นักเลง: เครื่องมือแฮ็ค NSA – สิ่งที่คุณต้องรู้

[ware_item id=33][/ware_item]

ประกาศการประมูลของหน่วยงาน NSA ทำ“ อาวุธไซเบอร์” โดยกลุ่มแฮ็ค“ Shadow Brokers” ยืนยันการแคชเอกสารที่ออกโดยเอ็ดเวิร์ดสโนว์เดนนักเป่านกหวีด เป็นการยืนยันว่าซอฟต์แวร์ของแท้ของ NSA นี้ถูกใช้อย่างลับ ๆ เพื่อแพร่เชื้อคอมพิวเตอร์ไปทั่วโลก จากการถกเถียงเกี่ยวกับการรั่วไหลของซอฟต์แวร์นี้สิ่งหนึ่งเกินกว่าความมั่นใจว่ามัลแวร์นี้มาจากหน่วยงาน NSA.


16 สายอักขระที่ผูกการรั่วไหลของ Shadow Broker และมัลแวร์

หลักฐานของข้อมูล Shadow Broker ที่ทิ้งเชื่อมต่อกับคู่มือหน่วยงานภายในของ NSA ที่จัดทำโดย Edward Snowden ซึ่งไม่เคยมีมาก่อนเผยแพร่ต่อสาธารณะ ร่างคู่มือชี้แนะผู้ประกอบการ NSA เพื่อติดตามการใช้งานโปรแกรมมัลแวร์ด้วยสตริง 16 ตัวอักษร“ ace02468bdf13579” การรั่วไหลของ Shadow Broker แสดงสตริงนี้ตลอดข้อมูลที่เชื่อมโยงรหัสด้วยโปรแกรม SECONDDATE.

สิ่งอื่น ๆ ที่ต้องพูดและความเงียบของ NSA

“ การแกล้งข้อมูลนี้จะเป็นเรื่องยากอย่างยิ่งใหญ่มีสิ่งที่มีความหมายมากมาย” Nicholas Weaver นักวิจัยด้านความปลอดภัยคอมพิวเตอร์ของ University of California at Berkeley กล่าวในการสัมภาษณ์กับ WashingtonPost “ รหัสนี้ส่วนใหญ่ไม่ควรออกจาก NSA”

ไฟล์ที่โพสต์ดูเหมือนจะเป็นจริงตามข้อมูลจากอดีตพนักงานที่ทำงานในแผนกการแฮ็กของหน่วยงาน NSA หรือที่รู้จักกันในชื่อ Tailored Access Operations (TAO).

“ ไม่ต้องสงสัยเลยว่าพวกเขาเป็นกุญแจสู่ราชอาณาจักร” อดีตพนักงาน TAO คนหนึ่งผู้ซึ่งได้พูดคุยกับ WashingtonPost เกี่ยวกับเงื่อนไขการไม่เปิดเผยตัวตนเพื่อหารือเกี่ยวกับการปฏิบัติการภายในที่ละเอียดอ่อน “ สิ่งที่คุณกำลังพูดถึงจะส่งผลเสียต่อความปลอดภัยของรัฐบาลและเครือข่ายองค์กรที่สำคัญมากมายทั้งที่นี่และต่างประเทศ”

แฮ็กเกอร์ TAO คนที่สองอดีตที่เห็นไฟล์กล่าวว่า“ จากสิ่งที่ฉันเห็นไม่มีข้อสงสัยในใจของฉันว่ามันถูกกฎหมาย”

“ สิ่งที่ชัดเจนคือเครื่องมือแฮ็คเหล่านี้มีความซับซ้อนและเป็นของแท้” Oren Falkowitz หัวหน้าผู้บริหารของ Area 1 Security และอดีตพนักงาน TAO คนอื่นกล่าว.

“ การแกล้งข้อมูลนี้จะเป็นเรื่องยากอย่างยิ่งใหญ่มีสิ่งที่มีความหมายมากมาย” Nicholas Weaver นักวิจัยด้านความปลอดภัยคอมพิวเตอร์ของ University of California at Berkeley กล่าวในการสัมภาษณ์กับ WashingtonPost “ รหัสนี้ส่วนใหญ่ไม่ควรออกจาก NSA”

ทวีต Snowden:“ หลักฐานตามสถานการณ์และภูมิปัญญาดั้งเดิมบ่งบอกถึงความรับผิดชอบของรัสเซีย” เขากล่าวว่าการเปิดเผยข้อมูล“ น่าจะเป็นคำเตือนว่ามีใครบางคนสามารถพิสูจน์ความรับผิดชอบของสหรัฐอเมริกาสำหรับการโจมตีใด ๆ ที่เกิดขึ้นจาก” ผู้เปลี่ยนเส้นทาง.

Matthew Green กล่าวถึงการสกัดกั้นการเข้ารหัสของ Johns Hopkins ว่า:

“ อันตรายของการหาประโยชน์เหล่านี้คือพวกเขาสามารถใช้เพื่อกำหนดเป้าหมายทุกคนที่ใช้เราเตอร์ที่มีช่องโหว่ได้ นี่คือสิ่งที่เทียบเท่ากับการออกจากเครื่องมือหยิบกุญแจที่วางอยู่รอบโรงอาหารของโรงเรียนมัธยม ในความเป็นจริงมันแย่กว่านั้นเพราะการหาประโยชน์เหล่านี้จำนวนมากไม่สามารถหาได้ด้วยวิธีการอื่นดังนั้นตอนนี้พวกเขาเพิ่งจะได้รับความสนใจจากผู้ผลิตไฟร์วอลล์และเราเตอร์ที่ต้องการแก้ไขพวกเขาเช่นเดียวกับลูกค้าที่มีช่องโหว่ ”

-

ดังนั้นความเสี่ยงจะทวีคูณ: อันดับแรกเพื่อให้บุคคลหรือบุคคลที่ขโมยข้อมูลนี้อาจใช้ข้อมูลเหล่านี้กับเรา หากนี่เป็นรัสเซียแน่นอนถ้าอย่างนั้นก็สันนิษฐานว่าพวกเขาอาจมีช่องโหว่ของตัวเอง แต่ไม่จำเป็นต้องให้พวกเขาอีกต่อไป และตอนนี้การหาประโยชน์ได้ถูกปล่อยออกมาเราจึงเสี่ยงต่อการที่อาชญากรธรรมดาจะใช้มันเพื่อเป้าหมายขององค์กร”

นักวิจัยด้านความปลอดภัย Mustafa Al-Bassam โพสต์การตรวจสอบอย่างละเอียดของเขาและทำงานกับเครื่องมือที่รั่วไหลออกมาที่หน้าเว็บส่วนตัวของเขา.

ในทางกลับกันหน่วยงาน NSA ไม่ตอบคำถามเกี่ยวกับ Shadow Brokers เอกสาร Snowden หรือมัลแวร์.

ภาวะที่กลืนไม่เข้าคายไม่ออกของ SECONDDATE

ในขณะที่เครื่องมือมัลแวร์ที่น่ารังเกียจอื่น ๆ ที่มีชื่อรหัสเช่น POLARSNEEZE และ ELIGIBLE BOMBSHELL ยังอยู่ระหว่างการประเมินเพื่อจุดประสงค์ที่แท้จริง SECONDDATE เป็นจุดสนใจหลักเนื่องจากการเชื่อมต่อกับ TURBINE ที่มีชื่อรหัสความพยายามในการใช้ประโยชน์ในปี 2014 และ BADDECISION.

SECONDDATE ที่รั่วไหลออกมาพร้อมกับเครื่องมือมัลแวร์อื่น ๆ เป็นโปรแกรมมัลแวร์พิเศษของหน่วยงาน NSA ซึ่งมีวัตถุประสงค์เพื่อจี้และตรวจสอบกิจกรรมของคอมพิวเตอร์หลายล้านเครื่องทั่วโลก การทำเครื่องหมายประวัติด้วยการเผยแพร่สำเนาเต็มรูปแบบของเครื่องมือมัลแวร์ที่น่ารังเกียจของ NSA เหล่านี้แสดงให้เห็นถึงความจริงของระบบที่ระบุไว้ในเอกสารที่ Edward Snowden รั่วไหลออกมา.

SECONDDATE เป็นเครื่องมือที่เป็นอันตรายในการสกัดกั้นคำขอของเว็บและเปลี่ยนเส้นทางเบราว์เซอร์ไปยังเว็บเซิร์ฟเวอร์ NSA เซิร์ฟเวอร์นั้นติดมัลแวร์คอมพิวเตอร์เครื่องนั้น เว็บเซิร์ฟเวอร์นั้นที่เรียกว่า FOXACID ถูกกล่าวถึงก่อนหน้านี้ในเอกสารที่รั่วไหลออกมาก่อนหน้านี้ของ Snowden.

ส่วนในคู่มือลับที่มีชื่อว่า“ FOXACID SOP สำหรับการจัดการการดำเนินงาน” เครื่องหมายร่างเอกสาร 31 หน้าชี้ไปที่สตริงเดียวกันนั้นและอธิบายเครื่องมือสำหรับการติดตามผู้ที่ตกเป็นเหยื่อส่งต่อไปยังเว็บเซิร์ฟเวอร์ FOXACID รวมถึงระบบแท็กที่ใช้ในแคตาล็อกเซิร์ฟเวอร์ พร้อมกับตัวระบุที่แตกต่างกัน:

MSGID เดียวกันนั้นปรากฏในไฟล์รั่วของ ShadowBroker 14 ไฟล์รวมถึงชื่อไฟล์ที่ชื่อว่า“ SecondDate-3021.exe”.

สองและ BADDECISION

การดำรงอยู่ SECONDDATE สอดคล้องกับการรั่วไหลที่ไม่ได้เผยแพร่ก่อนหน้านี้ของ Edward Snowden ที่เชื่อมต่อ SECONDDATE กับ BADDECISION ซึ่งเป็นเครื่องมือที่กว้างขึ้นสำหรับการแทรกซึม.

ในปี 2010 เอกสารที่รั่วไหลออกมาเป็นงานนำเสนอ PowerPoint ที่มีชื่อว่า“ Introduction to BADDECISION” ซึ่งสไลด์อธิบายว่าเครื่องมือนี้ถูกออกแบบมาเพื่อส่งผู้ใช้เครือข่ายไร้สายซึ่งบางครั้งเรียกว่าเครือข่าย 802.11 ไปยังเซิร์ฟเวอร์มัลแวร์ FOXACID.

นอกจากนี้ในไฟล์รั่วเหล่านี้คดีเอกสารนำเสนอเดือนเมษายนปี 2013 มีการประยุกต์ใช้ SECONDDATE ในต่างประเทศ: การละเมิด“ ส่วนวีไอพีของ บริษัท โทรคมนาคมแห่งชาติปากีสถาน (NTC)” ซึ่งมีเอกสารเกี่ยวกับ“ กระดูกสันหลังของเครือข่ายการสื่อสารสายสีเขียวของปากีสถาน” ที่ใช้โดย และความเป็นผู้นำทางทหาร” และในเลบานอนเพื่อติดเชื้อ ISP ของเลบานอนเพื่อดึงข้อมูล“ 100 Hizballah Unit 1800 data 1800 MB” กลุ่มย่อยพิเศษของกลุ่มก่อการร้ายที่อุทิศตนเพื่อช่วยเหลือผู้ก่อการร้ายชาวปาเลสไตน์.

SECONDDATE เป็นเพียงหนึ่งในวิธีการที่หน่วยงาน NSA ใช้เพื่อรับการถ่ายโอนเบราว์เซอร์ของเป้าหมายที่เซิร์ฟเวอร์ FOXACID วิธีอื่น ๆ รวมถึงการส่งสแปมไปติดกับบั๊กหรือลิงก์อีเมลบนเว็บที่นำไปสู่เซิร์ฟเวอร์ FOXACID.

สิ่งที่เอ็ดเวิร์ดสโนว์เดนต้องพูด?

ในขณะที่หลายคนคิดว่าเอเจนซี่ NSA กำลังถูกแฮ็ก แต่ในชุดทวีตเขาชี้ให้เห็นว่าสำนักงานใหญ่ของหน่วยงานคอมพิวเตอร์ของ NSA ที่ใช้ในการโจมตีถูกโจมตีเนื่องจากมีคนไม่สามารถล้างระบบและนำไปสู่กลุ่มแฮกเกอร์ที่คว้าโอกาส.

ภาพข่าวที่เกี่ยวข้อง

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me