В минувшую пятницу, 14 апреля 2017 года, хакерская группа The Shadow Brokers опубликовала очередную порцию файлов из хакерского арсенала АНБ. Теперь эксперты признаются, что не ожидали, что в руках хакеров было нечто настолько ценное.
Напомню, что еще в середине 2016 года The Shadow Brokers заявили о себе, сообщив, что им удалось взломать хакеров из Equation Group. Эксперты давно связывали деятельность этой хакерской группы с АНБ. The Shadow Brokers уверяли, что им удалось похитить едва ли не весь инструментарий спецслужб, и долгое время хакеры пытались продать украденные файлы, однако так и не сумели найти покупателя. После этого группировка на несколько месяцев исчезла из поля зрения, но недавно The Shadow Brokers вернулись и начали публиковать похищенные данные бесплатно, в открытом доступе.
Пятничная публикация без преувеличения взбудоражила IT-сообщество. Дело в том, что The Shadow Brokers обнародовали эксплоиты и инструменты для взлома Windows-систем, которые немедленно были названы «режимом бога для компьютеров Microsoft». Согласно данным исследователей, которые провели анализ дампа (пока еще достаточно поверхностный), в архиве представлены эксплоиты практически для всех систем семейства Windows ( NT, 2000, 2003, 2008 и до 2012, а также для домашних версий XP, Vista, 7 и Windows 8).
Чауки Бекрар (Chaouki Bekrar), глава и основатель компании Zerodium, которая занимается покупкой и продажей уязвимостей, сообщил журналистам Vice Motherboard, что на такой информации The Shadow Brokers могли заработать более двух миллионов долларов, если бы сумели перепродать эксплоиты брокеру уязвимостей и конкурирующим с АНБ правительственным агентствам. По его словам, один только эксплоит под кодовым именем ETERNAL, предназначенный для атак на SMB прокол, стоил бы более $250 000.
«Эти у*бки сожгли два миллиона долларов [опубликовав] один ZIP-файл, — говорит Бекрар. — С точки зрения атак – это огромная потеря, с точки зрения защиты данная утечка представляет собой большую угрозу для миллионов Windows-систем. Давайте надеяться, что MS быстро это исправит».
Стоит сказать, что вначале The Shadow Brokers действительно собирались продать украденные данные за круглую сумму. Так, сначала хакеры предлагали «заинтересованным сторонам» совместно собрать миллион биткоинов, а потом снизили планку до 1000 биткоинов. Бекрар объясняет, что тогда хакерам попросту никто не поверил: «все мы думали, что они просто троллят», — признается эксперт.
Теперь, когда эксплоиты были опубликованы в открытом доступе и более ничего не стоят, представители Microsoft были вынуждены экстренно успокаивать пользователей и даже экспертов. В ночь с пятницы на субботу в блоге компании появилось сообщение, в котором компания утверждает, что инструментарий спецслужб не представляет опасности, так как большинство уязвимостей, которые эксплуатировало АНБ, давно исправлены. В блоге приводится следующий список «обезвреженных» эксплоитов:
Кодовое имя | Исправление |
EternalBlue | Исправлено в MS17-010 |
EmeraldThread | Исправлено в MS10-061 |
EternalChampion | Исправлено в CVE-2017-0146 и CVE-2017-0147 |
ErraticGopher | Исправлено перед выходом Windows Vista |
EsikmoRoll | Исправлено в MS14-068 |
EternalRomance | Исправлено в MS17-010 |
EducatedScholar | Исправлено в MS09-050 |
EternalSynergy | Исправлено в MS17-010 |
EclipsedWing | Исправлено в MS08-067 |
Как можно заметить, пройдя по ссылкам, в бюллетенях безопасности не сообщается, откуда сотрудники Microsoft узнали о данных проблемах, то есть неизвестно, какая именно группа или исследователь обнаружили уязвимость. И это весьма необычно. Теперь многие предполагают, что Microsoft заранее предупредили о скорой утечке. Одни подозревают, что компания заплатила хакерам за уязвимости, другие допускают, что информация поступила непосредственно от представителей АНБ. Также возможно, это именно те «непредвиденные обстоятельства», из-за которых был отложен февральский «вторник обновлений».
Key question: When was @Microsoft notified about the @NSAGov vulns patched in March (MS17-010)? #Shadowbrokers came forward on 13 Aug 2016. https://t.co/fp46jskgWQ
— Edward Snowden (@Snowden) April 15, 2017
There are no acknowledgements for MS17-10 which patched most of the big bugs from the ShadowBrokers drop. https://t.co/IBXIOLceqM
— the grugq (@thegrugq) April 15, 2017
Did Shadow Brokers release because of coordinated disclosure? Or did Microsoft burn them so they released anyway? Either way, update! https://t.co/FCkWtcqhuN
— Thomas Fox-Brewster (@iblametom) April 15, 2017
Как бы то ни было, есть еще эксплоиты EnglishmanDentist (Outlook), EsteemAudit (IIS 6.0) и ExplodingCan (RDP), которые не вошли в приведенный выше список. Компания сообщает, что эти эксплоиты не могут навредить пользователям поддерживаемых платформ, таких как Windows 7 и более свежих версий ОС, а также Exchange 2010 и выше. Пользователи устаревших продуктов (Windows XP, Windows Server 2003, Exchange 2007 и IIS 6.0) обновлений для этих уязвимостей не получали и, следовательно, находятся в зоне риска.