Hackere stjæler NSA Exploit Kit og sætter det på auktion

Hackere stjæler NSA Exploit Kit og sætter det på auktion



I hvad der er en virkelig pinlig begivenhed for Amerikas signalunderretningstjeneste, fik hackere deres hænder på et massivt sæt hackingværktøjer, der tilhører NSA. Hacking-gruppen, kaldet Shadow Brokers, lagde en del af dette online gratis for at vise, at det var ægte. Nu sælger de resten.

Disse filer er den slags hackingsværktøjer med industriel styrke, som spionagefirmaer ville have solgt til NSA, dem, som NSA købte på det sorte marked, og dem, som NSA måske havde udviklet selv og med entreprenører.





Cisco Firewall eksponeret
Sættet med værktøjer inkluderer ret almindelige værktøjer til alt fra at snuse TCP-trafik til langt mere avancerede værktøjer, der udnytter nul-dagsfejl. For at huske betyder 'nul-dags-defekt' softwareproblemer, som software- eller hardwareleverandøren endnu ikke kender til. Så de kan udnyttes af hackere.

ARS Technica sagde, at NSA-softwaren udnytter huller i en Cisco-firewall. Cisco sagde, at svagheden og udnyttelsen har været der siden 2013. Efter nyheden brød Cisco ud med en patch til sit Adaptive Security Appliance. Fortinet blev også eksponeret.



nsa skyggemæglere

Og der er også mange andre bedrifter i værktøjssættet.

NSA kan have brudt loven
NSA var muligvis blevet fanget i strid med loven igen. (Forskellige bøger og nyhedshistorier har beskrevet, hvordan Bush-administrationen overtrådte Patriot Act og derefter efterfølgende udsendte ordrer og juridiske udtalelser for at give juridisk grundlag for, hvad de gjorde.)

Men hvad vi taler om her er nye love. Efter Edward Snowden-situationen udstedte præsident Obama en bekendtgørelse, der sagde, at regeringsorganer kun kunne hænge på nul-dages udnyttelse - hvilket betyder ikke at informere softwaren eller hardwareleverandøren om deres svaghed - givet specifikke situationer. Dette kunne have været en af ​​de sager, der var tilladt. Eller det kunne have været forbudt.

MIT Technology Review sagde, 'De foreslår også, at agenturet muligvis er gået imod Det Hvide Huss politik, hvornår det er rimeligt at holde mangler hemmelige.'

Efter Snowden-afsløringerne var Microsoft og andre teknologivirksomheder meget vrede over, at deres egen regering havde oplagret nul-dages udnyttelse. Det var da præsident Obama udstedte sin bekendtgørelse om at regulere sådan adfærd.

Hvordan stjal eller skaffede hackere NSA-udnyttelsessættet?
Nyhedsrapporter siger ikke, hvor hackerne har fået hacket spyware-værktøjssæt. Nogle spekulerede på, at en systemadministrator muligvis havde afsløret det ved en fejltagelse. I betragtning af tyveri af data fra Edward Snowden kunne man naturligvis tro, at der kunne være en anden person, der arbejder indvendigt. Vi ved måske aldrig, da NSA med sikkerhed vil forsøge at holde alt dette hemmeligt. Selvfølgelig ved hackerne, hvor dataene kommer fra. Måske en dag vil vi læse om det.

Efter at Edward Snowden tog flyvning med sine data, NSA indført mange interne kontroller, som at kræve, at to forskellige personer logger ind for at få adgang til en computer. Og de ville have flyttet deres data i isolerede segmenter af deres netværk og ikke lagt alt ét sted for at gøre det sværere at stjæle alle de bedste ting fra ét sted. De ville også have taget væk tæppeadgang, som systemadministratorer med rodadgang havde, hvilket Edward Snowden udnyttede.

Hvis hackere havde trængt ind i et af NSA-netværket, ville de have gjort, hvad hackere normalt gør, og sende disse data ud ved hjælp af http, sftp, ftp eller https. Men du antager, at NSA nøje vil se på, hvilke data der flyder ud af sit netværk. Disse data er krypteret, og firewalls blokerer normalt ikke udgående trafik. Men du kan antage, at NSA ville bruge man-i-midten-tilgangen til at læse trafik, der går ud. Selvom det ikke fungerer på tværs af det bredere internet, men det fungerer inde i firewallen inden for det samme domæne.

Fysisk tyveri er også muligt. Det er her, en tekniker fysisk fjerner et diskdrev. Et failover-diskarray fungerer fortsat, selv når nogen fjerner en disk. Derfor kalder de det failover. I betragtning af at russerne har hacket det demokratiske parti og senator Clintons kampagne, kunne der have været nogen, der var modige nok og kloge nok til at have gjort det. Husk, at NSA har kontorer over hele verden.

Hvor kan forskere downloade disse filer og studere dem?
Hackerne satte de stjålne udnyttelsessæt på bittorrent. Det får pr. Definition det til at sprede sig rundt om i verden. Det ville placere det uden for rækkevidde af NSA, som ville prøve at få det tilbage.

Det betyder, at enhver, der ønskede at studere dette materiale, kunne bruge et af torrent-søgeværktøjerne og en bittorrent-klient til at downloade det og læse, hvad der er hvor.

Men på det tidspunkt, vi skrev dette, kunne vi ikke finde disse filer på nogen af ​​de velkendte torrentwebsteder. Vi fandt en del af det på Github. Se nedenunder. Vi fandt det også på Dropbox, men Dropbox sagde, at så mange mennesker forsøgte at downloade det, at det midlertidigt ikke var tilgængeligt.

Hackere håner NSA og annoncerer deres salg
En meddelelse om salget af udnyttelsessættet er i gang dette websted og andre. (Det kan tages ned, når du læser dette.) Meddelelsen inkluderer en slags pressemeddelelse og link til websteder, hvor torrentfilerne kan findes og instruktioner til udpakning af udnyttelsessættene.

Deres pressemeddelelse lyder:

!!! Opmærksomhed regeringssponsorer for cyberkrigsførelse og dem, der drager fordel af det !!!!

”Hvor meget betaler du for fjendernes cybervåben? Ikke malware, du finder i netværk. Begge sider, RAT + LP, full state sponsor værktøjssæt? Vi finder cybervåben lavet af skabere af stuxnet, duqu, flame. Kaspersky kalder Equation Group. Vi følger Equation Groups trafik. Vi finder Equation Group kildesortiment. Vi hacker Equation Group. Vi finder mange mange Equation Group cybervåben. Du ser billeder. Vi giver dig nogle Equation Group-filer gratis, forstår du. Dette er godt bevis nej? Du nyder!!! Du bryder mange ting. Du finder mange indtrængen. Du skriver mange ord. Men ikke alle, vi auktionerer de bedste filer .:

Den gratis hacker-fil er eqgrp-free-file.tar.xz.gpg . Webstederne henviser også til et andet navn: EQGRP-Auction-Files.zip .

De udgiver dette kontrolsum, så folk, der downloader det, kan bevise, at det ikke er blevet manipuleret med:

sha256sum = b5961eee7cb3eca209b92436ed7bdd74e025bf615b90c408829156d128c7a169

Derefter giver de denne kommando til at dekryptere filen sammen med adgangskoden:

  • gpg --decrypt --output eqgrp-free-file.tar.xz eqgrp-free-file.tar.xz.gpg


Adgangskode = digquationgroup

De giver selvfølgelig ikke adgangskoden til den fil, de vil sælge. Det er:

  • eqgrp_auction_file.tar.xz.asc

Med kontrolsum:

ubuntu gør bootbar usb
  • sha256sum = af1dabd8eceec79409742cc9d9a20b9651058bbb8d2ce60a0edcfa568d91dbea


Pressemeddelelsen udsendes også af torrent. Her er magneten, som er den fil, du lægger i bittorrent-software for at starte download:

  • magnet:? xt = urn: btih: 40a5f1514514fb67943f137f7fde0a7b5e991f76 & tr = http: //diftracker.i2p/announce.php

Nedenfor er nogle skærmbilleder fra forskellige websteder, der viser dele af softwaren og bibliotekets filstruktur. En af disse kom endda fra Github her . Vi forestiller os, at NSA vil kontakte det firma for at bede dem om at fjerne det. Github er en platform, hvor programmeringsteam og open source-projekter beholder deres software.

katalogfilstruktur prøve 2 katalogfilstruktur prøve 1

Og her er et skærmbillede af en del af et af de mange scripts. Det ligner en pakke sniffer (bruges til at læse pakker med data, når de rejser over et netværk). Så det ligner ikke noget sofistikeret.

nsa script