The Shadow Brokers

Сегодня мы расскажем о группе хакеров The Shadow Brokers

 Хакерская группировка, о которой впервые стало известно летом 2016 года. Группа известна взломами информационных систем Агентства национальной безопасности США (АНБ), кражей информации, последующей продажей и опубликованием её в общий доступ. В частности, в 2017 году группой была украдена у АНБ документация о найденных уязвимостях в Server Message Block (SMB), которой подвержены компьютеры, работающие на основе операционной системы Windows, а также эксплойты для эксплуатации этих уязвимостей. Впоследствии, опубликованные уязвимости были использованы неизвестными лицами для создания сетевого червя-вымогателя WannaCry и проведения одной из масштабнейших кибератак. Также стало известно о публикации уязвимостей нулевого дня (0day-уязвимостей). Все опубликованные уязвимости — эксплойты и прочие инструменты, которые можно считать кибероружием, нацеленные на получение несанкционированного доступа к системам семейства Windows. Как известно из опубликованных данных, авторство бэкдора DoublePulsar также принадлежит АНБ. The Shadow Brokers изначально приписывали авторство украденной информации хакерской группировке Equation Group, по причине того, что они, возможно, сотрудничали с АНБ

Первая утечка: «Аукцион кибер-оружия Equation Group»

Точная дата неясна, но сообщения свидетельствуют о том, что подготовка утечки началась примерно в начале августа, и первая публикация произошла 13 августа 2016 года с учетной записи социальной сети Twitter @shadowbrokerss.

В Pastebin был размещён раздел под названием «Аукцион кибер-оружия Equation Group — Приглашение», со следующим содержанием:

!!! Прошу внимания правительственных спонсоров кибервойны и тех, кто получает от нее прибыль !!!!Сколько вы платите за вражеские кибер-оружия? Безопасное ПО, Вы найдете и в сети. Две стороны : RAT + LP, разве это набор инструментов для государства? Мы ищем лишь то кибер-оружие, которое дано создателями таких вирусных программ как Stuxnet, Duqu, Flame. Что ж, мы следуем за трафиком Equation Group. Мы, по крайней мере, ищем её исходный диапазон. Не секрет и то, что мы взламываем Equation Group. Мы находим много кибер-оружия Equation Group. Итак, мы опубликуем специально для Вас несколько файлов, украденных у Equation Group. Что скажете? Разве это плохие доказательства? Вы многое нарушаете, слишком много... Находите много уязвимостей, Вы пишете много слов. Но не все лучшие файлы попадут на аукцион...

Снимок экрана украденных инструментов

Вторая утечка: «Сообщение № 5 — Уловка или угощение (TrickOrTreat)»

Эта публикация предположительно была сделана 31 октября 2016 года. В публикации были доступны списки серверов, предположительно скомпрометированных Equation Group, а также ссылки на семь якобы нераскрытых инструментов нового поколения. Стали известны лишь названия: DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK и STOCSURGEON.

Третья утечка: «Сообщение № 6 — Чёрная пятница / Понедельник кибер-продаж»

Текст сообщения № 6:

The Shadow Brokers пытается создавать аукционы. Людям не нравится, они игнорируют. The Shadow Brokers пытается объединять файлы. Люди отзываются негативно. Что же, теперь The Shadow Brokers пробует другие попытки, а именно — прямая торговля. Если Вам это подходит, Вы отправляете по электронной почте The Shadow Brokers с именем Warez запрос, указывая желаемую покупку. The Shadow Brokers отправляет Вам также по электронной почте биткойн-адрес. Вы производите платеж. The Shadow Brokers после проверки платежа передаёт Вам необходимую ссылку и пароль дешифрования. Если Вам не нравится данный метод проведения транзакций, Вы с лёгкостью найдёте агентов The Shadow Brokers на подземных торговых площадках. Файлы подписаны.

Список цен на кибер-товар (в биткойнах)

Четвёртая утечка: «Не забудьте свою базу данных»

8 апреля 2017 года в учётной записи Medium, используемой The Shadow Brokers, было опубликовано сообщение с паролем к зашифрованным файлам, украденным в прошлом году для CrDj "(; Va.*NdlnzB9M ?@K2) #> deB7mN. Эти файлы, как утверждалось, содержали огромное количество инструментов для проведения кибер-атак, разработанных АНБ. В этой публикации было также указано, что сообщение частично является ответом за нападение президента Трампа на сирийский аэродром, который также использовался российскими войсками.

Пятая утечка: «Потерянный в переводе»

14 апреля 2017 года учётная запись Twitter, используемая The Shadow Brokers, отправила сообщение с ссылкой на историю Steemit. Сообщение со ссылкой на файлы утечки были зашифрованы паролем Reeeeeeeeeeeeeee. Общее содержание базировалось на трёх папках: «oddjob», «swift» и «windows». Общепринятое считается, что пятая утечка стала «… самым разрушительным релизом», а CNN цитирует некоего Мэтью Хики

Должен заметить, это, вполне возможно, самая разрушительная вещь, которую я видел за последние несколько лет.

Утечка включала себя инструменты для взлома, проведения кибер-атак и эксплойты под кодовым названием DANDERSPIRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, DOUBLEPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE, EXPLODINGCAN и EWOKFRENZY. О FuzzBunch, DoublePulsar и EternalBlue известно немного больше, чем об остальных, но предполагается, что и другие эксплойты не менее эффективны для кибер-атак. Некоторые из эксплойтов, нацеленных на операционную систему Windows, были исправлены в обновлении 14 марта 2017 года, то есть, за месяц до того, как произошла утечка. Некоторые предположили, что в Microsoft, возможно, были проинформированы о будущей утечке эксплойтов в сеть.

EternalBlue

Более 500 000 компьютеров были заражены инструментами из этой утечки в течение первых двух недель, а в мае 2017 года была распространена основная атака WannaCry с целью вымогательства. Создатели WannaCry использовали эксплойт ETERNALBLUE для проведения атаки на протокол SMB по 445 порту с целью распространения, и, бэкдор DoublePulsar, чтобы получить доступ к системе.

Список их работ большой, и продолжает пополняться. Новости можно читать на Mediaware.

СЕГОДНЯ

На сегодня группа также продолжает существовать. Выкладывают Новые Эксплойты. В общем, продолжают свою деятельность. Самые яркие моменты будут выкладываться на канале в будущем. Главное ждать..

Данная статья создана исключительно для ознакомления и не призывает к действиям.