スローバック:NSAハッキングツール–知っておくべきこと

[ware_item id=33][/ware_item]

NSA代理店のオークションを発表したハッキン​​ググループ「Shadow Brokers」による「サイバー武器」は、内部告発者Edward Snowdenによってリリースされたドキュメントのキャッシュを確認します。確かに、このNSAの本物のソフトウェアは、世界中のコンピューターに感染するために密かに使用されています。このソフトウェアがどのように漏洩したかについての議論では、1つは、このマルウェアがNSA機関に由来することは確実ではありません.


16 Shadow Brokerのリークとマルウェアを結ぶ文字列

Shadow Brokerのデータダンプが機密NSA内部機関のマニュアルに接続しているという証拠は、エドワードスノーデンによって提供されたもので、これまで公開されたことはありません。ドラフトマニュアルでは、16文字の文字列「ace02468bdf13579」でマルウェアプログラムの使用を追跡するようにNSAオペレーターをガイドしています。シャドウブローカーリークは、コードをプログラムSECONDDATEに関連付けるデータ全体でこの文字列を示します.

他に言わなければならないこととNSAの沈黙

カリフォルニア大学バークレー校のコンピューターセキュリティ研究者であるNicholas Weaver氏は、WashingtonPostのインタビューで、「この情報を偽造することは途方もなく困難です。 「このコードの多くは、NSAを離れることはありません。」

カスタマイズされたアクセス操作(TAO)として知られるNSA機関のハッキング部門で働いていた元職員によると、投稿されたファイルは真実のようです。.

「疑いもなく、彼らは王国の鍵です」と、元TAOの元従業員は、匿名を条件にWashingtonPostと話をして、機密の内部業務について話し合いました。 「あなたが話しているものは、国内外の多くの主要な政府および企業ネットワークのセキュリティを損なうでしょう。」

ファイルを見た2人目の元TAOハッカーは次のように述べています。

「明確なのは、これらが非常に洗練された本格的なハッキングツールであることです」と、エリア1セキュリティの最高経営責任者であり、元TAOの元従業員であるOren Falkowitz氏は述べています。.

カリフォルニア大学バークレー校のコンピューターセキュリティ研究者であるNicholas Weaver氏は、WashingtonPostのインタビューで、「この情報を偽造することは途方もなく困難です。 「このコードの多くは、決してNSAを離れるべきではありません。」

スノーデン氏はつぶやきました:「状況証拠と従来の知恵はロシアの責任を示しています。」.

インターセプトと話して、ジョンズ・ホプキンス大学の暗号学者マシュー・グリーンはこう言いました:

「これらのエクスプロイトの危険性は、脆弱なルーターを使用している人を標的にするために使用できることです。これは、高校の食堂の周りに横たわっているロックピッキングツールを残すのと同じです。実際、これらのエクスプロイトの多くは他の手段では利用できないため、さらに悪いことになります。そのため、それらを修正する必要のあるファイアウォールおよびルーターのメーカーと、脆弱な顧客の注目を集めています。 」

そのため、リスクは2つあります。1つ目は、この情報を盗んだ人がそれらを私たちに対して使用した可能性があることです。これが実際にロシアである場合、おそらく彼らは独自のエクスプロイトを持っていると想定しますが、それらをそれ以上与える必要はありません。そして、エクスプロイトがリリースされた今、私たちは通常の犯罪者が企業標的に対してそれらを使用するというリスクを冒しています。」

セキュリティ研究者のムスタファ・アル・バッサムは、彼の詳細な調査を投稿し、彼の個人的なウェブページで漏洩したツールに取り組んでいます.

一方、NSA機関はShadow Brokers、Snowdenドキュメント、またはそのマルウェアに関する質問には回答しませんでした.

SECONDDATEのジレンマ

POLARSNEEZEやELIGIBLE BOMBSHELLなど、コードネームが付けられた他の攻撃的なマルウェアツールは、その真の目的のためにまだ評価中です。 SECONDDATEは、コード名の付いたTURBINEへの接続性、2014年の開発努力、およびBADDECISIONが主な焦点です。.

リークされたSECONDDATEは、他のマルウェアツールと一緒に、世界中の数百万台のコンピューターの活動を乗っ取り、監視することを目的とするNSA機関の特殊なマルウェアプログラムです。 NSAの攻撃的なマルウェアツールのこれらの完全なコピーのリリースで履歴をマークすると、Edward Snowdenがリークしたドキュメントに記載されているシステムの現実がわかります。.

SECONDDATEは、Web要求をインターセプトし、ブラウザをNSA Webサーバーにリダイレクトする悪意のあるツールです。その後、そのサーバーはそのコンピューターにマルウェアを感染させます。 FOXACIDと呼ばれるWebサーバーは、以前にリークされたSnowdenのドキュメントで言及されています。.

31ページのドキュメントドラフトマークである「FOXACID SOP for Operational Management」というタイトルの機密マニュアルのセクションでは、同じ文字列を指摘し、FOXACID Webサーバーに転送される被害者を追跡するツールについて説明しています。さまざまな識別子とともに:

その同じMSGIDは、「SecondDate-3021.exe」というタイトルのファイル名を含むShadowBrokerリークの14の異なるファイルに現れました。.

SECONDDATEおよびBADDECISION

SECONDDATEの存在は、SECONDDATEとBADDECISIONを接続するEdward Snowdenの以前に未公開のリークに適合します。.

2010年にドキュメントがリークされ、「Introduction to BADDECISION」という名前のPowerPointプレゼンテーションが行われました。スライドでは、このツールがワイヤレスネットワーク(802.11ネットワークとも呼ばれる)のユーザーをFOXACIDマルウェアサーバーに送信するように設計されていることが説明されました.

さらにこれらの漏えいしたファイルでは、2013年4月のプレゼンテーション文書で、SECONDDATEの海外での適用を誇示しています。レバノンでは、レバノンのISPに感染して、パレスチナの過激派を支援するためのテロリストグループの特別なサブセットである「ヒズボラ1800ユニットのデータの100 MB以上」を抽出した.

SECONDDATEは、NSA代理店がFOXACIDサーバーでターゲットのブラウザ転送を取得するために使用する方法の1つにすぎません。その他の方法には、スパムを送信してバグを感染させたり、FOXACIDサーバーにつながるWebベースの電子メールリンクを送信したりする方法があります.

エドワード・スノーデンが言わなければならなかったこと?

多くの人が、NSA機関がハッキングされていると考えています。しかし、彼は一連のツイートで、システムのクリーンアップに失敗したためにNSAの代理店本部が使用するコンピューターが危険にさらされ、ハッカーグループがチャンスをつかむことにつながったと指摘しました。.

写真:AP通信