Летом 2016 года хакерская группа The Shadow Brokers заявила, что им удалось взломать правительственных хакеров Equation Group и похитить у конкурентов «кибероружие АНБ». Как выяснилось позже, The Shadow Brokers не солгали. Хакеры опубликовали в открытом доступе первую часть дампа, в котором содержались различные эксплоиты и инструменты АНБ, что подтверждают новые документы из архива Сноудена. Также вскоре стало известно, что опубликованные эксплоиты представляют реальную угрозу для продукции Cisco, Fortinet и Juniper. После внимательного изучения содержимого дампа представители компаний отчитались об обнаружении 0-day уязвимостей, для которых были представлены экстренные патчи.
За вторую часть дампа The Shadow Brokers предложили поторговаться всем желающим, объявив аукцион. Недавно, в середине октября 2016 года, хакеры сообщили, что торги проходили совсем не так успешно, как предполагалось изначально, и поэтому аукцион был отменен. Вместо этого группировка организовала своеобразный краудфандинг: как только в биткоин-кошельке группы будет собрано 10 000 биткоинов, вторая часть инструментария спецслужб будет опубликована в открытом доступе.
Похоже, сбор биткоинов тоже проходит не слишком активно, и хакеры решили подогреть интерес общественности. Сегодня 31 октября 2016 года, The Shadow Brokers опубликовали в своем блоге на платформе Medium новое сообщение. Послание подписано тем же PGP-ключом, что и все предыдущие.
Хакеры выложили в открытый доступ новый дамп, но это не новые эксплоиты и тулзы спецслужб. Новый архив содержит списки серверов, которые, согласно заявлениям The Shadow Brokers, некогда скомпрометировала Equation Group.
New Shadow Brokers dump contains list of servers compromised by the NSA to use as exploit staging servers. pic.twitter.com/rVNjWCvgoG
— Mustafa Al-Bassam (@musalbas) October 31, 2016
ИБ-эксперты уже изучили дамп и успели сделать первые выводы. Так, исследователь, известный под псевдонимом Hacker Fantastic подсчитал, что архив содержит информацию о 306 доменах и 352 IP-адресах, относящихся к 49 разным странам, включая Россию, Китай, Индию и Швецию. При этом другие исследователи сообщают, что опубликованные данные давно устарели, так как относятся к 2001-2003 годам, и большинства перечисленных в списке серверов уже попросту не существует.
306 domain names, 352 ip addresses contained in @shadowbrokerss leak, mostly ASIAPAC region. descriptions here https://t.co/zNQgCiU0Ro
— Hacker Fantastic (@hackerfantastic) October 31, 2016
The Shadow Brokers continue to grapple for publicity and money. The list of servers is 9 years old, likely no longer exist or reinstalled. https://t.co/bEJGsvZItY
— Kevin Beaumont (@GossiTheDog) October 31, 2016
