Что известно хакерской группировке The Shadow Brokers

The Shadow Brokers — хакерская группировка, о которой впервые стало известно летом 2016 года. Группа известна взломами информационных систем Агентства национальной безопасности США (АНБ), кражей информации, последующей продажей и опубликованием её в общий доступ.

Опубликованные уязвимости были использованы неизвестными лицами для создания сетевого червя-вымогателя WannaCry и проведения одной из масштабнейших кибератак.

Псевдоним

Несколько источников новостей отметили, что название группы, скорее всего, имеет отношение к серии видеоигр Mass Effect. Мэтт Саич процитировал описание псевдонима :

The Shadow Broker представлена экспансивной организацией, которая торгует информацией. К тому же, всегда продаёт эту самую информацию за самую высокую цену. Стоит отметить, что является весьма компетентной в торговле: все секреты, которые покупаются и продаются никогда не дают получить существенного преимущества клиенту. Это сделано для того, чтобы заставить клиентов продолжать торговать информацией, тем самым оставаясь всегда в выгодном для себя положении.

Хронология утечек

Первая утечка: «Аукцион кибер-оружия Equation Group»

Точная дата неясна, но сообщения свидетельствуют о том, что подготовка утечки началась примерно в начале августа, и первая публикация произошла 13 августа 2016 года с учетной записи социальной сети Twitter @shadowbrokerss.

В Pastebin был размещён раздел под названием «Аукцион кибер-оружия Equation Group — Приглашение», со следующим содержанием:

!!! Прошу внимания правительственных спонсоров кибервойны и тех, кто получает от нее прибыль !!!!Сколько вы платите за вражеские кибер-оружия? Безопасное ПО, Вы найдете и в сети. Две стороны : RAT + LP, разве это набор инструментов для государства? Мы ищем лишь то кибер-оружие, которое дано создателями таких вирусных программ как Stuxnet, Duqu, Flame. Что ж, мы следуем за трафиком Equation Group. Мы, по крайней мере, ищем её исходный диапазон. Не секрет и то, что мы взламываем Equation Group. Мы находим много кибер-оружия Equation Group. Итак, мы опубликуем специально для Вас несколько файлов, украденных у Equation Group. Что скажете? Разве это плохие доказательства? Вы многое нарушаете, слишком много... Находите много уязвимостей, Вы пишете много слов. Но не все лучшие файлы попадут на аукцион...

Вторая утечка: «Сообщение № 5 — Уловка или угощение (TrickOrTreat)»

Эта публикация предположительно была сделана 31 октября 2016 года. В публикации были доступны списки серверов, предположительно скомпрометированных Equation Group, а также ссылки на семь якобы нераскрытых инструментов нового поколения. Стали известны лишь названия: DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK и STOCSURGEON.

Третья утечка: «Сообщение № 6 — Чёрная пятница / Понедельник кибер-продаж»

The Shadow Brokers пытается создавать аукционы. Людям не нравится, они игнорируют. The Shadow Brokers пытается объединять файлы. Люди отзываются негативно. Что же, теперь The Shadow Brokers пробует другие попытки, а именно — прямая торговля. Если Вам это подходит, Вы отправляете по электронной почте The Shadow Brokers с именем Warez запрос, указывая желаемую покупку. The Shadow Brokers отправляет Вам также по электронной почте биткойн-адрес. Вы производите платеж. The Shadow Brokers после проверки платежа передаёт Вам необходимую ссылку и пароль дешифрования. Если Вам не нравится данный метод проведения транзакций, Вы с лёгкостью найдёте агентов The Shadow Brokers на подземных торговых площадках. Файлы подписаны.

Четвёртая утечка: «Не забудьте свою базу данных»

8 апреля 2017 года в учётной записи Medium, используемой The Shadow Brokers, было опубликовано сообщение с паролем к зашифрованным файлам, украденным в прошлом году для CrDj "(; Va.*NdlnzB9M ?@K2) #> deB7mN. Эти файлы, как утверждалось, содержали огромное количество инструментов для проведения кибер-атак, разработанных АНБ. В этой публикации было также указано, что сообщение частично является ответом за нападение президента Трампа на сирийский аэродром, который также использовался российскими войсками.

Пятая утечка: «Потерянный в переводе»

14 апреля 2017 года учётная запись Twitter, используемая The Shadow Brokers, отправила сообщение с ссылкой на историю Steemit. Сообщение со ссылкой на файлы утечки были зашифрованы паролем Reeeeeeeeeeeeeee. Общее содержание базировалось на трёх папках: «oddjob», «swift» и «windows». Общепринятое считается, что пятая утечка стала «… самым разрушительным релизом», а CNN цитирует некоего Мэтью Хики:

Должен заметить, это, вполне возможно, самая разрушительная вещь, которую я видел за последние несколько лет.

EternalBlue

Более 500 000 компьютеров были заражены инструментами из этой утечки в течение первых двух недель, а в мае 2017 года была распространена основная атака WannaCry с целью вымогательства. Создатели WannaCry использовали эксплойт ETERNALBLUE для проведения атаки на протокол SMB по 445 порту с целью распространения, и, бэкдор DoublePulsar, чтобы получить доступ к системе.