Edward Snowden: wyciek z NSA to nie fałszywka, lecz ostrzeżenie ze strony Rosji

Pojawiają się kolejne analizy tego, co udostępnililudzie przedstawiający się jako Shadow Brokers, i co uważanejest za cyberbronie należące do The Equation Group, elitarnej grupyhakerów pracujących dla amerykańskiej Agencji BezpieczeństwaNarodowego. Sprawie przyjrzeli się bliżej eksperci z Kaspersky Lab,sam Edward Snowden oraz wielu innych niezależnych badaczy. Ichzdaniem nie można już wątpić w to, że przedstawiony towar jestautentyczny. Zarazem jednak zauważamy coś zabawnego: najwyraźniejmało kto dokładnie przeczytał ogłoszenie Shadow Brokers – i wkółko powtarzana jest opowieść o „milionie bitcoinów zazaszyfrowany plik”.

Zacznijmy od raportu Kaspersky Lab, choćby dlatego, że tobadacze tej firmy jako pierwsi ujawnili działania The Equation Groupi wskazali na jej powiązania z NSA. Na łamach swojegobloga porównują znane narzędzia hakerów NSA – takie jakEQUATIONDRUG, DOUBLEFANTASY, GRAYFISH oraz FANNY z tym, co terazwypłynęło do Sieci. Ich zdaniem, te nowe narzędzia są w silnysposób powiązane z tym, co odkryto wcześniej – przede wszystkimza sprawą powszechnego stosowania algorytmów szyfrujących RC5 iRC6.

Ludziom Kasperskiego udało się zdobyć około 20 próbek malwarestosowanego przez The Equation Group, wykorzystujących RC5/6. Poporównaniu ich do kodu z wycieku Shadow Brokers, widać, żeimplementacje są identyczne. Jak twierdzą, szanse na to, że towszystko zostało zmyślone, lub spreparowane, są znikome – chodzim.in. o stosowanie pewnej stałej operacji odejmowania w algorytmie,która przyspiesza jego działanie na niektórych architekturachsprzętowych.

Inny ekspert od bezpieczeństwa, Xorcat, przeprowadziłw swoim laboratorium testy jednego z ujawnionych exploitów,ExtraBacona, który przeznaczony jest do penetrowania zapórsieciowych Cisco PIX i ASA. Jako że miał akurat taki sprzęt,postanowił sprawdzić, czy faktycznie da się za pomocą bojowegoładunku od Shadow Brokers obejść mechanizm uwierzytelnienia.Okazało się, że z łatwością – to bardzo wysokiej jakościexploit, który pozwala dostać się do systemu bez podawania hasła,niczego przy tym nie psuje, nie zakłóca ruchu sieciowego, łatwo gowyłączyć. Niczego mniej nie spodziewalibyśmy się przecież ponajlepszych amerykańskich hakerach z The Equation Group.

Dociekania nad pochodzeniem tych wszystkich narzędzi pozwoliłynaszkicować dość dziwny scenariusz ataku. Otóż wbrew deklaracjomShadow Brokers to chyba nie serwery NSA zostały skuteczniezaatakowane. Na Twitterze piszeo tym Edward Snowden. Wyjaśnia, że samo NSA od lat śledziserwery dowodzenia i kontroli, wykorzystywane przez malware, w ramachoperacji o nazwie Counter Computer Network Exploitation. Częstotakie serwery zostają po cichu przejęte, wykrada się z nichnarzędzia hakerskie i odtwarza je metodami odwrotnej inżynierii, bytworzyć „odciski palców”, ułatwiające wykrycie ataków wprzyszłości.

Tyle że NSA nie jest jedyną organizacją, która robi cośtakiego. To samo robią inne, mające mocnych sponsorów grupyhakerskie. Także serwery dowodzenia i kontroli używane przez NSAzostają czasem po cichu przejęte i zinfiltrowane. Co prawda samoNSA zabrania pozostawiania na miejscu swoich hakerskich narzędzi,ale cóż – ludzie robią się leniwi. Wygląda na to, że międzyczerwcem a październikiem 2013 roku ktoś przełamał zabezpieczeniaserwera amerykańskiego malware i zrzucił sobie całą jegozawartość.

Ciekawa data, prawda? Termin ten jakimś zbiegiem okolicznościprzypada na okres, kiedy to Edward Snowden uciekł ze StanówZjednoczonych, by ujawnić skalę, na jaką NSA inwigiluje Internet.Niczego oczywiście nie sugerujemy. Przypomnieć należy sobie za topewien wcześniejszy incydent, kiedy to Kaspersky Lab ujawnił listęserwerów wykorzystywanych przez pewne skojarzone z NSA malware.Wtedy to niemal natychmiast większość tych serwerów zostaławyłączona, jednak niektóre pozostały online, i to jeszcze przezkilka dni. Uważano wówczas, że te, które pozostały, byływykorzystywane w ważnych operacjach i ich zmiana mogłaby być dlatych operacji zbyt ryzykowna. Serwery te przeskanowano – otprzeróżne VPS-y w różnych firmach hostingowych, na Ubuntu czyCentOS-ie, zarejestrowane na różne fałszywe dane. Być może towłaśnie był trop, którym napastnicy przedstawiający się dziśjako Shadow Brokers dotarli do cymesów z NSA.

Sam Snowden uważa aukcję za podstęp, a ujawniony wyciek zaostrzeżenie wobec NSA – na wypadek, gdyby agencja chciała odwetuza aferę z wyciekiem kompromitujących Hillary Clinton dokumentówPartii Demokratycznej. Teraz jakiekolwiek naruszenie cywilnej czywojskowej infrastruktury, powiązanie z oprogramowaniem przejętym zamerykańskiego serwera, można byłoby powiązać z Amerykanami. Tooczywiście tylko podejrzenia, zawsze można rozważać kwestięoperacji fałszywej flagi – ale powiązanie wycieku z działaniamirosyjskich hakerów jest dla Snowdena (notabene żyjącego przecieżgdzieś w Rosji) najbardziej sensowne.

Niektórzy jednak już na ten „podstęp” dali się chybanabrać – albo potraktowali aukcję poważnie. Oczywiście ceną zahasło do zaszyfrowanej części wycieku nie jest wcale 1 milionbitcoinów, jak podały niektóre media. Hasło dostanie ten, ktozapłaci najwięcej, wszyscy pozostali uczestnicy aukcji swojebitcoiny stracą. Jeśli jednak zgromadzona kwota osiągnie szalonąwręcz wielkość 1 mln BTC, to wtedy Shadow Brokers zobowiązalisię udostępnić publicznie inne ciekawe materiały i kod z NSA. Jakna razie na koncie znalazło się raptem 1,629 BTC, tj. niespełnatysiąc dolarów. Nie wiadomo, kiedy nastąpi koniec licytacji –większość wpłat to póki co jakieś mikropłatności.