r   e   k   l   a   m   a
r   e   k   l   a   m   a

Edward Snowden: wyciek z NSA to nie fałszywka, lecz ostrzeżenie ze strony Rosji

Strona główna AktualnościBEZPIECZEŃSTWO

Pojawiają się kolejne analizy tego, co udostępnili ludzie przedstawiający się jako Shadow Brokers, i co uważane jest za cyberbronie należące do The Equation Group, elitarnej grupy hakerów pracujących dla amerykańskiej Agencji Bezpieczeństwa Narodowego. Sprawie przyjrzeli się bliżej eksperci z Kaspersky Lab, sam Edward Snowden oraz wielu innych niezależnych badaczy. Ich zdaniem nie można już wątpić w to, że przedstawiony towar jest autentyczny. Zarazem jednak zauważamy coś zabawnego: najwyraźniej mało kto dokładnie przeczytał ogłoszenie Shadow Brokers – i w kółko powtarzana jest opowieść o „milionie bitcoinów za zaszyfrowany plik”.

Zacznijmy od raportu Kaspersky Lab, choćby dlatego, że to badacze tej firmy jako pierwsi ujawnili działania The Equation Group i wskazali na jej powiązania z NSA. Na łamach swojego bloga porównują znane narzędzia hakerów NSA – takie jak EQUATIONDRUG, DOUBLEFANTASY, GRAYFISH oraz FANNY z tym, co teraz wypłynęło do Sieci. Ich zdaniem, te nowe narzędzia są w silny sposób powiązane z tym, co odkryto wcześniej – przede wszystkim za sprawą powszechnego stosowania algorytmów szyfrujących RC5 i RC6.

Szyfrowy odcisk palca

Ludziom Kasperskiego udało się zdobyć około 20 próbek malware stosowanego przez The Equation Group, wykorzystujących RC5/6. Po porównaniu ich do kodu z wycieku Shadow Brokers, widać, że implementacje są identyczne. Jak twierdzą, szanse na to, że to wszystko zostało zmyślone, lub spreparowane, są znikome – chodzi m.in. o stosowanie pewnej stałej operacji odejmowania w algorytmie, która przyspiesza jego działanie na niektórych architekturach sprzętowych.

r   e   k   l   a   m   a

Inny ekspert od bezpieczeństwa, Xorcat, przeprowadził w swoim laboratorium testy jednego z ujawnionych exploitów, ExtraBacona, który przeznaczony jest do penetrowania zapór sieciowych Cisco PIX i ASA. Jako że miał akurat taki sprzęt, postanowił sprawdzić, czy faktycznie da się za pomocą bojowego ładunku od Shadow Brokers obejść mechanizm uwierzytelnienia. Okazało się, że z łatwością – to bardzo wysokiej jakości exploit, który pozwala dostać się do systemu bez podawania hasła, niczego przy tym nie psuje, nie zakłóca ruchu sieciowego, łatwo go wyłączyć. Niczego mniej nie spodziewalibyśmy się przecież po najlepszych amerykańskich hakerach z The Equation Group.

Czy NSA wie, ile ma serwerów kontroli malware?

Dociekania nad pochodzeniem tych wszystkich narzędzi pozwoliły naszkicować dość dziwny scenariusz ataku. Otóż wbrew deklaracjom Shadow Brokers to chyba nie serwery NSA zostały skutecznie zaatakowane. Na Twitterze pisze o tym Edward Snowden. Wyjaśnia, że samo NSA od lat śledzi serwery dowodzenia i kontroli, wykorzystywane przez malware, w ramach operacji o nazwie Counter Computer Network Exploitation. Często takie serwery zostają po cichu przejęte, wykrada się z nich narzędzia hakerskie i odtwarza je metodami odwrotnej inżynierii, by tworzyć „odciski palców”, ułatwiające wykrycie ataków w przyszłości.

Tyle że NSA nie jest jedyną organizacją, która robi coś takiego. To samo robią inne, mające mocnych sponsorów grupy hakerskie. Także serwery dowodzenia i kontroli używane przez NSA zostają czasem po cichu przejęte i zinfiltrowane. Co prawda samo NSA zabrania pozostawiania na miejscu swoich hakerskich narzędzi, ale cóż – ludzie robią się leniwi. Wygląda na to, że między czerwcem a październikiem 2013 roku ktoś przełamał zabezpieczenia serwera amerykańskiego malware i zrzucił sobie całą jego zawartość.

Ciekawa data, prawda? Termin ten jakimś zbiegiem okoliczności przypada na okres, kiedy to Edward Snowden uciekł ze Stanów Zjednoczonych, by ujawnić skalę, na jaką NSA inwigiluje Internet. Niczego oczywiście nie sugerujemy. Przypomnieć należy sobie za to pewien wcześniejszy incydent, kiedy to Kaspersky Lab ujawnił listę serwerów wykorzystywanych przez pewne skojarzone z NSA malware. Wtedy to niemal natychmiast większość tych serwerów została wyłączona, jednak niektóre pozostały online, i to jeszcze przez kilka dni. Uważano wówczas, że te, które pozostały, były wykorzystywane w ważnych operacjach i ich zmiana mogłaby być dla tych operacji zbyt ryzykowna. Serwery te przeskanowano – ot przeróżne VPS-y w różnych firmach hostingowych, na Ubuntu czy CentOS-ie, zarejestrowane na różne fałszywe dane. Być może to właśnie był trop, którym napastnicy przedstawiający się dziś jako Shadow Brokers dotarli do cymesów z NSA.

Ostrzeżenie prosto z Moskwy

Sam Snowden uważa aukcję za podstęp, a ujawniony wyciek za ostrzeżenie wobec NSA – na wypadek, gdyby agencja chciała odwetu za aferę z wyciekiem kompromitujących Hillary Clinton dokumentów Partii Demokratycznej. Teraz jakiekolwiek naruszenie cywilnej czy wojskowej infrastruktury, powiązanie z oprogramowaniem przejętym z amerykańskiego serwera, można byłoby powiązać z Amerykanami. To oczywiście tylko podejrzenia, zawsze można rozważać kwestię operacji fałszywej flagi – ale powiązanie wycieku z działaniami rosyjskich hakerów jest dla Snowdena (notabene żyjącego przecież gdzieś w Rosji) najbardziej sensowne.

Niektórzy jednak już na ten „podstęp” dali się chyba nabrać – albo potraktowali aukcję poważnie. Oczywiście ceną za hasło do zaszyfrowanej części wycieku nie jest wcale 1 milion bitcoinów, jak podały niektóre media. Hasło dostanie ten, kto zapłaci najwięcej, wszyscy pozostali uczestnicy aukcji swoje bitcoiny stracą. Jeśli jednak zgromadzona kwota osiągnie szaloną wręcz wielkość 1 mln BTC, to wtedy Shadow Brokers zobowiązali się udostępnić publicznie inne ciekawe materiały i kod z NSA. Jak na razie na koncie znalazło się raptem 1,629 BTC, tj. niespełna tysiąc dolarów. Nie wiadomo, kiedy nastąpi koniec licytacji – większość wpłat to póki co jakieś mikropłatności.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.