NSA-Tools werden jetzt einzeln verkauft

Mit einem der NSA-Exploits können Sie Verschlüsselungsschlüssel und VPN-Kennwörter von Cisco-Geräten abrufen. Screenshot : Maxim Zaitsev

Die Shadow Brokers-Gruppe wurde im August 2016 berühmt, als sie eine Reihe von Exploits und anderen NSA-Tools zur öffentlichen Anzeige stellte. Vertreter von The Shadow Brokers erklärten, dass sie den Bericht der Hacker-Abteilung von GReAT studiert hätten(Kaspersky Labs Global Research & Analysis Team) widmet sich den Aktivitäten der Equation Group, einer Cyber-Waffen-Intelligenz-Entwicklungseinheit für Cyberwaffen, die hinter so hoch entwickelten Malware-Beispielen wie Stuxnet, Duqu, Flame steht. Russische Experten analysierten den Quellcode und fanden Hinweise darauf, dass alle diese Programme für industrielle Sabotage- und Geheimdienstoperationen von einer Gruppe von Programmierern oder mehreren Gruppen geschrieben wurden, die miteinander zusammengearbeitet haben.

Aber Hacker von Kaspersky Lab konnten das Gesetz nicht brechen und den Feind knacken. Zumindest konnten sie dies nicht offen in ihrem eigenen Namen tun, da solche Handlungen gegen eine Reihe von Gesetzen und internationalen Abkommen verstoßen.

All dies wurde von der anonymen Gruppe The Shadow Brokers durchgeführt. Sie verfolgte den Verkehr der Equation Group und stellte fest, dass die Aktivitäten der Equation Group wahrscheinlich von der US National Security Agency koordiniert wurden.



Wie im Fall der „russischen Spur“ beim Hacken der Postfächer amerikanischer Politiker gibt es rechtlich keine Hinweise auf ihre Beteiligung. Grob gesagt haben diese Exploits keine digitale Signatur der NSA. Das heißt, formal können wir der NSA nicht direkt die Schuld geben, aber es ist Fachleuten völlig klar, dass niemand sonst über so viele Ressourcen verfügt, um solch fortschrittliche Tools zu erstellen und über eine Reihe von 0-Tage-Schwachstellen zu verfügen, die niemand sonst kennt. Nur eine Ausschlussmethode - niemand außer der NSA.

Nach dieser Veröffentlichung haben Cisco und andere Unternehmen die 0-Tage-Sicherheitslücken , über die jetzt jeder Bescheid weiß, schnell geschlossen .

Screenshots des Archivs mit Dateien, die von der NSA abgerufen wurden

Kaspersky Lab erstellte umgehend einen Bericht mit dem Nachweis, dass diese Exploits definitiv mit anderen Tools der Gleichungsgruppe (Stuxnet und andere) zusammenhängen.

Das Hacken der NSA ist natürlich die größte Errungenschaft. In der Tat ist dies die Höhe der Hacking-Fähigkeiten. Danach können Sie sich Ihr ganzes Leben lang auf Ihren Lorbeeren ausruhen und Ihren Kindern und Enkeln von Ihren Heldentaten erzählen. Natürlich, um einen Staatspreis zu erhalten, wenn auch formell aus einem anderen Grund.

Nach der Crowdfunding-Auktion über The Shadow Brokers war nichts zu hören. Es schien, dass die Jungs ihren Job gemacht haben und gegangen sind. Wahrscheinlich war die Crowdfunding-Auktion für Exploits nur ein Cover, wie der rumänische Hacker Guccifer, der die Verantwortung für das Brechen der Postfächer amerikanischer Politiker übernahm. Außerdem veranstalten professionelle Mörder einen Raubüberfall auf eine Wohnung, um die wahren Motive des Auftragsmordes nicht preiszugeben. Also, ein paar Bitcoins gesammelt hat im Oktober The Shadow Brokers aus dem Blickfeld verschwunden und blieb Online - Kommunikation.

Aber am 13. Dezember hat jemand unter dem Namen Boceffus Cleetus einen Beitrag gepostetAuf der Medium-Blogging-Plattform werden Exploits noch zum Verkauf angeboten. Dieser Mann mit einem Avatar von der US-Flagge mit Hakenkreuzen anstelle von Sternen gesteht seine Liebe zum Faschismus und nennt sich selbst keinen Sicherheitsexperten, sondern einen „ZeroNet-Enthusiasten“. Er habe versehentlich eine Site im anonymen dezentralen ZeroNet-Netzwerk entdeckt, auf der noch NSA-Exploits verkauft werden.

ZeroNet ist ein verteiltes Netzwerk, das unabhängig von zentralem Hosting ist. Auf Ihrem Gerät wird ein Python-Server gestartet, der eine Verbindung zu demselben Benutzer wie Sie herstellt und Port 43110 unter 127.0.0.1 überwacht, auf den Sie mit Ihrem Browser zugreifen müssen. "Unter der Haube" werden Bittorrent-, Bitcoin- und DHT-Technologien verwendet. Wie ZeroNet funktioniert, wie Sie eine Verbindung zu Websites herstellen und Ihre Inhalte in einem verteilten Netzwerk veröffentlichen - lesen Sie den Artikel über Habré.

Ein bestimmter Boceffus Cleetus nannte die Website theshadowbrokers.bit (Link über Zero-Proxy), auf der NSA-Exploits noch zum Verkauf stehen. Diesmal werden sie nicht als Ganzes, sondern separat verkauft.



Eine Erklärung wurde auf der Website im Auftrag von The Shadow Brokers veröffentlicht. Sie schreiben, dass sie Crowdfunding versucht haben, aber die Leute zeigten nicht viel Aktivität. Daher werden sie jetzt Exploits direkt verkaufen.

Alle Produkte sind im Katalog auf der Website aufgeführt und mit „Lesezeichen“ (Implantat), „Trojaner“ oder „Exploit“ gekennzeichnet. Die Kosten variieren zwischen 1 und 100 Bitcoins. Das gesamte Paket kann mit einem Rabatt von 1000 BTC (ca. 770.000 USD) gekauft werden.

Um einen Kauf zu tätigen, müssen Sie eine Nachricht mit dem Namen Varese zum Kauf senden. Als Antwort schreiben sie eine Bitcoin-Adresse, an die das Geld überwiesen werden soll. Nach der Transaktion sendet The Shadow Brokers einen Link zum Herunterladen der Datei und ein Kennwort zum Entschlüsseln des Archivs.

Die Site hat Screenshots aller Dateien aus dem NSA-Exploit-Archiv veröffentlicht. Die Screenshot-Datei ist mit der echten Signatur von The Shadow Brokers von demselben PGP-Schlüssel signiert , den sie zuvor verwendet haben. Beim Senden versprechen sie außerdem, alle Dateien mit ihrer Signatur zu signieren.

Die Kontaktinformationen zum Senden von Nachrichten mit Angabe der gewünschten Ware und Brieftasche lauten wie folgt:

ZeroMail: theshadowbrokers@zeroid.bit
BitMessage: BM-NBvAHfp5Y6wBykgbirVLndZtEFCYGht8
Bitcoin: 19BY2XCgbDe6WtTVbTyzM9eR3LYr6VitWK

Es ist nicht klar, was dies alles bedeutet, aber der Benutzer Boceffus Cleetus fordert eine „Spende“ an das „New American Empire“ für seine Bitcoin-Brieftasche.

Source: https://habr.com/ru/post/de399963/