän tiedon väärentäminen olisi monumentaalisesti vaikeaa, siellä on vain niin suuri määrä merkityksellisiä juttuja", Berkeleyn Kalifornian yliopiston tietoturvatutkija Nicholas Weaver sanoi WashingtonPost -haastattelussa. "Suuren osan tästä koodista ei tulisi koskaan jättää NSA: lta."

Lähetetyt tiedostot näyttivät olevan totta, NSA-viraston hakkerointiosastossa työskennellyn entisen henkilöstön mukaan, joka tunnetaan nimellä Tailored Access Operations (TAO)..

"Epäilemättä he ovat avaimet valtakuntaan", sanoi yksi entinen TAO: n työntekijä, joka puhui WashingtonPostin kanssa nimettömyysehdosta keskustellakseen arkaluonteisista sisäisistä operaatioista. "Asiat, joista puhut, heikentävät useiden suurten hallitus- ja yritysverkostojen turvallisuutta sekä täällä että ulkomailla."

Toinen entinen TAO-hakkeri, joka näki tiedoston, sanoi: "Sen perusteella, mitä näin, mielessäni ei ollut epäilystäkään siitä, että se oli laillinen."

"Selvää on, että nämä ovat erittäin hienostuneita ja aitoja hakkerointityökaluja", sanoi Oren Falkowitz, alueen 1 turvallisuusjohtaja ja toinen entinen TAO: n työntekijä.

"Tämän tiedon väärentäminen olisi monumentaalisesti vaikeaa, siellä on vain niin suuri määrä merkityksellisiä juttuja", Berkeleyn Kalifornian yliopiston tietoturvatutkija Nicholas Weaver sanoi WashingtonPost -haastattelussa. "Suuren osan tästä koodista ei tulisi koskaan jättää NSA: lta."

Twiittoitu Snowden: ”Epäsuorat todisteet ja perinteiset viisaudet osoittavat Venäjän vastuuta.” Hän sanoi, että paljastaminen ”on todennäköisesti varoitus siitä, että joku voi osoittaa Yhdysvaltojen vastuun kaikista hyökkäyksistä, jotka ovat peräisin tästä” uudelleenohjaus- tai haittaohjelmapalvelimesta linkittämällä se NSA-virastoon..

Johns Hopkinsin yliopiston salakirjoittaja Matthew Green puhui The Interceptille:

”Näiden hyväksikäyttöjen vaarana on, että niitä voidaan käyttää kohdistamaan kaikki, jotka käyttävät haavoittuvaa reititintä. Tämä vastaa lukkojen poistotyökalujen jättämistä maata lukion kahvilan ympärille. Itse asiassa se on pahempaa, koska monia näistä hyväksikäytöistä ei ole saatavana millään muulla tavalla, joten he ovat nyt vain kiinnittämässä palomuurien ja reitittimien valmistajien, kuten myös haavoittuvien asiakkaiden, huomiota. ”

-

Joten riski on kaksinkertainen: ensinnäkin henkilö tai henkilöt, jotka varastivat tämän tiedon, ovat saattaneet käyttää niitä meitä vastaan. Jos tämä on todella Venäjä, oletetaan, että heillä on todennäköisesti omat hyödynnettävyytensä, mutta niitä ei tarvitse antaa enää. Ja nyt, kun hyväksikäyttö on vapautettu, meillä on vaara, että tavalliset rikolliset käyttävät niitä yrityksiä vastaan. "

Turvallisuustutkija Mustafa Al-Bassam lähetti yksityiskohtaisen tutkimuksensa ja työskentelee vuotaneiden työkalujen parissa henkilökohtaisella verkkosivustollaan.

Toisaalta NSA-virasto ei vastannut Shadow Brokersia, Snowden-asiakirjoja tai sen haittaohjelmia koskeviin kysymyksiin..

SECONDDATE-ongelma

Vaikka muut loukkaavat haittaohjelmistotyökalut, kuten POLARSNEEZE ja ELIGIBLE BOMBSHELL, ovat edelleen arvioimassa niiden todellista tarkoitusta. SECONDDATE on pääpaino, koska se on liitettävissä koodinimelliseen TURBINE, hyödyntämistoimet vuonna 2014 ja BADDECISION.

Vuotoutunut SECONDDATE on muiden haittaohjelmistotyökalujen lisäksi NSA-viraston erikoistunut haittaohjelma, jonka tavoitteena on kaapata ja seurata miljoonien tietokoneiden toimintaa ympäri maailmaa. Historiassa merkitseminen näiden NSA: n loukkaavien haittaohjelmatietojen kokonaisten kopioiden julkaisemisella osoittaa järjestelmien todellisuuden, joka on kuvattu asiakirjoissa, joista Edward Snowden vuotanut.

SECONDDATE on haitallinen työkalu Internet-pyyntöjen sieppaamiseen ja ohjata selaimet NSA-verkkopalvelimeen. Sitten kyseinen palvelin tartuttaa kyseisen tietokoneen haittaohjelmilla. Se web-palvelin, johon viitataan nimellä FOXACID, on aiemmin mainittu Snowdenin aiemmin vuotaneissa asiakirjoissa.

Luokitellun käsikirjan osa, jonka otsikko on ”FOXACID SOP for Operational Management”, 31-sivuinen asiakirjaluonnoksen merkki, osoittaa samaan merkkijonoon ja kuvaa työkalut FOXACID-verkkopalvelimelle välitettyjen uhrien jäljittämiseen, mukaan lukien palvelimien luettelointiin käytetty tunnistejärjestelmä yhdessä erilaisten tunnisteiden kanssa:

Sama MSGID ilmestyi 14 eri tiedostoon ShadowBroker-vuodosta, mukaan lukien tiedostonimi nimeltä SecondDate-3021.exe..

TOINENPÄIVÄMÄÄRÄ ja BADDECISION

SECONDDATE-olemassaolo sopii Edward Snowdenin aiemmin julkaisemattomiin vuotoihin, jotka yhdistävät SECONDDATE-ohjelman BADDECISION-ohjelmaan, joka on laajempi työkalu tunkeutumiseen.

Vuonna 2010 vuotaneet asiakirjat olivat Powerpoint-esitys nimeltään ”Johdatus BADDECISIONiin”, jossa dio esitti, että tämä työkalu on suunniteltu lähettämään langattoman verkon, jota joskus kutsutaan 802.11-verkkoksi, FOXACID-haittaohjelmapalvelimille..

Lisäksi näissä vuotaneissa tiedostoissa huhtikuussa 2013 pidetyssä esitysasiakirjassa, jossa ylpeillä on SECONDDATE-sovelluksen soveltaminen ulkomailla: rikotaan ”Pakistanin kansallisen televiestintäyhtiön (NTC) VIP-osastoa”, joka sisältää asiakirjoja, jotka liittyvät ”Pakistanin vihreän linjan viestintäverkon selkärankaan”, jota “siviili käyttää”. ja sotilaallinen johto..

SECONDDATE on vain yksi menetelmä, jota NSA-virasto käyttää saadakseen kohteensa selaimen siirron FOXACID-palvelimelle. Muita menetelmiä ovat roskapostin lähettäminen tartunniksi FOXACID-palvelimelle johtavilla virheillä tai verkkopohjaisilla sähköpostilinkeillä.

Mitä Edward Snowdenin piti sanoa?

Vaikka monet ajattelevat, että NSA-virastoa hakkeroidaan. Mutta tweetsarjassa hän huomautti, että NSA: n viraston pääkonttorissa käyttämät tietokoneet ovat vaarantuneet, koska joku ei ole puhdistanut järjestelmää, minkä seurauksena hakkerit ryhmä tarttui tilaisuuteen.

Kuva: Associated Press