Throwback: Εργαλεία Hacking NSA – Τι πρέπει να ξέρετε

[ware_item id=33][/ware_item]

Ανακοινώνοντας τη δημοπρασία του οργανισμού NSA έκανε "όπλα στον κυβερνοχώρο" από μια ομάδα hacking "Shadow Brokers" επιβεβαιώνει την προσωρινή μνήμη των εγγράφων που κυκλοφόρησε ο καταγγελλόμενος Edward Snowden. Επιβεβαιώνει πράγματι ότι αυτό το αυθεντικό λογισμικό NSA χρησιμοποιείται κρυφά για να μολύνει τους υπολογιστές παγκοσμίως. Κατά τη συζήτηση για το πώς το λογισμικό αυτό διαρρεύσει, ένα πράγμα είναι πέρα ​​από βεβαιότητα ότι αυτό το κακόβουλο λογισμικό προέρχεται από την υπηρεσία NSA.


16 Σειρά χαρακτήρων που δεσμεύει Shadow Broker διαρροή και κακόβουλο λογισμικό

Τα αποδεικτικά στοιχεία των χώρων αποθήκευσης δεδομένων Shadow Broker που συνδέονται με το διαβαθμισμένο εγχειρίδιο εσωτερικής υπηρεσίας των NSA παρέχονται από τον Edward Snowden, που δεν έχει δημοσιευθεί ποτέ στο κοινό. Το σχέδιο εγχειριδίου καθοδηγεί τους φορείς εκμετάλλευσης NSA να παρακολουθούν τη χρήση των προγραμμάτων κακόβουλου λογισμικού με μια συμβολοσειρά 16 χαρακτήρων "ace02468bdf13579". Η διαρροή Broker Shadow εμφανίζει αυτή τη συμβολοσειρά σε όλα τα δεδομένα που συσχετίζουν τον κώδικα με ένα πρόγραμμα SECONDDATE.

Τι άλλο έπρεπε να πει και η σιωπή της NSA

"Η εμφάνιση αυτών των πληροφοριών θα είναι μνημειώδη δύσκολη, υπάρχει ένας τόσο μεγάλος όγκος ουσιαστικών στοιχείων", δήλωσε ο Nicholas Weaver, ερευνητής ασφάλειας υπολογιστών στο Πανεπιστήμιο της Καλιφόρνιας στο Μπέρκλεϊ, σε συνέντευξή του στο WashingtonPost. "Ένα μεγάλο μέρος αυτού του κώδικα δεν πρέπει ποτέ να εγκαταλείψει την NSA."

Τα αρχεία που δημοσιεύθηκαν φαίνεται να είναι αληθινά, σύμφωνα με το πρώην προσωπικό που εργάστηκε στο διαμέρισμα πειρατείας του οργανισμού NSA, γνωστό ως TAO (Operations Access Tailored Access Operations).

"Χωρίς αμφιβολία, είναι τα κλειδιά για το βασίλειο", δήλωσε ένας πρώην υπάλληλος του ΤΑΟ, ο οποίος μίλησε με την WashingtonPost για την προϋπόθεση της ανωνυμίας για να συζητήσει τις ευαίσθητες εσωτερικές πράξεις. "Τα πράγματα που μιλάτε θα υπονόμευαν την ασφάλεια πολλών κυβερνητικών και εταιρικών δικτύων τόσο εδώ όσο και στο εξωτερικό".

Είπε ένας πρώην πρώην χάκερ ΤΑΟ ο οποίος είδε τον φάκελο: «Από αυτό που είδα, δεν υπήρχε καμία αμφιβολία στο μυαλό μου ότι ήταν νόμιμη».

"Αυτό που είναι ξεκάθαρο είναι ότι αυτά είναι πολύ εξελιγμένα και αυθεντικά εργαλεία hacking", δήλωσε ο Oren Falkowitz, διευθύνων σύμβουλος της Area 1 Security και άλλος πρώην υπάλληλος του TAO.

"Η εμφάνιση αυτών των πληροφοριών θα είναι μνημειώδη δύσκολη, υπάρχει ένας τόσο μεγάλος όγκος ουσιαστικών στοιχείων", δήλωσε ο Nicholas Weaver, ερευνητής ασφάλειας υπολογιστών στο Πανεπιστήμιο της Καλιφόρνιας στο Μπέρκλεϊ, σε συνέντευξή του στο WashingtonPost. "Ένα μεγάλο μέρος αυτού του κώδικα δεν πρέπει ποτέ να εγκαταλείψει την NSA."

"Οι περιστασιακές αποδείξεις και η συμβατική σοφία δείχνουν τη ρωσική ευθύνη." Είπε ότι η αποκάλυψη "είναι πιθανόν μια προειδοποίηση ότι κάποιος μπορεί να αποδείξει την ευθύνη των Η.Π.Α. για τυχόν επιθέσεις που προέρχονται από αυτόν τον" ανακατευθυνόμενο ή κακόβουλο διακομιστή συνδέοντάς τον με τον οργανισμό NSA.

Μιλώντας στο The Intercept, ο Κρυπτογράφος του Πανεπιστημίου Johns Hopkins Matthew Green δήλωσε:

"Ο κίνδυνος αυτών των εκμεταλλεύσεων είναι ότι μπορούν να χρησιμοποιηθούν για να στοχεύσουν όποιον χρησιμοποιεί ευπαθή δρομολογητή. Αυτό είναι το ισοδύναμο με την απομάκρυνση των εργαλείων μανδάλωσης που βρίσκονται γύρω από μια καφετέρια σχολείου. Είναι χειρότερο, διότι πολλές από αυτές τις εκμεταλλεύσεις δεν είναι διαθέσιμες με άλλα μέσα, γι 'αυτό έρχονται τώρα στην προσοχή των κατασκευαστών τείχους προστασίας και των δρομολογητών που πρέπει να τα διορθώσουν, καθώς και των ευάλωτων πελατών. "

-

Ο κίνδυνος είναι διπλός: πρώτον, ότι το πρόσωπο ή τα άτομα που έκλεψαν αυτές τις πληροφορίες θα μπορούσαν να τα χρησιμοποιήσουν εναντίον μας. Εάν αυτή είναι πράγματι η Ρωσία, τότε υποθέτουμε ότι πιθανόν να έχουν τα δικά τους εκμεταλλεύματα, αλλά δεν χρειάζεται να τους δώσουμε πια. Και τώρα που έχουν απελευθερωθεί τα εκμεταλλεύματα, διατρέχουμε τον κίνδυνο οι απλοί εγκληματίες να τις χρησιμοποιήσουν ενάντια σε εταιρικούς στόχους ".

Ο ερευνητής ασφαλείας Mustafa Al-Bassam δημοσίευσε τη λεπτομερή εξέταση του και δουλεύει για τα διαρρέοντα εργαλεία στην προσωπική του σελίδα.

Από την άλλη πλευρά, ο οργανισμός NSA δεν απάντησε σε ερωτήσεις σχετικά με τους Shadow Brokers, τα έγγραφα Snowden ή το κακόβουλο λογισμικό του.

Το δίλημμα της ΔΕΥΤΕΡΗΣ

Ενώ τα άλλα προσβλητικά εργαλεία κακόβουλου λογισμικού με κωδικό όνομα όπως POLARSNEEZE και ELIGIBLE BOMBSHELL εξακολουθούν να αξιολογούνται για τον πραγματικό σκοπό τους. Η SECONDDATE είναι η κύρια εστίαση λόγω της συνδεσιμότητάς της με την κωδική ονομασία TURBINE, προσπάθεια εκμετάλλευσης το 2014 και BADDECISION.

Η διαρροή SECONDDATE, μαζί με άλλα εργαλεία κακόβουλου λογισμικού, είναι ένα εξειδικευμένο πρόγραμμα κακόβουλου λογισμικού του οργανισμού NSA που αποσκοπεί στην πειρατεία και την παρακολούθηση των δραστηριοτήτων εκατομμυρίων υπολογιστών ανά τον κόσμο. Η επισήμανση του ιστορικού με την απελευθέρωση αυτών των πλήρων αντιγράφων των προσβλητικών εργαλείων κακόβουλου λογισμικού της NSA δείχνει την πραγματικότητα των συστημάτων που περιγράφονται στα έγγραφα που διαρρέει ο Edward Snowden.

Η SECONDDATE είναι ένα κακόβουλο εργαλείο για την ανάσχεση των αιτημάτων ιστού και την ανακατεύθυνση των προγραμμάτων περιήγησης σε διακομιστή ιστού NSA. Αυτός ο διακομιστής μολύνει τότε αυτόν τον υπολογιστή με κακόβουλο λογισμικό. Αυτός ο εξυπηρετητής ιστού που αναφέρεται ως FOXACID έχει ήδη αναφερθεί σε προηγούμενα διαρρεύσαντα έγγραφα του Snowden.

Μια ενότητα σε ένα διαβαθμισμένο εγχειρίδιο με τίτλο "FOXACID SOP για επιχειρησιακή διαχείριση", ένα σημάδι τεντώματος εγγράφων 31 σελίδων, επισημαίνει την ίδια συμβολοσειρά και περιγράφει εργαλεία για την παρακολούθηση των θυμάτων που προωθήθηκαν στο FOXACID web server, συμπεριλαμβανομένου ενός συστήματος ετικετών που χρησιμοποιείται για την καταλογογράφηση διακομιστών μαζί με διαφορετικά αναγνωριστικά στοιχεία:

Το ίδιο MSGID εμφανίστηκε σε 14 διαφορετικά αρχεία της διαρροής ShadowBroker, συμπεριλαμβανομένου ενός ονόματος αρχείου με τίτλο "SecondDate-3021.exe".

ΔΕΥΤΕΡΟ και ΒΑΡΟΣ

Η ύπαρξη της ΔΕΥΤΕΡΗΣ ΗΜΕΡΟΜΗΝΙΑ ταιριάζει με τις προηγούμενες μη δημοσιευμένες διαρροές του Edward Snowden που συνδέουν την SECONDDATE με την BADDECISION, η οποία είναι ένα ευρύτερο εργαλείο για την διείσδυση.

Το 2010 παρουσιάστηκε μια παρουσίαση PowerPoint με τίτλο "Εισαγωγή στην BADDECISION", στην οποία μια διαφάνεια περιγράφει ότι το εργαλείο αυτό έχει σχεδιαστεί για να στέλνει χρήστες ασύρματου δικτύου, μερικές φορές αναφέρεται ως δίκτυο 802.11, σε διακομιστές κακόβουλων προγραμμάτων FOXACID.

Περαιτέρω σε αυτά τα διαρρεύσαντα αρχεία, παρουσιάστηκε ένα έγγραφο παρουσίασης του Απριλίου 2013 με την εφαρμογή SECONDDATE στο εξωτερικό: παραβιάζοντας την VIP Division του Εθνικού Τηλεπικοινωνιακού Οργανισμού του Πακιστάν (NTC), που περιέχει έγγραφα σχετικά με τη "ραχοκοκαλιά του δικτύου επικοινωνιών Πράσινης Γραμμής του Πακιστάν" και στρατιωτική ηγεσία »και στο Λίβανο για να μολυνθεί ένας Λιβανέζος πάροχος υπηρεσιών διαδικτύου (ISP) από το Λίβανο για να αποσπάσει τα στοιχεία" 100+ MB της Χεζμπολαχίας Μονάδα 1800 ", ένα ειδικό υποσύνολο της τρομοκρατικής ομάδας αφιερωμένο στη βοήθεια παλαιστινίων μαχητών.

Η SECONDDATE είναι μόνο μία από τις μεθόδους που χρησιμοποιεί η υπηρεσία NSA για να μεταφέρει το πρόγραμμα περιήγησης του στόχου σε ένα διακομιστή FOXACID. Άλλες μέθοδοι περιλαμβάνουν την αποστολή ανεπιθύμητων μηνυμάτων για να μολύνουν σφάλματα ή συνδέσμους μέσω ηλεκτρονικού ταχυδρομείου που οδηγούν στο διακομιστή FOXACID.

Αυτό που έπρεπε να πει ο Edward Snowden?

Ενώ πολλοί πιστεύουν ότι η υπηρεσία των ΜΚΦ παραβιάζεται. Αλλά στη σειρά των tweets επεσήμανε ότι οι κεντρικά γραφεία των γραφείων NSA των υπολογιστών που χρησιμοποιούν για να επιτεθούν είχαν συμβιβαστεί εξαιτίας κάποιας αποτυχίας να καθαρίσει το σύστημα, οδηγώντας σε μια ομάδα χάκερ να εκμεταλλευτεί την ευκαιρία.

Φωτογραφία: Associated Press