Hacking O servidor do Equation Group pode ter sérias conseqüências para as operações da NSA e a política externa dos EUA

Demonstração do poder de um inimigo desconhecido

Vire para o prédio da NSA. Foto por Gary Cameron / Reuters

Em 13 de agosto de 2016, pessoas desconhecidas publicaram código-fonte aberto e explorações do The Equation Group e prometeram publicar outras informações recebidas do servidor invadido. É difícil superestimar a importância desse evento.

Para começar, o The Equation Group é afiliado à NSA e, presumivelmente, participou de ataques cibernéticos tecnicamente sofisticados, como infectar computadores que operam centrífugas de enriquecimento de urânio no Irã. Em 2010, o malware Stuxnet, que explorava vulnerabilidades de 0 dia no Windows, desativou de 1.000 a 5.000 centrífugas da Siemens devido a uma alteração na velocidade de rotação. Como resultado, os Jogos Olímpicos Israel-EUAfreou seriamente o programa nuclear do Irã e supostamente impediu ataques aéreos israelenses nas instalações nucleares do Irã .

O malware usado, mais tarde chamado Stuxnet , foi detectado em junho de 2010 por especialistas em antivírus da Bielorrússia que não tinham idéia do que era. O fato é que, por engano de programadores americanos ou israelenses, o vírus continuou a se espalhar para fora da área afetada e começou a desativar as instalações industriais da Siemens em outros países. Ninguém foi responsabilizado por isso.

Além do Stuxnet, o The Equation Group é creditado com a autoria de várias outras sofisticadas armas cibernéticas e spyware ofensivas, usadas para espionagem em agências governamentais de países estrangeiros e empresas comerciais. Estes são os conhecidos em círculos estreitos de especialistas em ferramentas Duqu e Flame. Como o Stuxnet, essas ferramentas foram cuidadosamente analisadas na unidade de hackers da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky Lab - talvez a melhor unidade de análise de armas cibernéticas ofensivas estrangeiras do mundo. Especialistas russos chegaram à conclusão e encontraram evidências de que esses programas têm módulos, módulos e fragmentos de código comuns, ou seja, uma ou mais equipes de autores próximas umas das outras estavam envolvidas no desenvolvimento.

As suposições de que os Estados Unidos estão por trás de ataques cibernéticos foram expressas repetidamente. E agora, o grupo de hackers Shadow Brokers ameaça fornecer evidências diretas disso.



Pessoas desconhecidas que se autodenominam grupo de hackers Shadow Brokers publicaram várias explorações e organizaram um estranho leilão no qual as apostas perdidas não são devolvidas aos participantes. O vencedor do leilão prometeu abrir todas as informações roubadas dos servidores do The Equation Group.

Tudo isso pareceria bastante suspeito e implausível, se não por algumas circunstâncias.

Em primeiro lugar, as explorações da vida real são publicadas - elas são mencionadas no catálogo de spywares da NSA, publicado por Edward Snowden em 2013. Mas esses arquivos que Snowden nunca publicou, são novas informações.

Como os primeiros resultados do teste mostraram , as explorações publicadas realmente funcionam.

O próprio Edward Snowden comentou o vazamento ontem com uma dúzia de tweets. Ele deixou claro que o hackeamento do The Equation Group realmente ocorreu (ou seja, acredita na veracidade dos Shadow Brokers). Ao mesmo tempo, Snowden publicou vários detalhes sobre como o spyware da NSA funciona, bem como as armas cibernéticas que estão sendo criadas em outros países. Ele disse que ataques direcionados são direcionados a alvos específicos e permanecem sem serem detectados por vários anos. As informações são coletadas através de servidores C2, que na prática são chamados de Exploração de Rede de Computadores de Contador ou CCNE, ou através de ORB proxy (saltos de proxy). Os países estão tentando descobrir o CCNE de seus adversários e explorar suas ferramentas. Naturalmente, nesses casos, é importante não revelar o fato de que as armas do inimigo foram descobertas para que ele continuasse a usá-las, para que você não possa remover malware de sistemas já infectados.

Edward Snowden diz que a NSA não é única nesse sentido. A inteligência de outros países está fazendo exatamente a mesma coisa.

Sabendo que o adversário está procurando e explorando o CCNE, a unidade de hackers da NSA conhecida como TAO ( Office of Tailored Access Operations ) foi instruída a não deixar os binários do programa nos servidores do CCNE, mas "as pessoas são preguiçosas" e às vezes ocorrem perfurações, diz Snowden.

Aparentemente, foi exatamente isso que aconteceu agora. Edward Snowden diz que os servidores CCNE da NSA já foram hackeados antes, mas agora uma demonstração pública ocorreu pela primeira vez. Por que o inimigo realizou tal demonstração? Ninguem sabe. Mas Edward Snowden suspeita que essa ação dos Shadow Brokers tenha mais probabilidade de ter uma explicação diplomática para escalar o conflito em torno dos recentesinvasão do Comitê Nacional Democrata dos EUA , após o qual 20.000 emails privados de políticos americanos foram publicados no Wikileaks, que revelam o aspecto desagradável dos jogos políticos.

"Evidências indiretas e bom senso indicam o envolvimento da Rússia", escreve Edward Snowden. "E é por isso que isso é importante: esse vazamento é provavelmente um aviso de que alguém poderia provar que os EUA são culpados de qualquer ataque conduzido por esse servidor CCNE em particular".


“Isso pode ter sérias conseqüências para a política externa. Especialmente se uma dessas operações foi dirigida contra os aliados dos EUA. Especialmente se estivesse relacionado com as eleições. ”

Assim, de acordo com Snowden, as ações dos Shadow Brokers são uma espécie de ataque preventivo para influenciar as ações do adversário, que agora está pensando em como reagir aos hackers do Comitê Nacional Democrata dos EUA. Em particular, alguém avisa aos americanos que a escalada do conflito será inadequada aqui, porque ele tem todos os trunfos.

Snowden acrescentou que os escassos dados disponíveis indicam que um hacker desconhecido obteve acesso a esse servidor da NSA, mas perdeu o acesso em junho de 2013. Provavelmente, a NSA simplesmente parou de usá-lo naquele momento.

Alguns especialistas também tendem a acreditar que invadir o The Equation Group não é uma farsa. Isso é evidenciado pelo comerciante independente de exploração e vulnerabilidade de 0 dia The Grugq, especialista em segurança independente, Claudio Guarnieri, que há muito tempo analisa operações de hackers conduzidas por agências de inteligência ocidentais. Dmitry Alperovich (CrowdStrike) concorda com ele. Ele acredita que os hackers "permaneceram nessa informação por anos, aguardando o momento de maior sucesso para publicação".

"Definitivamente, tudo parece real", disse Bruce Schneier, um dos conhecidos especialistas na área de segurança da informação. "A questão é: por que alguém roubou em 2013 e publicou esta semana?"

Análise de fontes publicadasOntem, especialistas da divisão GReAT da Kaspersky Lab publicaram . Eles compararam arquivos publicados com amostras de malware conhecidas anteriormente pertencentes ao The Equation Group - e encontraram fortes semelhanças entre eles. Em particular, o Equation Group usa uma implementação específica da cifra RC5 / RC6, em que a biblioteca de criptografia executa a operação de subtração com a constante 0x61C88647 , enquanto no código RC5 / RC6 tradicionalmente usado, outra outra 0x9E3779B9 é usada , ou seja, -0x61C88647 . Como a adição é mais rápida do que a subtração em alguns equipamentos, é mais eficiente armazenar a constante em um valor negativo para adicioná-la, em vez de subtrair.



A comparação encontrou centenas de partes de código semelhante entre as amostras antigas e os arquivos publicados pela Shadow Brokers.



Se Snowden estiver certo e é mais provável que as ações da Shadow Brokers sejam “diplomáticas”, o “leilão” anunciado com condições estranhas é apenas uma farsa. É necessário apenas em prol do PR, para que a história seja capturada na mídia e disseminada o mais amplamente possível. Eles duplicam todas as referências ao "leilão" em seu twitter . Lembre-se de que a Shadow Brokers prometeu dar informações ao vencedor do leilão, que pagará uma quantia irreal de 1 milhão (!) De Bitcoins, ou seja, mais de meio bilhão de dólares. Atualmente, eles receberam 15 apostas em sua carteira, totalizando 1.629 BTC. O lance máximo é de 1,5 BTC.

O repositório de exploração do The Equation Group foi removido do Github. O motivo não é que o código do malware seja publicado lá, porque as explorações de estado do mesmo The Hacking Team estão no Github há muito tempo e não são satisfatórias. O Github chama o motivo de uma tentativa de lucrar com a venda do código roubado, o que contradiz os termos do contrato de usuário do Github. Os arquivos também são excluídos do serviço de mídia do Tumblr. No entanto, as façanhas ainda estão disponíveis a partir de várias outras fontes:

» ímã :? Xt = urn: btih: 40a5f1514514fb67943f137f7fde0a7b5e991f76 & tr = http: //diftracker.i2p/announce.php
» http://dfiles.ru/files/9z6hk3gp9
» https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU
» http://95.183.9.51/
Arquivos livre (Proof): livre de eqgrp-file.tar.xz.gpg
sha256sum = b5961eee7cb3eca209b92436ed7bdd74e025bf615b90c408829156d128c7a169
gpg --output --decrypt eqgrp-free-file.tar.xz eqgrp-free-file.tar.xz.gpg
Senha para arquivo : O theequationgroup

WikiLeaks prometeu enviar arquivos em sua própria casa em breve.

O serviço de imprensa da NSA se recusou a comentar .

Source: https://habr.com/ru/post/pt396779/