Группировки ShadowBrokers больше нет.

Неизвестная кибергруппировка, ответственная за многочисленные утечки эксплойтов и инструментов кибератак, принадлежавших, по мнению многих, АНБ, объявила о прекращении деятельности и ушла в тень.

«Несмотря на различные теории, ShadowBrokers всегда гнались за наживой. Бесплатная публикация слитых данных и якобы политические цели были маркетинговой уловкой для привлечения внимания, — говорится в послании ShadowBrokers. — Но такие вещи не привлекают деньги. Разочарованы? Никто не разочарован так, как ShadowBrokers».

Это сообщение означает по крайней мере временное исчезновение группировки с горизонта; личности участников так и не были раскрыты. Покрытый тайной августовский аукцион, в ходе которого участники группировки просили миллионы долларов в биткойнах за набор эксплойтов в телекоммуникационном оборудовании, ограничился чередой дампов эксплойтов Windows, а ShadowBrokers заработали на этом всего $10 тыс.

Но это не остановило их, и в последний раз злоумышленники просили 10 тыс. биткойнов ($8,1 млн) за слив инструментов взлома Linux и Windows.

«Предложение TheShadowBrokers все еще привлекательно и своевременно», — написали участники группировки.

Но финальный дамп, содержащий атаки на Windows, включает в себя 58 файлов, соотносящихся с платформой EquationDrug, обнаруженной экспертами «Лаборатории Касперского» и опубликованной в ходе саммите Security Analyst Summit в феврале 2015 года. ShadowBrokers сказали, что проверили дамп в системе с защитным ПО «Лаборатории Касперского» и вредоносные файлы были детектированы как equationdrug.generic и equationdrug.k.

Исследователи «Лаборатории Касперского» подтвердили, что файлы принадлежат известной группировке Equation Group.

«Мы получили копию архива, указанного в последней публикации ShadowBrokers, и провели быстрый анализ. Большинство образцов, содержащихся в архиве, — это плагины EquationDrug, модули GrayFish и EquationVector, — говорится в заявлении «Лаборатории Касперского». — Это известные вредоносные платформы, используемые группировкой Equation, о которых мы писали в феврале 2015 года. Из 61 файла наши системы уже детектируют 44. Мы обновляем свои продукты с учетом оставшихся образцов».

В среду ShadowBrokers снова появились на горизонте после периода молчания с набором атак на Windows, за который попросили 750 биткойнов. Группировка в этот раз не предложила бесплатных файлов для анализа, как до этого, но из доступных скриншотов в Twitter группировки ясно, что в новом наборе имеются RAT-троянцы, эксплойты для удаленного исполнения кода и инструменты для автоматизированного исследования безопасности систем под Windows.

Исследователь Джейкоб Уильямс (Jacob Williams) утверждает, что набор может включать эксплойт уязвимости нулевого для в Windows Server Message Block и инструмент EventLogEdit, обеспечивающий средства удаления или внесения изменений в журналы событий.

Что же касается личностей участников ShadowBrokers, никому так и не известно, имели ли хакеры когда-либо доступ к инфраструктуре АНБ с целью похищения инструментов взлома. Также неясно, как данные могли утечь из АНБ: была ли это ошибка администратора, разместившего данные на незащищенном сервере, или участники ShadowBrokers реально были инсайдерами. Исследователь Мэтт Суше (Matt Suiche) уверен в том, что слив эксплойтов — работа инсайдера.

В декабре исследователи из Flashpoint заявили, что источником был инсайдер с правами доступа к репозиторию кодов, принадлежащему АНБ. При этом эксперты исключили вероятность атаки на инфраструктуру АНБ.

В октябре группировка опубликовала ссылки на списки взломанных серверов Sun Solaris и Linux, предположительно скомпрометированных Equation Group. В списке преимущественно старые сервера, скомпрометированные около 15 лет назад и в основном расположенные в Иране, России, Китае и Пакистане.

Категории: Главное, Кибероборона, Уязвимости, Хакеры