Около двух недель назад хакерская группа The Shadow Brokers анонсировала скорый запуск нового сервиса. Очевидно, хакеры решили, что массовые атаки WannaCry сделали им неплохую рекламу, поэтому The Shadow Brokers предложили всем заинтересованным лицам оформить подписку на сервис «Ежемесячный дамп The Shadow Brokers» (TheShadowBrokers Data Dump of the Month), чье название говорит само за себя. Группировка пообещала ежемесячно публиковать новые эксплоиты для своих подписчиков, в том числе:
- браузерные эксплоиты,
- эксплоиты для роутеров,
- эксплоиты и инструменты для мобильных устройств,
- эксплоиты для Windows 10,
- скомпрометированные данные из сетей провайдеров SWIFT и банков,
- скомпрометированные данные о ядерных и ракетных программах России, Китая, Ирана и Северной Кореи.
Напомню, что ранее группа уже неоднократно пыталась монетизировать инструменты, похищенные у спецслужб в 2016 году. Сначала хакеры пытались продать их посредством открытого аукциона, затем объявили о старте краудфандинковой кампании, а когда это не сработало, The Shadow Brokers попытались продавать эксплоиты поштучно. Тем не менее, все эти попытки не принесли никаких результатов, и в апреле 2017 года группа обнародовала инструментарий АНБ в открытом доступе и совершенно бесплатно.
Теперь, после «успеха» WannaCry, хакеры решили предпринять еще оду попытку монетизации. Сегодня, 30 мая 2017 года, группа опубликовала новое сообщение, объясняющее, как будет работать «Ежемесячный дамп The Shadow Brokers». Всем желающим предлагают подписаться на сервис группы, переведя 100 ZEC (Zcash) на определенный кошелек и указав email-адрес для доставки контента (сделать это нужно не позднее 30 июня 2017 года). На указанный почтовый ящик придет подтверждение оплаты. Разослать первый дамп хакеры обещают 1-17 июля 2017 года. Письма будут содержать ссылки на дамп и пароль от архива. Стоит отметить, что 100 ZEC — это около 22 000 долларов по текущему курсу.
Тот факт, что The Shadow Brokers решили использовать Zcash, уже насторожил многих специалистов, так как в отличие от Bitcoin эту криптовалюту практически невозможно проследить. Также на этот раз хакеры не предоставляют никаких доказательств своих слов, то есть нет никакой возможности убедиться в том, что в руках группировки действительно еще остались какие-то ценные данные и инструменты. Более того, несколько дней назад специалисты заметили, что The Shadow Brokers наконец решили перевести куда-то 10,5 биткоинов (около 24 000 долларов), накопившихся в их кошельке во время предыдущих попыток монетизации. Хакеры воспользовались услугами специальных сервисов, которые позволяют запутать следы и скрыть, куда в конечном итоге отправились средства.
We didn't have a whole lot of time over here, but, we tracked some of the SB BTC transactions. Some addresses may be missing. #infosec pic.twitter.com/mOOsgRVzBn
— ProToxin ಠ_ಠ ?? (@protoxin_) May 29, 2017
Многие ИБ-специалисты не верят, что в распоряжении The Shadow Brokers осталась еще какие-то ценные данные. Но даже если хакеры действительно могут предложить что-то еще, специалисты призывают не платить им. Так, известный эксперт Кевин Бимонт пишет, что если вендоры будут финансировать The Shadow Brokers, выплачивая им по 20 000 долларов в месяц, это станет «новым дном» для всего infosec-сообщества. Бимонт убежден, что Equation Group (группа «правительственных хакеров», которую и обокрали The Shadow Brokers и чья связь с АНБ давно доказана) должны проявить ответственность и сами раскрыть информацию о своих эксплоитах и связанных с ними уязвимостях.
Also, I think Equation Group, whoever they may be, should responsibility disclose all the stolen exploits. They're burned now, being sold.
— Kevin Beaumont (@GossiTheDog) May 30, 2017