The Shadow Brokers to grupa hakerów, o których wiadomo, że ujawnili w 2016 roku narzędzia szpiegowskie, między innymi Equation Group , jednostkę hakerską powiązaną z Narodową Agencją Bezpieczeństwa (NSA).
Plik 13 sierpnia 2016, The Shadow Brokers , dotąd nieznany, udostępnia do bezpłatnego pobrania serię programów szpiegowskich i hakerskich, które, jak twierdzi, ukradły z Equation Group , elitarnej jednostki hakerskiej, która działa od co najmniej 2000 roku w imieniu NSA, amerykańska agencja wywiadowcza odpowiedzialna m.in. za inwigilację i szpiegostwo w Internecie. Zbiorowa publikuje te dane na Tumblr , GitHub i Pastebin (trzy bardzo popularne sieci społecznych i fora) i upublicznia cały pośrednictwem swojego Twittera koncie (@shadowbrokerss) z serii tweetów skierowana do dużych amerykańskich gazet i kanałów telewizyjnych.. W komunikacie towarzyszącym cyberbroni grupa stwierdza, że to tylko część posiadanych przez nią programów i że „najlepsza broń komputerowa” jest sprzedawana na aukcji za milion bitcoinów , czyli 568 milionów dolarów.
Plik 15 sierpnia, Konto Shadow Brokers GitHub jest zamknięte. Następnego dnia konto Tumblr zostanie usunięte. To samo dzieje się wkrótce potem z kontem Pastebin.
Plik 16 sierpnia, rosyjska firma zajmująca się bezpieczeństwem komputerowym Kaspersky Lab , która wcześniej pracowała w Equation Group , ogłasza, że porównała pliki dostarczone przez The Shadow Brokers z programami podejrzanych hakerów z NSA, których jest właścicielem, i stwierdza, że mają one „wspólne i rzadkie cechy” których sfałszowanie jest „wysoce nieprawdopodobne”.
Plik 19 sierpnia, W miejscu przecięcia z osią , specjalizujący się w publikacji śledztw globalnego nadzoru przez Stany Zjednoczone i objawień Edward Snowden , potwierdza autentyczność plików: wspomina narzędzi opublikowanych przez cień Brokers pojawiają się w dokumentach, które były pracownik NSA i demaskator Edward Snowden ujawnił w 2013 roku, a którego kopię znajduje się na stronie.
1 st października, konto Twitter cieniu Brokers, którzy dali żadnych oznak aktywności od13 sierpnia, wznawia tweetowanie z linkiem prowadzącym do nowej wiadomości opublikowanej na forach Reddit i na platformie blogowej Medium , w której kolektyw odpowiada na pytania, w szczególności o to, jak działają aukcje cyberbroni. Nie ma jednak żadnych aluzji do Harolda T. Martina, pracownika podwykonawcy NSA oskarżonego o kradzież znacznej ilości danych, ani do założeń, które czynią go źródłem The Shadow Brokers.
Plik 15 października, wciąż za pośrednictwem Twittera, grupa ogłasza nową wiadomość, opublikowaną w serwisach Pastebin, Reddit i Medium, w której informuje, że aukcje się zakończyły, ale jeśli zostanie osiągnięta kwota 10000 Bitcoinów (czyli 7 mln USD), broń dostępna do bezpłatnego pobrania. Przesłaniu towarzyszy dialog parodii między byłym prezydentem Stanów Zjednoczonych Billem Clintonem i sekretarzem sprawiedliwości administracji Obamy a prokuratorem generalnym Stanów Zjednoczonych Loretta Lynch , znanym jako „ Rozmowa samolotowa z Billem Clintonem i Lorreta Lynch w Arizonie ”. Rozmowa dotyczy nieoczekiwanego spotkania, zdaniem bohaterów, męża demokratycznej kandydatki na prezydenta Stanów Zjednoczonych, Hillary Clinton i ministra sprawiedliwości w sprawie27 czerwcana lotnisku w Phoenix , Arizona .
Plik 31 października, The Shadow Brokers opublikowali na Twitterze publikację nowych informacji o NSA na Medium i Reddicie w wiadomości zatytułowanej „ Trick or Treat?” „(Formuła używana do otrzymywania smakołyków w Halloween oznacza„ Przysmaki czy zaklęcie? ”). Po wygłoszeniu przemówienia na temat wyborów prezydenckich w Stanach Zjednoczonych w 2016 roku , siły nabywczej, cyfrowej wojny i walki klasowej , The Shadow Brokers udostępnił archiwum. Opublikowany zbiór danych zawiera kilkaset nazw domen i adresów IP zlokalizowanych na całym świecie, które rzekomo zostały zhakowane przez NSA.
Plik 14 grudnia, The Shadow Brokers publikuje pod pseudonimem Boceffus Cleetus artykuł na Medium zatytułowany „Czy Shadow Brokers sprzedaje exploity NSA na ZeroNet?” ” . Ten alias, który ma konto na Twitterze (@cleetusbocefus) i twierdzi, że jest faszystą , prowadzi do strony zdecentralizowanej platformy internetowej ZeroNet i sugeruje, że wycieki danych są powiązane z waśniami między agencjami między CIA a NSA. Witryna, o której mowa, oferuje listę cyberbroni na sprzedaż, z możliwością zakupu całego pakietu za 1000 Bitcoinów (780 000 USD). Witryna oferuje odwiedzającym możliwość pobrania plików związanych z każdą sprzedawaną usługą, przy czym ta ostatnia jest podpisana kluczem PGP odpowiadającym śladowi Shadow Brokers.
Plik 15 grudnia, The Shadow Brokers odpowiada na prośbę o wywiad, którą strona Motherboard wysłała im od sierpnia, krótką wiadomością:
„Handlarze Cieni nie zostali aresztowani. Handlarze Cieni nie są nieodpowiedzialnymi przestępcami. Handlarze Cieni są oportunistami. Handlarze Cieni dali „odpowiedzialnym stronom” możliwość właściwego postępowania. Tak nie było. To nie są ludzie odpowiedzialni. Handlarze Cieni zasłużyli na nagrodę za podjęcie ryzyka, więc prosimy o pieniądze. Ryzyko nie jest darmowe. Nasza postawa to zmyślenie , a nie oszustwo. "
Plik 12 stycznia 2017 r, The Shadow Brokers ogłasza na swojej stronie ZeroNet zaprzestanie swojej działalności, wyjaśniając, że staje się to zbyt ryzykowne i nie jest wystarczająco dochodowe, jednocześnie zaznaczając, że jego oferta pozostaje aktualna. Według danych z eksploratora bloków Bitcoin, Blockchain Info, grupa hakerów otrzymała nieco ponad 10 Bitcoinów, rozłożonych na 72 transakcje. Jednak „przed opuszczeniem” grupa przesłała archiwum 61 plików zawierających nie narzędzia hakerskie, ale implanty. Według analizy Matta Suiche'a, badacza cyberbezpieczeństwa, archiwum jest stare i mało interesujące, ponieważ zostało już wykryte przez program antywirusowy Kaspersky Lab.
Plik 8 kwietnia, Shadow Brokeers, mówiąc, że są rozczarowani polityką niedawno wybranego prezydenta Stanów Zjednoczonych Donalda Trumpa (w szczególności amerykański strajk na Syrię po masakrze Chana Szejkhouna z 4 kwietnia 2017 r. ), pojawiają się ponownie, publikując post na blogu Medium, w którym w szczególności wyjaśniają swoje stanowisko wobec Rosji, mówiąc, że nie mają szczególnej sympatii dla prezydenta Władimira Putina, ale że nacjonalizm rosyjskiego przywódcy jawi się im jako atut przeciw socjalizmowi i globalizmowi , które „uważają za swój wrogowie. Ich forum kończy się dostępem do archiwum zawierającego między innymi listę 900 serwerów należących do firm i uniwersytetów, do których NSA włamałaby się jako przynęta podczas przeprowadzania cyberataków, a także dokumenty wskazujące, że Usługa przesyłania wiadomości CaraMail została przejęta przez amerykańską agencję w 2001 roku. Według badacza cyberbezpieczeństwa Matthew Hickeya z firmy My Hacker House, te rewelacje świadczą o wysokim poziomie kompromitacji serwerów Solaris przez NSA.
Plik 14 kwietnia, grupa hakerów ujawnia nowy zestaw narzędzi skradzionych z NSA. Pierwsza część archiwum zawiera narzędzia służące do szpiegowania sieci międzybankowej SWIFT . To odkrycie pojawiło się kilka miesięcy po cyber-napadzie na bank centralny Bangladeszu za pośrednictwem sieci SWIFT, dokonanym przez północnokoreańską grupę hakerów Lazarus, według naukowców zajmujących się cyberbezpieczeństwem w Symantec . Druga część archiwum zawiera exploity związane z Windows i Windows Server. Tego samego dnia Microsoft deklaruje, że naprawił błędy wykorzystywane przez te exploity, przez kilka lat, a przez inne od niedawna, jak na przykład wada EternalBlue , którą załatano na miesiąc przed ujawnieniem archiwum.
Geneza, niejasne motywacje i szczególny kontekst, w którym The Shadow Brokers ujawnili swoje rewelacje ( włamanie się do Partii Demokratycznej podczas wyborów prezydenckich i publikacje WikiLeaks na temat tajnych służb) pokazują, że w grupie tkwi siła dużej destabilizacji, jak świadczą o tym kryzysów związanych z NotPetya i WannaCry cyberatakami .
Nazwa kolektywu nawiązuje do postaci z serii gier wideo Mass Effect . W tym uniwersum science fiction jest to istota pozaziemska na czele ogromnej organizacji, która negocjuje informacje, zawsze sprzedając ją temu, kto zaoferuje najwyższą cenę. Na początku 2017 r. Tożsamość hakera lub członków grupy hakerów jest nadal nieznana, nawet jeśli krążą hipotezy. W ten sposób informator i były pracownik NSA Edward Snowden broni i wyjaśnia w serii tweetów hipotezę, że za The Shadow Brokers stoi Rosja.
Zeznając anonimowo w witrynie Motherboard, byli agenci NSA powiedzieli, że uważają, że najbardziej prawdopodobną hipotezą będzie „jeden facet, jeden wewnętrzny”, ponieważ pracownikowi byłoby znacznie łatwiej ukraść te dane (tak jak Snowden w 2013 r. ) niż uzyskanie go przez osobę z zewnątrz, głównie dlatego, że niektóre pliki zawarte w pierwszej publikacji The Shadow Brokers „były dostępne tylko od wewnątrz” , ponieważ były przechowywane na maszynie fizycznie odizolowanej od sieci (środek bezpieczeństwa znany jako szczelina powietrzna ). Obalają „99,9%” pogląd, że za tym naruszeniem danych stoi Rosja.
Gruby angielski z często błędną gramatyką, który charakteryzuje posty The Shadow Brokers, wzbudził zainteresowanie dyrektora programu magisterskiego z nauk o danych w Illinois Institute of Technology , Shlomo Argamona, który według swoich analiz lingwistycznych stwierdził, że autor książki te wiadomości (zakładając, że jest tylko jeden) prawdopodobnie byłyby osobą mówiącą po angielsku, próbującą podszyć się pod kogoś, kto nie ma angielskiego jako przedszkola językowego, logicznie, aby spróbować zatrzeć ślady, zwracając uwagę śledczych na Rosję.
Plik 5 październikaDepartament Sprawiedliwości Stanów Zjednoczonych ogłasza aresztowanie Harolda Thomasa Martina III (w środku ) , podejrzanego o kradzież danych objętych klauzulą „ściśle tajne”, gdy pracował dla podwykonawcy NSA, Booz Allen Hamilton . Kilku ekspertów stawia hipotezę o powiązaniu Harolda Martina z The Shadow Brokers.
Plik 20 październikaprokuratorzy prowadzący sprawę wyjaśniają w oficjalnym dokumencie, że jest to równowartość 50 terabajtów danych i tysięcy stron dokumentów, z których część oznaczona jest jako „Tajne” lub „Ściśle Tajne”, które zostały zajęte w domu Harold T. Martin.
Plik 15 grudnia, grupa odpowiedziała na prośbę strony Motherboard o wywiad krótką wiadomością zaprzeczającą oskarżeniom, jakoby to Hal Martin był źródłem hakerów.
Analiza plików do pobrania związanych z każdą usługą sprzedawaną na stronie The Shadow Brokers 'ZeroNet przez badaczy cyberbezpieczeństwa firmy Flashpoint doprowadziła ich do wniosku, że z pewnością pochodzą one z wewnętrznej hurtowni danych w NSA i prawdopodobnie pracownik lub podwykonawca, który miał do niego dostęp. Ponadto obalają hipotezę, że Brokerzy Cieni porwali jeden z serwerów NSA, argumentując, że pozostawienie swojego arsenału na podatnym urządzeniu nie miałoby sensu.
Wykorzystać to luka, która umożliwia osobie atakującej uzyskanie dostępu do systemu komputerowego, dane wyciągu lub wdrożyć implantu / narzędzia. Z drugiej strony implant odnosi się do złośliwego oprogramowania zainstalowanego na zaatakowanym urządzeniu. Wreszcie, narzędzie reprezentuje oprogramowanie, które może wdrażać wiele implantów, a także exploity.
Narzędzia publikowane przez The Shadow Brokers zawierają zestawy implantów, exploitów i narzędzi do hakowania zapór ogniowych , w tym od dostawców Cisco Systems i Fortinet . Ta ostatnia szybko udostępniła łaty po ogłoszeniu, że opublikowane pliki zawierają luki typu zero-day , czyli wady, których nigdy wcześniej nie odkryto. W sumie pierwsze pliki przesłane przez The Shadow Brokers, z których najnowsze pochodzą z 2013 roku, zawierają piętnaście kodów eksploatacyjnych .
Narzędzie SECONDDATE, które pojawiło się już w rewelacjach Edwarda Snowdena w 2013 roku, jest przeznaczone do przechwytywania żądań internetowych, a następnie przekierowywania ich na serwer sieciowy NSA, który z kolei infekuje te komputery. Według The Intercept, narzędzie to zainfekowałoby miliony komputerów na całym świecie. W oparciu o niepublikowane dotąd dokumenty dostarczone przez Edwarda Snowdena, The Intercept był w stanie potwierdzić autentyczność plików The Shadow Brokers. Dziennik wspomina o ciągu znaków służących jako identyfikator SECONDDATE z instrukcji implementacji złośliwego oprogramowania.
Eksploit EGREGIOUSBLUNDER wykorzystuje lukę „zdalnego wykonania kodu” w zaporach Fortinet Fortigate, poprzez przepełnienie bufora w plikach cookie HTTP.
Exploit ESCALATEPLOWMAN to skrypt w języku programowania Python , przeznaczony do wykonywania wstrzyknięć poleceń w systemach sprzedawanych przez RapidStream, firmę przejętą przez firmę zajmującą się cyberbezpieczeństwem WatchGuard w 2002 roku. Ten exploit umożliwia atakującemu odzyskanie i zniszczenie uruchomienia pliku z Internetu. Wydawca WatchGuard wyjaśnił, że tylko sprzęt RapidStream, ze swojej specyfiki, jest podatny na ten atak.
Pierwszy z trzech opublikowanych plików zawiera tylko wiadomość dotyczącą domniemanego korupcji wyborów w USA w 2016 r. Drugi, „trickortreat.tar.xz.gpg”, to zaszyfrowany plik GNU Privacy Guard otwarty z dostarczonym kluczem „payus” autorstwa The Shadow Brokers. Ten ostatni składa się z dwóch plików o nazwach PITCHIMPAIR i INTONATION.
Podfoldery, analizowane przez dwóch specjalistów od cyberbezpieczeństwa , Jennifer Arcuri i Matthew Hickeya, są identyfikowane za pomocą nazwy domeny i adresu IP dla łącznie 352 oddzielnych adresów IP 306 nazw domen, które według The Shadow Brokers zostały zhakowane przez Equation Group a następnie używany do przeprowadzania cyberataków na rzeczywiste cele NSA.
Na podstawie dat plików, serwery były kierowane między 22 sierpnia 2000 i 18 sierpnia 2010. Ataki miały miejsce w 49 krajach, z których najbardziej wymierzone są w regionie Azji i Pacyfiku . Docelowe adresy obejmują dziewięć domen .gov i trzydzieści dwie domeny .edu.
We Francji kilka domen na liście należy do operatora Colt . Trzy inne są połączone z siecią Uniwersytetu Genewskiego . Skontaktowała się z gazetą internetową Switzerland Watson, firma Switch, która zarządza siecią między szwajcarskimi szkołami średnimi a uniwersytetami (w tym genewską), potwierdziła te informacje. Podkreśla, że zauważyła, że w latach 2001–2003 problem dotyczył trzech serwerów Uniwersytetu Genewskiego, ale dwa nie były aktywne od 2009 r., A trzeci nie jest dostępny z zewnątrz.
Publikacja zawiera również inne dane, w tym konfiguracje zestawu narzędzi, który był używany do hakowania serwerów z systemami operacyjnymi Unix . Na kilku z tych zagrożonych serwerów działały Linux , FreeBSD i Solaris , popularny system operacyjny w pierwszej dekadzie XXI wieku.
Po raz pierwszy od rewelacji Edwarda Snowdena w 2013 r. Ujawniono konkretne przykłady zasięgu globalnego nadzoru prowadzonego przez NSA, które dają wgląd w to, jak złożone systemy opisane w dokumentach Snowdena wyglądają, gdy „są rozmieszczone w prawdziwym świecie”.
Publiczny skład exploita EternalBlue autorstwa The Shadow Brokers jest źródłem dwóch głównych cyberataków, w tym najwyższego okupu piractwa w historii Internetu , WannaCry i NotPetya .