후퇴 : NSA 해킹 도구 – 알아야 할 사항

[ware_item id=33][/ware_item]

해킹 그룹 인“Shadow Brokers”가“사이버 무기”로 만든 NSA 에이전시의 경매를 발표하면 내부 고발자 인 Edward Snowden이 공개 한 문서의 캐시를 확인할 수 있습니다. 실제로이 NSA 인증 소프트웨어는 전 세계의 컴퓨터를 감염시키는 데 비밀리에 사용됩니다. 이 소프트웨어가 유출 된 방법에 대한 논쟁에서이 멀웨어가 NSA 에이전시에서 유래 한 것이 확실하지 않습니다.


Shadow Broker 유출 및 맬웨어를 묶는 16 개의 문자열

기밀 NSA 내부 기관 매뉴얼에 연결되는 Shadow Broker 데이터 덤프의 증거는 Edward Snowden에 의해 제공되며, 결코 공개되지 않았습니다. 초안 매뉴얼은 NSA 운영자가 16 자 문자열 "ace02468bdf13579"로 맬웨어 프로그램 사용을 추적하도록 안내합니다. Shadow Broker 유출은 코드와 프로그램을 연결하는 데이터 전체에서이 문자열을 보여줍니다 SECONDDATE.

다른 사람들의 말과 NSA 침묵

버클리에있는 캘리포니아 대학의 컴퓨터 보안 연구원 인 니콜라스 위버 (Nicholas Weaver)는 워싱턴 포스트 (WashingtonPost)와의 인터뷰에서“이러한 정보를 입수하는 것은 엄청나게 어려울 것입니다. "이 코드의 대부분은 NSA를 떠나지 않아야합니다."

NSA 에이전시의 해킹 부서에서 근무한 전 직원이 TAO (Ttailored Access Operations)라고 알려진 전직 직원에 따르면 게시 된 파일은 사실 인 것으로 보입니다..

TAO의 한 전직 TAO 직원은 "의심 할 여지없이 왕국의 열쇠"라고 말했다. "여러분이 이야기하는 내용은 국내외 많은 주요 정부 및 기업 네트워크의 보안을 약화시킬 것입니다."

이 파일을 본 두 번째 TAO 해커의 말에 따르면,“내가 본 바에 따르면 그것이 합법적 이었다는 것은 의심의 여지가 없었습니다.”

Area 1 Security의 최고 경영자이자 전 TAO 직원 인 Oren Falkowitz는“이것은 매우 정교하고 확실한 해킹 툴이라는 것이 분명합니다..

버클리에있는 캘리포니아 대학의 컴퓨터 보안 연구원 인 니콜라스 위버 (Nicholas Weaver)는 워싱턴 포스트 (WashingtonPost)와의 인터뷰에서“이러한 정보를 입수하는 것은 엄청나게 어려울 것입니다. "이 코드의 대부분은 NSA를 떠나지 않아야합니다."

Snowden은 다음과 같이 말했습니다.“정황적인 증거와 기존의 지혜는 러시아의 책임을 나타냅니다.”그는이 공개가“누군가이 공격에서 비롯된 모든 공격에 대해 미국의 책임을 증명할 수 있다는 경고”리다이렉터 또는 맬웨어 서버를 NSA 에이전시와 연결함으로써.

요격과 대화하면서 Johns Hopkins University 암호 해독기 Matthew Green은 다음과 같이 말했습니다.

“이러한 악용의 위험은 취약한 라우터를 사용하는 모든 사람을 대상으로하는 데 사용될 수 있다는 것입니다. 이것은 고등학교 카페테리아에 자물쇠 따기 도구를 놓아 두는 것과 같습니다. 사실, 이러한 악용의 대부분은 다른 수단을 통해 사용할 수 없기 때문에 이제는 악의적 인 고객뿐만 아니라이를 해결해야하는 방화벽 및 라우터 제조업체의 관심을 끌고 있습니다. "

따라서 위험은 두 가지입니다. 첫째,이 정보를 훔친 사람이 우리를 상대로 사용했을 수 있습니다. 이것이 실제로 러시아라면, 아마도 그들 자신의 익스플로잇을 가지고 있다고 가정하지만 더 이상 그것들을 줄 필요는 없습니다. 그리고 이제 익스플로잇이 릴리스되었으므로 일반 범죄자들이 회사 목표에 대해이를 사용할 위험이 있습니다.”

보안 연구원 무스타파 알-바삼 (Mustafa Al-Bassam)은 자세한 검사를 게시하고 개인 웹 페이지에서 유출 된 도구에 대해 작업합니다..

반면 NSA 기관은 Shadow Brokers, Snowden 문서 또는 맬웨어에 관한 질문에 응답하지 않았습니다..

SECONDDATE의 딜레마

POLARSNEEZE 및 ELIGIBLE BOMBSHELL과 같은 코드 이름의 다른 공격적인 악성 코드 도구는 여전히 실제 목적으로 평가되고 있습니다. SECONDDATE는 코드 명 TURBINE과의 연결성, 2014 년 착취 노력 및 BADDECISION으로 인해 주요 초점입니다..

유출 된 SECONDDATE는 다른 맬웨어 도구와 함께 전 세계 수백만 컴퓨터의 활동을 가로 채고 모니터링하는 것을 목표로하는 NSA 에이전시의 특수 맬웨어 프로그램입니다. NSA의 공격적인 맬웨어 도구의 전체 사본을 출시하여 역사를 표시하면 Edward Snowden이 유출 한 문서에 요약 된 시스템의 현실이 표시됩니다.

SECONDDATE는 웹 요청을 차단하고 브라우저를 NSA 웹 서버로 리디렉션하는 악의적 인 도구입니다. 그런 다음 해당 서버는 해당 컴퓨터를 맬웨어로 감염시킵니다. 이전에 유출 된 Snowden 문서에 FOXACID라고하는 웹 서버가 언급되어 있음.

31 페이지의 문서 초안 마크인“운영 관리를위한 FOXACID SOP”라는 제목의 섹션은 동일한 문자열을 가리키며 서버를 카탈로그하는 데 사용되는 태그 시스템을 포함하여 FOXACID 웹 서버로 전달 된 피해자를 추적하는 도구를 설명합니다. 다른 식별자와 함께 :

같은 MSGID가“SecondDate-3021.exe”파일 이름을 포함하여 14 개의 서로 다른 ShadowBroker leak 파일에 나타났습니다..

두 번째 날짜와 나쁜 결정

SECONDDATE는 SECONDDATE와 BADDECISION을 연결하는 이전에 게시되지 않은 Edward Snowden의 누출과 일치합니다..

2010 년에 유출 된 문서는“Introduction to BADDECISION”이라는 파워 포인트 프레젠테이션으로,이 도구는 802.11 네트워크라고도하는 무선 네트워크 사용자를 FOXACID 맬웨어 서버로 전송하도록 설계되었다고 설명합니다..

또한이 유출 된 파일에서 2013 년 4 월 프레젠테이션 문서 사례로 SECONDDATE의 해외 적용을 자랑합니다. 팔레스타인 무장 세력을 지원하는 테러 단체의 특수 하위 집합 인“100+ MB의 히즈 발라 단위 1800 데이터”를 추출하기 위해 레바논 ISP를 감염시킨 레바논.

SECONDDATE는 NSA 에이전시가 FOXACID 서버에서 대상의 브라우저 전송을 얻는 데 사용하는 방법 중 하나입니다. 다른 방법으로는 FOXACID 서버로 연결되는 버그 또는 웹 기반 전자 메일 링크로 감염시키기 위해 스팸 발송.

에드워드 스노 든의 말?

많은 사람들이 NSA 에이전시가 해킹 당하고 있다고 생각합니다. 그러나 일련의 트윗에서 그는 NSA 에이전시 본부에서 공격에 사용하는 컴퓨터가 누군가 시스템을 정리하지 못하여 해킹 당하여 기회를 포착 한 것으로 밝혀졌다.

사진 : AP 통신