Hacking Der Equation Group-Server könnte schwerwiegende Folgen für den Betrieb der NSA und die US-Außenpolitik haben

Demonstration der Macht eines unbekannten Feindes

Wenden Sie sich an das NSA-Gebäude. Foto von Gary Cameron / Reuters

Am 13. August 2016 veröffentlichten nicht identifizierte Personen den Quellcode und die Exploits von The Equation Group offen und versprachen, weitere vom gehackten Server erhaltene Informationen zu veröffentlichen. Die Bedeutung dieses Ereignisses ist schwer zu überschätzen.

Zunächst ist The Equation Group der NSA angeschlossen und hat vermutlich an technisch hoch entwickelten Cyber-Angriffen teilgenommen, beispielsweise an der Infektion von Computern, die im Iran Urananreicherungszentrifugen betreiben. Im Jahr 2010 hat die Stuxnet-Malware, die 0-Tage-Sicherheitslücken in Windows ausnutzte, 1.000 bis 5.000 Zentrifugen von Siemens aufgrund einer Änderung ihrer Rotationsgeschwindigkeit deaktiviert. Infolgedessen die US-israelischen Olympischen Spieledas iranische Atomprogramm ernsthaft gebremst und angeblich israelische Luftangriffe auf iranische Atomanlagen verhindert .

Die verwendete Malware, später Stuxnet genannt , wurde im Juni 2010 von belarussischen Antiviren-Experten entdeckt , die keine Ahnung hatten, was es war. Tatsache ist, dass sich das Virus irrtümlich von amerikanischen oder israelischen Programmierern außerhalb des betroffenen Gebiets weiter ausbreitete und begann, Siemens-Industrieanlagen in anderen Ländern zu deaktivieren. Niemand wurde dafür verantwortlich gemacht.

Neben Stuxnet wird der Equation Group die Urheberschaft mehrerer anderer hochentwickelter offensiver Cyberwaffen und Spyware zugeschrieben, die für Spionage in Regierungsbehörden im Ausland und in Handelsunternehmen eingesetzt wurden. Dies sind die in engen Kreisen der Spezialisten Duqu und Flame bekannten Werkzeuge. Wie Stuxnet wurden diese Tools in der Hacker-Abteilung des Global Research & Analysis Team (GReAT) von Kaspersky Lab - der vielleicht besten ausländischen Cyber-Waffen-Analyseeinheit der Welt - sorgfältig analysiert . Russische Experten kamen zu dem Schluss und fanden Hinweise darauf, dass diese Programme gemeinsame Module, Module und Codefragmente haben, dh ein oder mehrere nahe beieinander liegende Autorenteams waren an der Entwicklung beteiligt.

Vermutungen, dass die USA hinter Cyber-Angriffen stehen, wurden wiederholt geäußert. Und jetzt droht die Hacker-Gruppe Shadow Brokers, dies direkt zu beweisen.



Unbekannte Personen, die sich Shadow Brokers-Hacker-Gruppe nennen, haben mehrere Exploits veröffentlicht und eine seltsame Auktion organisiert, bei der verlorene Wetten nicht an die Teilnehmer zurückgegeben werden. Dem Auktionsgewinner wurde versprochen, alle von den Servern der Equation Group gestohlenen Informationen zu öffnen.

All dies hätte ohne einige Umstände eher verdächtig und unplausibel ausgesehen.

Zunächst werden reale Exploits veröffentlicht - sie werden im NSA-Spyware-Katalog erwähnt, der 2013 von Edward Snowden veröffentlicht wurde. Aber diese Dateien hat Snowden nie veröffentlicht, das sind neue Informationen.

Wie die ersten Testergebnisse zeigten , funktionieren veröffentlichte Exploits wirklich.

Edward Snowden selbst hat das Leck gestern mit einem Dutzend Tweets kommentiert. Er machte deutlich, dass das Hacken von The Equation Group tatsächlich stattgefunden hat (das heißt, er glaubt an die Richtigkeit von Shadow Brokers). Gleichzeitig veröffentlichte Snowden mehrere Details zur Funktionsweise der NSA-Spyware sowie zu den Cyberwaffen, die in anderen Ländern hergestellt werden. Er sagte, dass gezielte Angriffe auf bestimmte Ziele abzielen und mehrere Jahre lang unentdeckt bleiben. Informationen werden über C2-Server gesammelt, die in der Praxis als Counter Computer Network Exploitation oder CCNE bezeichnet werden, oder über Proxy-ORB (Proxy-Hops). Die Länder versuchen, die CCNE ihrer Gegner zu entdecken und ihre Werkzeuge zu erkunden. In solchen Fällen ist es natürlich wichtig, nicht die Tatsache preiszugeben, dass die Waffen des Feindes entdeckt wurden, damit er sie weiterhin verwendet, damit Sie Malware nicht von bereits infizierten Systemen entfernen können.

Edward Snowden sagt, dass die NSA in dieser Hinsicht nicht einzigartig ist. Die Geheimdienste anderer Länder tun genau das Gleiche.

In dem Wissen, dass der Gegner CCNE sucht und erforscht, wurde die Hacker-Einheit der NSA, bekannt als Office of Tailored Access Operations (TAO ), angewiesen, ihre Programm-Binärdateien nicht auf CCNE-Servern zu belassen, aber "Leute sind faul", und manchmal kommt es zu Pannen, sagt Snowden.

Anscheinend ist genau das jetzt passiert. Edward Snowden sagt, dass die CCNE-Server der NSA schon früher gehackt wurden, aber jetzt hat zum ersten Mal eine öffentliche Demonstration stattgefunden. Warum hat der Feind eine solche Demonstration abgehalten? Niemand weiß es. Aber Edward Snowden vermutet, dass diese Aktion von Shadow Brokers eher eine diplomatische Erklärung für die Eskalation des Konflikts um die jüngste Zeit hatHacking des US Democratic National Committee , wonach 20.000 private E-Mails amerikanischer Politiker auf Wikileaks veröffentlicht wurden, die das unansehnliche Innere politischer Spiele enthüllen.

"Indirekte Beweise und gesunder Menschenverstand weisen auf Russlands Engagement hin", schreibt Edward Snowden. "Und deshalb ist dies wichtig: Dieses Leck ist wahrscheinlich eine Warnung, dass jemand beweisen könnte, dass die USA an Angriffen von diesem bestimmten CCNE-Server schuld sind."


„Dies könnte schwerwiegende Folgen für die Außenpolitik haben. Besonders wenn eine dieser Operationen gegen die US-Verbündeten gerichtet war. Besonders wenn es mit den Wahlen verbunden war. “

Laut Snowden sind die Aktionen von Shadow Brokers eine Art Präventivschlag, um die Aktionen des Gegners zu beeinflussen, der nun überlegt, wie er auf das Hacken des US Democratic National Committee reagieren soll. Insbesondere warnt jemand die Amerikaner, dass die Eskalation des Konflikts hier unangemessen sein wird, weil er alle Trumpfkarten hat.

Snowden fügte hinzu, dass die knappen verfügbaren Daten darauf hindeuten, dass ein unbekannter Hacker zwar Zugriff auf diesen NSA-Server erhalten hat, im Juni 2013 jedoch den Zugriff verloren hat. Wahrscheinlich hat die NSA in diesem Moment einfach aufgehört, es zu benutzen.

Einige Experten neigen auch dazu zu glauben, dass das Hacken von The Equation Group keine Fälschung ist. Dies zeigt der unabhängige Exploit- und 0-Tage-Schwachstellenhändler The Grugq, ein unabhängiger Sicherheitsspezialist, Claudio Guarnieri, der seit langem Hacking-Operationen westlicher Geheimdienste analysiert. Dmitry Alperovich (CrowdStrike) stimmt ihm zu. Er glaubt, dass Hacker "jahrelang auf diesen Informationen saßen und auf den erfolgreichsten Moment für die Veröffentlichung warteten".

"Auf jeden Fall sieht alles echt aus", sagte Bruce Schneier, einer der bekanntesten Experten auf dem Gebiet der Informationssicherheit. "Die Frage ist, warum jemand es 2013 gestohlen und diese Woche veröffentlicht hat."

Analyse veröffentlichter QuellenGestern haben Experten der GReAT-Abteilung des Kaspersky Lab veröffentlicht . Sie verglichen veröffentlichte Dateien mit zuvor bekannten Malware-Beispielen von The Equation Group - und fanden starke Ähnlichkeiten zwischen ihnen. Insbesondere verwendet die Gleichungsgruppe eine spezifische Implementierung der RC5 / RC6-Verschlüsselung, wobei die Verschlüsselungsbibliothek die Subtraktionsoperation mit der Konstante 0x61C88647 ausführt , während in dem traditionell häufig verwendeten RC5 / RC6-Code eine andere Konstante 0x9E3779B9 verwendet wird , d . H. -0x61C88647 . Da das Addieren bei einigen Geräten schneller ist als das Subtrahieren, ist es effizienter, die Konstante in einem negativen Wert zu speichern, um sie zu addieren, als zu subtrahieren.



Der Vergleich ergab Hunderte von ähnlichen Code-Teilen zwischen den alten Beispielen und den von Shadow Brokers veröffentlichten Dateien.



Wenn Snowden Recht hat und die Aktionen von Shadow Brokers eher "diplomatisch" sind, dann ist die angekündigte "Auktion" mit seltsamen Bedingungen nur eine Täuschung. Es wird nur für PR benötigt, damit die Geschichte in den Medien festgehalten und so weit wie möglich verbreitet wird. Sie duplizieren alle Verweise auf die „Auktion“ auf ihrem Twitter . Erinnern wir uns, Shadow Brokers versprach, dem Gewinner der Auktion Informationen zu geben, der einen unrealistischen Betrag von 1 Million (!) Bitcoins zahlen wird, dh mehr als eine halbe Milliarde Dollar. Derzeit haben sie 15 Wetten in ihrer Brieftasche für insgesamt 1.629 BTC erhalten. Das Höchstgebot beträgt 1,5 BTC.

Das Exploitation-Repository von The Equation Group wurde aus Github entfernt. Der Grund ist nicht, dass der Malware-Code dort veröffentlicht wird, da staatliche Exploits desselben. Das Hacking-Team ist seit langem auf Github und nicht zufriedenstellend. Github nennt den Grund einen Versuch, vom Verkauf des gestohlenen Codes zu profitieren, was den Bestimmungen der Github-Benutzervereinbarung widerspricht. Dateien werden auch aus dem Tumblr-Mediendienst gelöscht. Allerdings sind die Taten von mehreren anderen Quellen noch verfügbar sind:

» Magnet :? Xt = urn: btih: 40a5f1514514fb67943f137f7fde0a7b5e991f76 & tr = http: //diftracker.i2p/announce.php
» http://dfiles.ru/files/9z6hk3gp9
» https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU
» http://95.183.9.51/
Dateien kostenlos (Proof): eqgrp-Frei file.tar.xz.gpg
sha256sum = b5961eee7cb3eca209b92436ed7bdd74e025bf615b90c408829156d128c7a169
gpg --output --decrypt eqgrp-Frei file.tar.xz eqgrp-Frei file.tar.xz.gpg
Passwort für Archiv : theequationgroup

WikiLeaks hat versprochen, bald Dateien in sein eigenes Zuhause hochzuladen.

Der Pressedienst der NSA lehnte eine Stellungnahme ab .

Source: https://habr.com/ru/post/de396779/