В минувшую пятницу, 14 апреля 2017 года, хакерская группа The Shadow Brokers опубликовала очередную порцию файлов из хакерского арсенала АНБ. Теперь эксперты признаются, что не ожидали, что в руках хакеров было нечто настолько ценное.

Напомню, что еще в середине 2016 года The Shadow Brokers заявили о себе, сообщив, что им удалось взломать хакеров из Equation Group. Эксперты давно связывали деятельность этой хакерской группы с АНБ. The Shadow Brokers уверяли, что им удалось похитить едва ли не весь инструментарий спецслужб, и долгое время хакеры пытались продать украденные файлы, однако так и не сумели найти покупателя. После этого группировка на несколько месяцев исчезла из поля зрения, но недавно The Shadow Brokers вернулись и начали публиковать похищенные данные бесплатно, в открытом доступе.

Пятничная публикация без преувеличения взбудоражила IT-сообщество. Дело в том, что The Shadow Brokers обнародовали эксплоиты и инструменты для взлома Windows-систем, которые немедленно были названы «режимом бога для компьютеров Microsoft». Согласно данным исследователей, которые провели анализ дампа (пока еще достаточно поверхностный), в архиве представлены эксплоиты практически для всех систем семейства Windows ( NT, 2000, 2003, 2008 и до 2012, а также для домашних версий XP, Vista, 7 и Windows 8).

Чауки Бекрар (Chaouki Bekrar), глава и основатель компании Zerodium, которая занимается покупкой и продажей уязвимостей, сообщил журналистам Vice Motherboard, что на такой информации The Shadow Brokers могли заработать более двух миллионов долларов, если бы сумели перепродать эксплоиты брокеру уязвимостей и конкурирующим с АНБ правительственным агентствам. По его словам, один только эксплоит под кодовым именем ETERNAL, предназначенный для атак на SMB прокол, стоил бы более $250 000.

«Эти у*бки сожгли два миллиона долларов [опубликовав] один ZIP-файл, — говорит Бекрар. — С точки зрения атак – это огромная потеря, с точки зрения защиты данная утечка представляет собой большую угрозу для миллионов Windows-систем. Давайте надеяться, что MS быстро это исправит».

Стоит сказать, что вначале The Shadow Brokers действительно собирались продать украденные данные за круглую сумму. Так, сначала хакеры предлагали «заинтересованным сторонам» совместно собрать миллион биткоинов, а потом снизили планку до 1000 биткоинов. Бекрар объясняет, что тогда хакерам попросту никто не поверил: «все мы думали, что они просто троллят», — признается эксперт.

Теперь, когда эксплоиты были опубликованы в открытом доступе и более ничего не стоят, представители Microsoft были вынуждены экстренно успокаивать пользователей и даже экспертов. В ночь с пятницы на субботу в блоге компании появилось сообщение, в котором компания утверждает, что инструментарий спецслужб не представляет опасности, так как большинство уязвимостей, которые эксплуатировало АНБ, давно исправлены. В блоге приводится следующий список «обезвреженных» эксплоитов:

Кодовое имя Исправление
EternalBlue Исправлено в MS17-010
EmeraldThread Исправлено в MS10-061
EternalChampion Исправлено в CVE-2017-0146 и CVE-2017-0147
ErraticGopher Исправлено перед выходом Windows Vista
EsikmoRoll Исправлено в MS14-068
EternalRomance Исправлено в MS17-010
EducatedScholar Исправлено в MS09-050
EternalSynergy Исправлено в MS17-010
EclipsedWing Исправлено в MS08-067

Как можно заметить, пройдя по ссылкам, в бюллетенях безопасности не сообщается, откуда сотрудники Microsoft узнали о данных проблемах, то есть неизвестно, какая именно группа или исследователь обнаружили уязвимость. И это весьма необычно. Теперь многие предполагают, что Microsoft заранее предупредили о скорой утечке. Одни подозревают, что компания заплатила хакерам за уязвимости, другие допускают, что информация поступила непосредственно от представителей АНБ. Также возможно, это именно те «непредвиденные обстоятельства», из-за которых был отложен февральский «вторник обновлений».

Как бы то ни было, есть еще эксплоиты EnglishmanDentist (Outlook), EsteemAudit (IIS 6.0) и ExplodingCan (RDP), которые не вошли в приведенный выше список. Компания сообщает, что эти эксплоиты не могут навредить пользователям поддерживаемых платформ, таких как Windows 7 и более свежих версий ОС, а также Exchange 2010 и выше. Пользователи устаревших продуктов (Windows XP, Windows Server 2003, Exchange 2007 и IIS 6.0) обновлений для этих уязвимостей не получали и, следовательно, находятся в зоне риска.

1 комментарий

  1. Il

    17.04.2017 at 13:10

    У Вас тут опечатка «попросту никто не проверил». Наверное все таки не поверил.

    Думаю, что хакеры просто отдали майкам информацию и получили награду.

Оставить мнение