Участники ранее неизвестной хакерской группы, называющей себя The Shadow Brokers, заявляют, что взломали другую хак-группу Equation Group и теперь готовы продать «кибероружие АНБ» посредством аукциона. Причем здесь АНБ? Дело в том, что многие эксперты и исследователи связывают деятельность Equation Group с американским правительством. К примеру, «Лаборатория Касперского» сообщала в 2015 году, что группа ведет свою деятельность на протяжении почти двадцати лет (с 1996 года), и ее действия затронули тысячи, а возможно и десятки тысяч пользователей в более чем 30 странах мира. За годы работы Equation Group взаимодействовала с другими кибергруппировками, в частности с организаторами нашумевших кампаний Stuxnet и Flame.
Пока подтвердить или опровергнуть тот факт, что в руках The Shadow Brokers находится кибероружие, принадлежащие спецслужбам, не берется никто. Амбициозное заявление о взломе Equation Group хакеры из The Shadow Brokers опубликовали в минувшие выходные и представили некоторые доказательства своих слов, однако считать эти «улики» стопроцентным подтверждением нельзя.
The Shadow Brokers приложили немало усилий, чтобы распространить свое заявление, рассылая ссылки на него различным СМИ и медиа-агентствам. Хакеры обнародовали свой манифест и файлы с доказательствами утечки на GitHub и в блоге Tumblr, но репозиторий и блог были оперативно удалены, хотя все еще доступны в кеше Google (1 и 2).
«Сколько вы готовы заплатить за кибероружие ваших врагов? — пишут The Shadow Brokers. — Не за ту малварь, которую вы находите в сетях. Сразу RAT + LP, настоящий набор инструментов, созданный при поддержке правительства. Мы нашли кибероружие, вероятно, созданное авторами stuxnet, duqu, flame. Касперский называет их Equation Group».
Хакеры опубликовали ряд скриншотов и два защищенных паролями архива, содержащие различные файлы Equation Group. Пароль был представлен лишь для одного из архивов, который является «бесплатным демо». Пароль от второго архива получит победитель аукциона, который устроили The Shadow Brokers.
Правила торгов просты: нужно отправлять деньги на биткоин-кошелек группы. Выигрывает тот, чья ставка окажется самой высокой, и победитель будет только один. Остальным участникам аукциона деньги не вернут. Похоже, The Shadow Brokers уверены в успехе своей затеи, так как они пишут, что если суммарно будет собрано более миллиона биткоинов (примерно 568 миллионов долларов), в качестве жеста доброй воли и благодарности всем участникам торгов, файлы Equation Group будут опубликованы бесплатно и для всех. Дату окончанию аукциона хакеры не называют, вместо этого они планируют принимать решение по ситуации.
При этом неизвестно, что именно содержится в дампе, за который предлагают поторговаться:
«Что именно содержится в файлах аукциона? Это секрет. Equation Group не знает, что именно потеряла. Мы хотим, чтобы они тоже участвовали в торгах, пытаясь заставить нас сохранить тайну. Ставьте против Equation Group, выигрывайте, чтобы узнать [что в файлах], или просто вздувайте цену, чтобы позлить их, от этого выиграют все».
Тем не менее, среди уже опубликованных The Shadow Brokers файлов есть и такие, которые не позволяют просто отмахнуться от заявлений хакеров, смело назвав происходящее надувательством. К примеру, аналитики Risk Based Security пишут, что файлы датированы 2010-2013 годами и содержат эксплоиты для продуктов Cisco, Juniper, Topsec и Fortinet, то есть компаний, производящих сетевое оборудование и брандмауэры.
Кроме того, имена некоторых эксплоитов и инструментов (к примеру, BARGLEE, BANANAGLEE, BLASTSTING, EPICBANANA, BUZZDIRECTION) совпадают с названиями, фигурировавшими в документах Сноудена, которые были опубликованы изданием Der Spiegel в 2013 году.
Эксперты пока высказываются о случившемся осторожно. Кто-то пишет, что утечка «кибероружия АНБ» — это явный фейк, который был тщательно сфабрикован. Другие допускают, что The Shadow Brokers могут говорить правду.
«Если все это ложь, злоумышленники приложили огромные усилия для ее реализации, — прокомментировал изданию Vice Motherboard известный специалист по информационной безопасности The Grugq. — Файлы с доказательствами выглядят вполне настоящими, это именно такие эксплоиты, которые по идее должна была бы использовать группа, атакующая информационно-коммуникационную инфраструктуру».
@RidT @pwnallthethings @0stracon Looks like a random collection of files, grouped under names that were gathered from Snowden documents.
— Timo Steffens (@Timo_Steffens) August 15, 2016
I would guess: the dump is the take from a counter hack against a pivot/C2 that was mistakenly loaded with too much data. Shit happens.
— the grugq (@thegrugq) August 15, 2016
Which means either:
— Pwn All The Things (@pwnallthethings) August 15, 2016
1. This is fake
2. Avast is wrong or
3. EG is still using 10-year old patched vulnerabilities to hack around networks.
