The Shadow Brokers — эксплойты в массы

Хотя мы в редакции не отбираем личностей для статей по признаку “успеха в атаках” (тобишь пойман-не пойман), в комментариях к очередному посту нам сделали замечание, мол, только о пойманных и пишете, а об “историях успеха” умалчиваете. Эти истории потому и успешны, что о них, как правило, никто, кроме бенефициара и жертвы, часто предпочитающей молчать, не знает. Но есть и исключения.
Осенью 2016 группа под именем The Shadow Brokers выложила в сеть ZIP-архив с солидным арсеналом из кибероружия — скрипты, уязвимости нулевого дня к Windows и серьезным корпоративным железкам вроде Cisco и Fortinet, а также эксплойты к ним. Они заявили, что эти инструменты украдены у хакеров из одной из самых продвинутых хак-групп в мире — Equation Group, входяшей в АНБ США.
Имя “теневых брокеров” отсылает к персонажу игр Mass Effect, продававшему секретную инфу на аукционах. Так было и здесь — рядом с бесплатным, но уже мощным образцом эксплойтов, подлинность которых подтвердили сами Cisco и Fortinet, хакеры выложили и другой, зашифрованный архив, где были еще более опасные инструменты. Ключ к дешифровке архива для всего мира они выставили на аукцион за 1 млн BTC.
Через день собрав битков лишь на $937, хакеры поняли, что не видать им миллиона BTC и решили выложить еще часть утечки бесплатно, что и сделали через 2 недели. В новом дампе был список IP машин по всему миру, зараженных АНБ. Шли месяцы, а деньги все не собирались. Группа снизила цель с миллиона BTC до 10 тыс BTC, но все эти аукционы, кажется, были бонусом, а утечку они все равно опубликовали бы полностью.
61 вредоносный файл exe, dll и драйвер Windows был опубликован еще через пару месяцев. На этот раз дамп был опаснее и разрывал шаблоны всем, включая ИБ-сообщества. Среди инструментов был хак, позволявший сделать то, что ранее считалось невозможным (видимо, не для АНБ) — удалять отдельные строчки из журнала событий Windows, не отключая само журналирование. Это открывало дверь к абсолютно незаметным проникновениям в систему любому скрипт-кидди в мире, не говоря уже о хакерах.
Пока ФБР и разведка рвали волосы на голове, разрываясь в мнении о том, кто эти “брокеры”, блин, такие. Основными были 2 версии: Россия (2016, избрание Трампа, вмешательство “русских хакеров” в выборы и т.д.) и крот внутри АНБ. 3 месяца спустя Shadow Brokers вернулись с новой порцией утечки и сдеанонили одного из бывших хакеров Equation Group, твитнувшего о том, что он уверен, что если эти утечки не от России, то, как минимум, в её интересах.
В твите, прямо обратившись к известному безопаснику, скрывавшему практически от всех свой опыт работы в АНБ, “брокеры” написали, что них не было цели деанонить сотрудников АНБ, но конкретно у этого был «слишком большой рот». Стало очевидным, хакеры имели доступ не только к инструментам АНБ, но и информацией об их операциях, персонале и т.д., так как безопасник тот подтвердил информацию и добавил, что он уверен, что у них есть доступ к куда большему.
Не хватало потрясений разведке и ИБ-сообществу, многих из которого тот безопасник и обучал, как через несколько дней “брокеры” последнюю, крупнейшую и самую опасную часть утечки, которую видел мир — в дампе была уязвимсть нулевого дня EternalBlue, позволявшая взломать протокол SMB, по умолчанию работающий в миллионах и миллионах машин на Windows. Microsoft закрыла эту уязвимость за месяц до той утечки — вероятно, АНБ решили оповестить их раньше хакеров.
Крота АНБ таки нашли. Он, как и Сноуден, работал в Booz Allen Hamilton. Укравший 50 ТБ данных АНБ, он был арестован и посажен на 9 лет, но его связи с Shadow Brokers по сей день не установили.
ИМХО: После утечек Сноудена и каталога ANT было ясно, что АНБ видит безопасность не совсем с оборонительной стороны, когда ты сообщаешь о найденной дыре разработчикам софта, но после дампов Shadow Brokers стало окончательно ясно, что они предпочитают оставлять эту инфу при себе.
По теме
Свежее
- **Veilid — P2P-фреймворк от хактивистов** **• Хештеги: ****#софт**** ******** ****#сети** **• Ссылка:** <span class="spoiler">veilid.com</span> Tor и I2P— для анонимного серфинга и построения сетей, но что, если нужен инструмент для создания приложений, где каждый клиент — полноценный узел, без центральных серверов и выходных-нод? Такой инструмент теперь есть. Veilid — открытый фреймворк для создания децентрализованных приложений с фокусом на приватность. Представлен на DEF CON 31 в августе 2023 года группой Cult of the Dead Cow (cDc) — старейшим хакерским коллективом США, основанным в 1984 году. Именно cDc придумали термин «hacktivism» и участвовали в разработке Tor. Архитектура Veilid представляет собой полностью децентрализованную DHT-сеть, очень похожую на Kademlia. В отличие от Tor, здесь нет выходных нод — каждый узел равноправен. Чтобы следить за пользователями, нужно мониторить всю сеть целиком, а не отдельные точки. Криптография современная: XChaCha20-Poly1305 для шифрования, Ed25519 для подписей, x25519 для обмена ключами, BLAKE3 для хеширования, Argon2 для паролей. Все соединения — end-to-end зашифрованы и подписаны. Прямо-таки база-база — стандартный, но вполне себе грамотный подход. В качестве демонстрации возможностей разработчики выпустили VeilidChat — простой 1-to-1 мессенджер. Пока это концепт: только текст, нет групп, звонков и push-уведомлений. Соответственно, ожидания не стоит завышать — это витрина технологии, а не готовый продукт. Формального аудита безопасности пока не проводилось. 📌 **Детали** ~ Исходный код на Rust, Dart, Python ~ лицензия Mozilla Public License 2.0 ~ SDK для Flutter, Python, Rust ~ работает на Linux, macOS, Windows, Android, iOS, WASM ~ существует как некоммерческий проект Veilid Foundation. **• ИМХО:** Сам по себе Veilid пока не даёт рядовому пользователю ничего — VeilidChat сырой, других приложений на базе протокола ещё нет. Но за проектом стоит следить: если на Veilid начнут появляться мессенджеры, файлообменники или соцсети — а на это требуется время — это будет интересная альтернатива существующим решениям. Будем наблюдать, а если что-то дельное и появится — оно обязательно появится не только на канале, но и в нашем агрегаторе ссылок **[OLinks](https://olks.io/)**. *Автор: Миг* **[ > Обменник без AML/KYC ](http://t.me/bit_bridge_bot?start=r_bzkv0q2emy)** **[ > Наш агрегатор ссылок ](https://olks.io/)** **[OLinks Review](https://t.me/olinksreview_bot)**** — обзоры софта и сервисов для дарка**
- **Отменяем подписку на все стриминги** — в сети нашли, где посмотреть ЛЮБОЙ сериал, фильм и передачу, не заплатив ни копейки. Забираем нужное: • Платный Disney — бесплатный [Netmirror](https://netmirror.gg/1/en) • Платный HBO Max — бесплатный [Moviebox ](https://moviebox.ph/) • Платный Apple — бесплатный [Streamly ](https://streamlytv.com/) • Платный Netflix — бесплатный [Flixio](https://docs.elfhosted.com/app/flixio/) • Платный Prime Video — бесплатный [CineHub](https://cinehub-vf.org/) • Платный YouTube Premium — бесплатный [VidPlus](https://vidplus.to/) или [Brave](https://brave.com/ru/) • Платный Apple Music — бесплатный [Esound ](https://esound.app/) • Платный Spotify — бесплатный [Lyra](https://play.google.com/store/apps/details?id=com.musicapp.lyra&hl=ru) • Платный Hulu — бесплатный [ShowZone](https://showzone.gg/) • Платный Paramount + — бесплатный [EpicFlix ](https://epicflix.com/) • Платный Crunchyroll — бесплатный [jutsu](https://jut.su/plus/) • Платный Starz — бесплатный [Kinorium](https://ru.kinorium.com/) • Платный Tubi — бесплатный [Plex](https://watch.plex.tv/) Сохраняем #сайт #подборка [🛜 ](http://t.me/nishebot_nishebot)[Крутой VPN](http://t.me/VPNo4ka_Robot) | [Смс 💣 бомбер](http://t.me/Bomb_berry_bot) | [Telegram Stars со скидкой](http://t.me/rock_stars_bot) 🌟
- Невил Маскелайн — первый хакер в истории беспровода