17.08.2016

Tajný tým vládní agentury NSA byl napaden hackery

Mezi uniklými daty je rozsáhlé množství funkčních nástrojů sloužících pro kybernetické útoky a špionáž. Kompletní sada je na prodej za 1,000,000 BTC. Jedná se o největší únik informací od dob Edwarda Snowdena.

Cover

Světová média obletěla zpráva, která tvrdí, že tajná bezpečnostní složka Equation Group agentury NSA byla napadena hackerskou skupinou The Shadow Brokers a byla jí odcizena početná sada nástrojů pro kybernetické útoky, kterou nyní hackerská skupina prodává v aukci za milion Bitcoinů, což je v přepočtu téměř 14 miliard korun. Pojďme se na celou situaci podívat trochu podrobněji.

Kdo je obětí

Hackerská skupina ve svém oficiálním prohlášení zmiňuje tým Equation Group, ovšem bez žádných důkazů. Bezpečnostní tým GReAT skupiny Kaspersky následně provedl detailní kryptografickou analýzu implementací použitých šifer, která spekulovanou spojitost potvrdila.

Equation Group je entita, o které se toho ví velmi málo. Objevil ji zmiňovaný bezpečnostní tým GReAT začátkem roku 2015 a popsal ji jako “hrozbu, která svou rozsáhlostí a úrovní aplikovaných technik přesahuje cokoliv, co jsme dosud znali”. Je jí přiřazeno autorství mnoha sofistikovaných nástrojů od sledování sítí po distribuci malwaru. Jedním z odhalených nástrojů byl například malware schopný napadnout a přeprogramovat firmware více než desítky nejznámějších výrobců pevných disků. Takovýto malware není možné detekovat ani smazat formátováním disku.

Konání skupiny Equation Group lze vystopovat až do roku 2001. Od této doby jí jsou připisovány tisíce útoků ve více než 30 zemích světa a její infrastrukturu tvoří stovky serverů a registrovaných domén. Lze nalézt úzkou spojitost této skupiny s malwarem Stuxnet, díky němuž je považována za součást tajné agentury NSA.

Kdo je útočníkem

Hacker nebo skupina hackerů s přezdívkou The Shadow Brokers. Ti 13. srpna na Twitteru oznámili únik dat a vyhlásili aukci, v níž výherci předají heslo k zašifrované části nabízených nástrojů. Mimo to, pokud se v aukci dohromady nasbírá více než milion Bitcoinů, skupina slibuje zveřejnit ještě další uniklá data, tentokrát veřejně a pro všechny.

Není jasné, kdo se za touto přezdívkou skrývá. Podle některých vyjádření je však útok příliš smělý na to, aby si na něj troufla obyčejná hackerská skupina, a je tak přisuzován některé vládní organizaci. A vzhledem k nedávnému útoku na DNC, Americkou Národní komisi Demokratické strany, jehož stopy vedou do Ruska, se i v tomto případě mluví o politicky motivovaném útoku ruské tajné vládní agentury a o pokraji kybernetické války.

Pro samotný útok v současné době existují dva nejpravděpodobnější scénáře: První variantou je selhání bezpečnostní politiky týmu, díky níž někdo zevnitř týmu zkopíroval a vynesl daná citlivá data na USB disku. Druhá varianta se týká řídicích (C2, Command & Control) serverů pro distribuci malwaru, na nichž tajné složky často působí v rámci své zpětné špionáže (CCNE, Counter Computer Network Exploitation).

Jaká data unikla

Skupina The Shadow Brokers umístila informace o aukci na Tumblr (již nefunkční), GitHub (již nefunkční) a Pastebin, screenshoty dat pak na server Imgur a konkrétní data na několik různých serverů. Podle bezpečnostních expertů se jedná o sadu nástrojů a exploitů pro prolomení firewallů, zejména značek Cisco PIX / ASA, Juniper Netscreen, Fortigate a další. Kompletní seznam všech nástrojů s popisem jejich účelu a cílovým zranitelným hardware lze nalézt na blogu Mustafy Al-Bassama.

Zprvu se v médiích hovořilo o možném podvrhu a hoaxu, avšak ověřením kódu (příklad oveření exploitu pro Cisco ASA firewall) bylo potvrzeno, že se jedná o skutečný únik sady hackerských nástrojů v množství a profesionalitě, která téměř nemá obdoby.

Více na thehackernews.com

Kam dál?