На прошлой неделе хакерская группа The Shadow Brokers прервала долгое молчание и вернулась с новым дампом, который содержал различные Unix-эскплоиты. Напомню, что эти инструменты некогда принадлежали Equation Group – хакерской группе, которую ИБ-эксперты давно связали с АНБ напрямую. Еще летом 2016 года The Shadow Brokers удалось похитить инструментарий спецслужб, и долгое время хакеры пытались продать его, а теперь, по всей видимости, готовы опубликовать бесплатно.

Новый дамп, опубликованный сегодня, 14 апреля 2017 года, получил название «Трудности перевода» (Lost in Translation). Дело в том, что на прошлой неделе были опубликованы инструменты для Unix-систем, но Windows-эксплоиты, которые как известно тоже имелись в распоряжении группировки, в него не вошли. Поэтому «Трудности перевода» преимущественно содержит тулзы для систем семейства Windows, а также якобы и доказательства того, что Equation Group имела доступ к серверам сервисных бюро, связанных с международной банковской системой SWIFT, и шпионила за рядом финансовых учреждений из разных стран мира.

Исследователи уже загрузили содержимое дампа на GitHub и опубликовали полный список содержащихся в нем файлов. Так, новый архив содержит три папки: Windows, Swift и OddJob. В них можно найти следующие инструменты: OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar и так далее.

Эксперты уже занимаются изучением новых данных. Так, похоже, в директории Windows содержатся совсем не те инструменты, что The Shadow Brokers пытались продать в декабре минувшего года. Исследователи пишут, что в основном данные тулзы ориентированы на старые версии ОС (Windows XP, Server 2003 и Windows 8), однако ИБ-специалист Кевин Бимонт (Kevin Beaumont) отмечает, что эксплоиты неизвестны VirusTotal. Еще один исследователь, известный как Hacker Fantastic, сообщает, что ETERNALBLUE – это RCE-эксплоит, который опасен даже для обновленных версий Windows 2008 R2 SERVER.

Директория OddJob содержит одноименный имплантат для систем Windows, и специалисты Microsoft уже подтвердили, что изучают дамп и готовы предпринять необходимые действия для защиты пользователей.

В свою очередь, директория SWIFT содержит SQL-скрипты для поиска связанных со SWIFT данных внутри БД, а также текстовые и Excel-файлы, часть их которых, похоже, являются секретными. Из приведенной в этих файлах информации можно сделать вывод, что Equation Group имела доступ к ряду банковских систем по всему миру, опосредованно перехватывая информацию о транзакциях SWIFT. В основном от атак «правительственных хакеров» страдали страны Ближнего Востока.

 

Согласно опубликованным файлам, хакеры успешно проникли в сеть SWIFT Service Bureau of the Middle East (EastNets). Эта организация как раз занимается делами ближневосточных стран, что позволяло атакующим наблюдать за деятельностью баков Кувейта, Дубаи, Бахрейна, Иордании, Йемена и Катара. На сайте EastNets уже проявилось опровержение данной информации. Представители EastNets утверждают, что их система не была скомпрометирована, хотя в архиве The Shadow Brokers есть данные о взломанных административных аккаунтах, некоторых из которых явно имеют отношение к реально существующим сотрудникам.

Судя по всему, в ближайшие дни появится немало новых интересных подробностей о новом дампе. ][ будет следить за развитием событий.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    5 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии