Загадочная группировка ShadowBrokers, которая, казалось, навсегда исчезла с горизонта, снова обнародовала ряд инструментов взлома, предположительно принадлежащих Equation Group, с паролем к оригинальному набору эксплойтов, которые группировка планировала выставить на аукцион.

Пароль был опубликован в конце пространного открытого письма в адрес президента США Дональда Трампа. В тексте сообщения участники ShadowBrokers выразили недовольство действиями администрации президента в Сирии, исключением Стива Бэннона (Steve Bannon) из Совета по вопросам национальной безопасности, прекращением программы Obamacare и многим другим.

«При всем уважении, какого #$% Вы творите? TheShadowBrokers голосовали за Вас. TheShadowBrokers поддерживают Вас. TheShadowBrokers теряют веру в Вас», — говорится в письме.

Что касается инструментов, то, как и прошлый раз, они содержат уже устаревшие эксплойты, позволяющие проводить RCE-атаки на операционные системы корпоративного уровня вроде Solaris, Netscape Server, а также на FTP-сервера и различные клиенты электронной почты.

Также среди обнародованных инструментов — средства сокрытия следов взлома, которые участники Equation Group, по мнению многих, связанные с АНБ, активно используют для заметания следов после проникновения.

Также в дампе ShadowBrokers имеются ряд бэкдоров и инструментов удаленного доступа к системам UNIX и SPARC, кейлоггеры, средства мониторинга сетевой активности и импланты уровня ядра для UNIX.

«Что поразительно, набор инструментов эксплуатации направлен в большей мере на системы Solaris/HP-UX, которые обычно используются в крупных организациях или телекоммуникационных компаниях, — рассказал исследователь под ником x0rz. — Он предназначен для «крупной добычи».

Масштабы проникновения Equation Group в целевые компании можно оценить по длинному списку скомпрометированных хостов и используемых инструментов, включая бэкдоры PITCHIMPAR и INTONATION для UNIX.

X0rz — один из немногих исследователей, изучавших новый дамп ShadowBrokers после публикации. По его словам, Equation Group особенно активно преследовала цель проникнуть в опорные сети операторов GSM. Напомним, в мире около 5 млрд пользователей GSM-телефонов.

Например, есть признаки того, что Equation Group имела доступ к сети мобильного оператора Mobilink в Пакистане.

«Насколько я понял, у Equation есть инструменты сбора записей о звонках (CDR), которые используются при биллинге. Хакеры очень глубоко проникли в эти системы», — рассказал x0rz.

В дампе более тысячи файлов, и пока неизвестно, запатчены ли опубликованные уязвимости.

Эдвард Сноуден, бывший аналитик АНБ, в серии твитов подчеркнул, что последний дамп — это далеко не весь арсенал АНБ.

В январе ShadowBrokers решили уйти на покой и удалили свои аккаунты. В первый раз группировка выставила на продажу за 750 биткойнов набор эксплойтов Windows, включающий эксплойт уязвимости нулевого дня в протоколе Windows SMB. Исследователь Джейкоб Уильямс (Jacob Williams) исследовал предоставленные в дампе скриншоты.

«Стоит отметить, что инструменты, очевидно, много раз совершенствовались, поэтому это действительно могут быть эксплойты, используемые Equation Group, — сказал Уильямс. — На одном из скриншотов есть намеки на 0-day в SMB, хотя неясно, какой именно эксплойт из списка направлен на эксплуатацию SMB».

Кто стоит за именем ShadowBrokers, неизвестно, и это может быть кто угодно: от иностранной разведки до инсайдера в АНБ. Из письма, опубликованного в выходные, не следует никаких сведений ни о личностях хактивистов, ни об их мотивах.

Категории: Кибероборона, Уязвимости, Хакеры