Kauza Shadow Brokers ~ co nám prozradily úniklé hacking nástroje z dílny NSA (Equation Group)

Minulý týden jsme z technických důvodů nevydávali nové aktuality, to však neznamená, že se nic zajímavého nestalo. Právě naopak. Anonymní skupina zvaná Shadow Brokers postupně zveřejnila hesla k dvěma archivům z leaku NSA. První z archivů obsahoval převážně historické exploity na linux, ten druhý naopak velmi nebezpečné exploity na Windows.

Hackerská skupina The Shadow Brokers, se proslavila koncem roku 2016 zejména anonymní aukcí hacking nástrojů a špionážních dat z americké NSA (National Security Agency). Data údajně patřila týmu "Equation Group", který stojí za útočnými hacking operacemi NSA.

Shadow Brokers během aukce zveřejnily screenshoty a názvy exploitů, které bylo možné najít v uniklých dokumentech Edwarda Snowdena. Nebylo však možné posoudit, zda uniklé nástroje opravdu pocházejí z dílny NSA a aukce skončila bez téměř žádných příhozů. Mnoho lidí si tehdy myslelo, že se jedná o hoax, falešný a naivní pokus jak vydělat bitcoiny.

K překvapení všech se téměř po půl roce skupina Shadow Brokers znovu ozvala; a to v otevřeném dopise adresovaném americkému prezidentovi Donaldu Trumpovi. Dopis začíná slovy:
Dear President Trump,
Respectfully, what the fuck are you doing? TheShadowBrokers voted for you. TheShadowBrokers supports you. TheShadowBrokers is losing faith in you.
Dopis byl publikován 8. dubna ze stejného účtu, jako předchozí pokusy o aukci. Na konci bylo zveřejněno heslo k archivu "EQGRP-Auction-Files", který se pravděpodobně nepodařilo prodat. Jedná se o cca 300MB souborů, převážně Linux exploitů, které jsou z větší části datované mezi roky 1999 - 2003.

Můžeme zde najít RCE exploity na Sun Solaris 2, čínský Red Flag Linux, nástroj pro čištění Unix logů (TOAST framework), ElectricSlide tool, který se maskuje za čínský prohlížeč, webové exploity na populární phpBB fórum a spoustu dalších "hraček".

Mimo hacking nástrojů leak obsahuje také informace o špionážních kampaních, tak se můžeme například dozvědět, že NSA pronikla do sítě pakistánského mobilního operátora (Pakistan Mobilink GSM network).

Dále je možné najít informace o více než 900 napadených serverech z celého světa (Unix backdoor PITCHIMPAR a INTONATION), které sahají od roku 2000 až do 2010. K průniku do těchto serverů byly pravděpodobně použity zveřejněné nástroje. Jedná se zejména o domény z Ruska, Japonska, Číny, ale najdeme zde i evropské cíle, jako Německo a Polsko.

Všem došlo, že aukce byla reálná a znovu se začalo spekulovat, kdo stojí za pseudonymem The Shadow Brokers. Podle některých názorů se znovu jedná o únik informací zevnitř NSA, více specialistů se přiklání k teorii, že se jedná o tým s vazbami na Rusko. Podle všeho mohlo dojít k prolomení útočného serveru a následného odcizení nástrojů, které zde někdo zapomněl při jedné z operací.
14. dubna se ale oficiální Twitter účet @shadowbrokerss znovu ozval. Na Velký pátek před Velikonocemi zaslali nevinně vypadající odkaz na článek zvaný "Lost in Translation". Byly zveřejněny hesla k archivu, který byl ještě začátkem roku k prodeji za 650 bitcoinů (k dnešnímu dni cca 19 milionů Kč). Podle Chaouki Bekrar, zakladatele společnosti Zerodium, specializující se zejména na nákup a prodej 0day exploitů, mohla být výsledná suma za prodej jednotlivých nástrojů na černém trhu až 2 miliony dolarů (cca 50 milionů Kč).
The fuckers burned $2 millions with one zip file. From an offensive perspective this leak is a huge loss, from a defensive perspective the leak is a massive threat to millions of Windows systems. Let's hope MS will fix these quickly.
Poslední z dostupných leaků, "Lost in Translation", byl rozdělen na 3 části. Složka "windows" obsahuje exploity a nástroje zaměřené na systémy MS Windows, složka "swift" obsahuje informace o útocích na banky a složka "oddjob" je věnována dokumentům popisující ODDJOB backdoor.

K dnešnímu dni se jedná o jeden z nejvýznamnějších úniků útočných nástrojů v historii. Byly zveřejněny exploity cílené na operační systémy společnosti Microsoft, od uživatelských verzí Windows 2000, Windows XP, Windows Vista, Windows 7 a Windows 8 až po serverové verze Windows Server 2000, 2003, 2008, 2008 R2 a 2012.

Archiv neobsahoval žádné exploity pouze na systémy Windows 10 a Windows Server 2016 a to zejména z toho důvodu, že v době uniklých dokumentů tyto verze ještě neexistovaly.

Z dostupných nástrojů stojí za zmínku útočný nástroj psaný v pythonu, s názvem "FUZZBUNCH". Jedná se o framework velice podobný populárnímu metasploitu. S jeho pomocí je možné velice jednoduše ovládat dostupné exploity, například "ETERNALROMANCE" (RCE exploit na SMBv1) a "ETERNALBLUE" (RCE exploit na SMBv2), případně "ETERNALSYNERGY" (RCE exploit na SMBv3). Protokol SMB naslouchá na portu 445 defaultně ve všech verzích Windows.

Seznam dostupných exploitů a ověřené verze cílů je k dispozici v přehledné tabulce zde. Podle prvních průzkumů je přímo k internetu stále připojeno více než 3 580 527 Windows 2008 serverů. Dá se pouze spekulovat, kolik milionů domácích uživatelů používá zastaralé verze Windows, navíc některé z nich už nedostanou žádné aktualizace.

Aby toho nebylo málo, rád bych se zmínil o jedné zajímavosti a to je exploit "ECLIPSEDWING". Bezpečnostní expert John Lambert z Microsoftu zveřejnil v roce 2015 opravdu skvělý článek o tom, jak v roce 2008 zaznamenali použití velmi nebezpečného 0day exploitu v Asii. Jednalo se o "MS08-067" a teď už víme, že ho NSA měla k dispozici ve svém arzenálu.

V uniklých dokumentech je navíc možné najít například "DOUBLEPULSAR", Windows backdoor operující pouze v paměti (obdoba metasploit meterpreteru). Jak je jednoduché tyto nástroje ovládat, můžete vidět v následujícím videu, kde je demonstrován útok z Windows XP na Windows Server 2008 R2.


Microsoft se k celé kauze uniklých exploitů vyjádřil jen několik hodin po zveřejnění a v oficiálním reportu informoval uživatele, že nejzávažnější exploity postihující i novější verze Windows byly opraveny minulý měsíc při bezpečnostním update MS17-010.

Podle Microsoftu bezpečnostní chyby opravené touto aktualizací nikdo nenahlásil. Zřejmě však došlo k nějaké spolupráci mezi Microsoftem a NSA s cílem k zamezení ještě vetších škod. Bezpečnostní aktualizace MS17-010 stejně přinesla mnoho zmatků, protože v době testování uniklých exploitů nebyla obsažena ve stažitelné verzi Windows a mnoho bezpečnostních expetrů tak mylně označovalo exploity jako 0day. Mnoho serverů tak v této kauze píše o "tajemném update".

Druhá část uniklých souborů se zaměřuje na nástroj zvaný "ODDJOB". Podle dostupných informací se jedná o intuitivní rozhraní, podle kterého je možné skládat útočný malware z různých modulů a vytvářet tak specifický backdoor. Součástí nástroje je i serverová část na ovládání výsledného malware, komunikace je šifrovaná a žádný z dostupných antivirů nedokázal "ODDJOB" detekovat. Na kompletní rozbor tohoto nástroje si musíme ještě počkat, ale leak obsahuje spoustu dokumentace, kde je možné zjistit více informací.

Třetí část nazváná "SWIFT" se zaměřuje na útok proti světovému bankovnímu sektoru. SWIFT (Society for Worldwide Interbank Telecommunication / Společnost pro celosvětovou mezibankovní finanční telekomunikaci) slouží zejména k mezinárodnímu platebnímu styku - jedná se o nezávislou společnost se sídlem v Belgii. Jde hlavně o počítačově řízený systém pro dálkový přenos dat mezi bankami a dalšími finančními i nefinačními institucemi.

Podle dostupných informací měla NSA v roce 2013 přístup do sítě společnosti "EastNets", která slouží jako (SWIFT Service Bureau) na středním východě. Zjednodušeně se jedná o "cloud" pro banky, které se připojují do SWIFT sítě přes prostředníka.

NSA hack na síť SWIFT je rozdělena na dvě operace "JEEPFLEA_MARKET" (zmíněná již v kauze Snowden) a "JEEPFLEA_POWDER". V dokumentech o "JEEPFLEA_MARKET" se dočteme, že byla napadena síť společnosti EastNets, která má kanceláře v Belgii, Izraeli, Egyptě a ve Spojených arabských emirátech. Z dostupných informací vyplývá, že NSA měla přístup k interním systémům a transakcím mnoha bank (UAE, Kuwait, Qatar, Palestine a Yemen). "JEEPFLEA_POWDER" je informace o připravované operaci, která má zajistit podobný přístup v Panamě a Venezuele.
Společnost EastNets v oficiálním vyjádření jakékoliv narčení z prolomení její infrastruktury velice razantně odmítla. Je tedy úsměvné, že v leaku najdeme informace o vnitřních IP adresách, administrátorských účtech, podrobné detaily o struktuře sítě a mnoho dalších interních dat.

Na závěr snad už jenom to, že vše začalo anonymní aukcí The Shadow Brokers, kdy skupina původně požadovala desítky milionů výměnou za hacking nástroje NSA (Equation Group). Na pravidla aukce, během které měli všichni zájemci zasílat peníze a ten, kdo nakonec zaplatil nejvíc vyhraje, nikdo nepřistoupil. Na bitcoinové peněžence je k dnešnímu dni "pouze" 10 BTC (cca 300 tisíc Kč) a všechny nástroje jsou nyní dostupné celému světu zdarma.

Více informací zde:

https://en.wikipedia.org/wiki/The_Shadow_Brokers

eqgrp-auction-file.tar.xz
https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1

https://github.com/x0rz/EQGRP

https://threatpost.com/shadowbrokers-dump-more-equation-group-hacks-auction-file-password/124882/

http://thehackernews.com/2017/04/nsa-hacking-tools.html

https://nakedsecurity.sophos.com/2017/04/10/shadow-brokers-return-with-a-password-and-message-for-trump/

https://arstechnica.com/security/2017/04/shadowbrokers-post-password-to-auction-file-of-alleged-nsa-hacking-tools/

Lost in Translation

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

https://github.com/x0rz/EQGRP_Lost_in_Translation

https://malwarejake.blogspot.cz/2017/01/implications-of-newest-shadow-brokers.html

https://motherboard.vice.com/en_us/article/leaked-nsa-hacking-tools-were-worth-2-million

https://twitter.com/hackerfantastic

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/

http://thehackernews.com/2017/04/window-zero-day-patch.html

https://blogs.technet.microsoft.com/johnla/2015/09/26/the-inside-story-behind-ms08-067/

https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

https://blog.comae.io/the-nsa-compromised-swift-network-50ec3000b195

http://www.reuters.com/article/us-cyber-heist-idUSKBN17J1N4

http://thehackernews.com/2017/04/swift-banking-hacking-tool.html

https://news.ycombinator.com/item?id=14114665

https://motherboard.vice.com/en_us/article/shadow-brokers-nsa-stuxnet-iran

Kauza Shadow Brokers ~ co nám prozradily úniklé hacking nástroje z dílny NSA (Equation Group) Kauza Shadow Brokers ~ co nám prozradily úniklé hacking nástroje z dílny NSA (Equation Group) Reviewed by Kamil Vavra on dubna 17, 2017 Rating: 5

Žádné komentáře:

Používá technologii služby Blogger.