Peretasan Server Equation Group dapat memiliki konsekuensi serius untuk operasi NSA dan kebijakan luar negeri AS

Demonstrasi kekuatan musuh yang tidak dikenal

Beralih ke gedung NSA. Foto oleh Gary Cameron / Reuters

Pada 13 Agustus 2016, orang tak dikenal memposting kode sumber dan eksploitasi Grup Persamaan secara terbuka dan berjanji untuk menerbitkan informasi lain yang diterima dari server yang diretas. Pentingnya acara ini sulit ditaksir terlalu tinggi.

Pada awalnya, The Equation Group berafiliasi dengan NSA dan mungkin berpartisipasi dalam serangan cyber yang canggih secara teknis, seperti menginfeksi komputer yang mengoperasikan sentrifugal pengayaan uranium di Iran. Pada 2010, malware Stuxnet, yang mengeksploitasi kerentanan 0 hari di Windows, menonaktifkan 1.000 hingga 5.000 sentrifugal dari Siemens karena perubahan kecepatan rotasi mereka. Alhasil, Olimpiade AS-Israelsecara serius merusak program nuklir Iran dan diduga mencegah serangan udara Israel pada fasilitas nuklir Iran .

Malware yang digunakan, yang kemudian disebut Stuxnet , terdeteksi pada Juni 2010 oleh para pakar anti-virus dari Belarus yang tidak tahu apa itu. Faktanya adalah, karena kesalahan programmer Amerika atau Israel, virus terus menyebar di luar daerah yang terkena dampak dan mulai menonaktifkan fasilitas industri Siemens di negara lain. Tidak ada yang bertanggung jawab atas ini.

Selain Stuxnet, Grup Persamaan dikreditkan dengan kepengarangan beberapa senjata cyber ofensif dan spyware canggih lainnya, yang digunakan untuk spionase di lembaga pemerintah negara asing dan perusahaan komersial. Ini adalah yang terkenal di kalangan sempit spesialis Duqu dan alat Flame. Seperti Stuxnet, alat-alat ini dianalisis dengan cermat di unit peretas Tim Penelitian & Analisis Global (GReAT) Kaspersky Lab - mungkin unit analisis senjata cyber ofensif terbaik di dunia. Para ahli Rusia sampai pada kesimpulan dan menemukan bukti bahwa program-program ini memiliki modul, modul, dan fragmen kode yang sama, yaitu, satu atau lebih tim penulis yang dekat satu sama lain terlibat dalam pengembangan.

Asumsi bahwa Amerika Serikat mendukung serangan cyber telah disuarakan berulang kali. Dan sekarang, kelompok peretas Shadow Brokers mengancam untuk memberikan bukti langsung tentang ini.



Orang tidak dikenal yang menyebut diri mereka kelompok peretas Shadow Brokers memposting beberapa eksploitasi dan mengorganisir pelelangan aneh di mana taruhan yang hilang tidak dikembalikan kepada para peserta. Pemenang lelang dijanjikan akan membuka semua informasi yang dicuri dari server The Equation Group.

Semua ini akan terlihat agak mencurigakan dan tidak masuk akal, jika tidak untuk beberapa keadaan.

Pertama, eksploitasi kehidupan nyata diterbitkan - mereka disebutkan dalam katalog spyware NSA, yang diterbitkan oleh Edward Snowden pada 2013. Tetapi file-file ini tidak pernah dipublikasikan Snowden, ini adalah informasi baru.

Seperti hasil tes pertama menunjukkan , eksploitasi yang diterbitkan benar-benar bekerja.

Edward Snowden sendiri mengomentari kebocoran kemarin dengan selusin tweet. Dia menjelaskan bahwa peretasan Grup Persamaan benar-benar terjadi (yaitu, percaya pada kebenaran Broker Bayangan). Pada saat yang sama, Snowden menerbitkan beberapa detail tentang cara kerja spyware NSA, serta senjata cyber yang sedang dibuat di negara lain. Dia mengatakan bahwa serangan yang ditargetkan ditujukan pada target tertentu dan tetap tidak terdeteksi selama beberapa tahun. Informasi dikumpulkan melalui server C2, yang dalam praktiknya disebut Counter Computer Network Exploitation atau CCNE, atau melalui proxy ORB (proxy hops). Negara-negara berusaha menemukan CCNE dari lawan mereka dan menjelajahi alat mereka. Secara alami, dalam kasus seperti itu, penting untuk tidak memberikan fakta bahwa senjata musuh ditemukan sehingga ia terus menggunakannya, sehingga Anda tidak dapat menghapus malware dari sistem yang sudah terinfeksi.

Edward Snowden mengatakan NSA tidak unik dalam hal ini. Kecerdasan negara-negara lain melakukan hal yang persis sama.

Mengetahui bahwa musuh sedang mencari dan menjelajahi CCNE, unit peretas NSA yang dikenal sebagai TAO ( Kantor Operasi Akses Tersesuaikan ) telah diinstruksikan untuk tidak meninggalkan program binari mereka di server CCNE, tetapi "orang malas," dan kadang-kadang terjadi tusukan, kata Snowden.

Rupanya, inilah yang terjadi sekarang. Edward Snowden mengatakan server CCNE NSA telah diretas sebelumnya, tetapi sekarang demonstrasi publik telah terjadi untuk pertama kalinya. Mengapa musuh mengadakan demonstrasi seperti itu? Tidak ada yang tahu Tetapi Edward Snowden mencurigai bahwa tindakan Broker Bayangan ini lebih cenderung memiliki penjelasan diplomatik untuk meningkatkan konflik di sekitar yang baru-baru iniperetasan Komite Nasional Demokrat AS , setelah itu 20.000 surel pribadi politisi Amerika dipublikasikan di Wikileaks, yang mengungkap permainan politik yang tidak sedap dipandang mata.

"Bukti tidak langsung dan akal sehat menunjukkan keterlibatan Rusia," tulis Edward Snowden. "Dan itulah mengapa ini penting: kebocoran ini mungkin merupakan peringatan bahwa seseorang dapat membuktikan bahwa AS bersalah atas serangan yang dilakukan dari server CCNE khusus ini."


“Ini bisa memiliki konsekuensi serius bagi kebijakan luar negeri. Apalagi jika salah satu dari operasi ini diarahkan terhadap sekutu AS. Terutama jika itu terkait dengan pemilu. "

Dengan demikian, menurut Snowden, tindakan Shadow Brokers adalah semacam serangan pendahuluan untuk mempengaruhi tindakan musuh, yang sekarang mempertimbangkan bagaimana bereaksi terhadap peretasan Komite Nasional Demokrat AS. Secara khusus, seseorang memperingatkan orang Amerika bahwa eskalasi konflik akan tidak pantas di sini, karena ia memiliki semua kartu truf.

Snowden menambahkan bahwa data langka yang tersedia menunjukkan bahwa peretas yang tidak dikenal mendapatkan akses ke server NSA ini, tetapi kehilangan akses pada Juni 2013. Mungkin, NSA berhenti menggunakannya pada saat itu.

Beberapa pakar juga cenderung percaya bahwa meretas Kelompok Persamaan bukanlah palsu. Ini dibuktikan oleh eksploitasi independen dan pedagang kerentanan 0 hari, The Grugq, seorang spesialis keamanan independen, Claudio Guarnieri, yang telah lama menganalisis operasi peretasan yang dilakukan oleh agen intelijen Barat. Dmitry Alperovich (CrowdStrike) setuju dengannya. Dia percaya bahwa peretas "duduk di informasi ini selama bertahun-tahun, menunggu momen paling sukses untuk dipublikasikan."

"Jelas, semuanya tampak nyata," kata Bruce Schneier, salah satu pakar terkenal di bidang keamanan informasi. "Pertanyaannya adalah, mengapa seseorang mencurinya pada 2013 dan menerbitkan minggu ini?"

Analisis Sumber yang DiterbitkanKemarin, para ahli dari divisi GReAT Lab Kaspersky diterbitkan . Mereka membandingkan file yang dipublikasikan dengan sampel malware yang sebelumnya diketahui milik The Equation Group - dan menemukan kesamaan kuat di antara mereka. Secara khusus, Grup Persamaan menggunakan implementasi spesifik dari cipher RC5 / RC6, di mana pustaka enkripsi melakukan operasi pengurangan dengan konstanta 0x61C88647 , sedangkan dalam kode RC5 / RC6 yang biasa digunakan, konstanta 0x9E3779B9 yang lain digunakan , yaitu -0x61C88647 . Karena penambahan lebih cepat daripada mengurangi pada beberapa peralatan, itu lebih efisien untuk menyimpan konstanta dalam nilai negatif untuk menambahkannya, daripada mengurangi.



Perbandingan tersebut menemukan ratusan keping kode serupa antara sampel lama dan file yang diterbitkan oleh Shadow Brokers.



Jika Snowden benar dan tindakan Shadow Brokers lebih cenderung menjadi "diplomatik", maka "pelelangan" yang diumumkan dengan kondisi aneh hanyalah omong kosong. Itu diperlukan hanya demi PR, sehingga kisah itu ditangkap di media dan disebar luaskan. Mereka menggandakan semua referensi ke "pelelangan" di twitter mereka . Ingat, Shadow Brokers berjanji untuk memberikan informasi kepada pemenang lelang, yang akan membayar jumlah Bitcoin 1 juta (!) Yang tidak realistis, yaitu, lebih dari setengah miliar dolar. Saat ini, mereka telah menerima 15 taruhan di dompet mereka dengan total 1.629 BTC. Tawaran maksimum adalah 1,5 BTC.

Repositori eksploitasi Grup Persamaan telah dihapus dari Github. Alasannya bukan karena kode malware diterbitkan di sana, karena eksploitasi negara dari Tim Peretasan yang sama telah lama ada di Github dan tidak memuaskan. Github menyebut alasan upaya untuk mendapatkan keuntungan dari penjualan kode curian, yang bertentangan dengan ketentuan perjanjian pengguna Github. File juga dihapus dari layanan media Tumblr. Namun, eksploitasi masih tersedia dari beberapa sumber lain:

» magnet :? Xt = urn: btih: 40a5f1514514fb67943f137f7fde0a7b5e991f76 & tr = http: //diftracker.i2p/announce.php
» http://dfiles.ru/files/9z6hk3gp9
» https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU
» http://95.183.9.51/
File gratis (Bukti): eqgrp bebas-file.tar.xz.gpg
sha256sum = b5961eee7cb3eca209b92436ed7bdd74e025bf615b90c408829156d128c7a169
gpg --output --decrypt eqgrp bebas-file.tar.xz eqgrp bebas-file.tar.xz.gpg
Password untuk arsip : theequationgroup

WikiLeaks telah berjanji untuk segera mengunggah file di rumahnya sendiri.

Layanan pers NSA menolak berkomentar .

Source: https://habr.com/ru/post/id396779/