Демонстрация силы неизвестного противника
Поворот к зданию АНБ. Фото Gary Cameron/Reuters
13 августа 2016 года неизвестные выложили в открытый доступ исходный код и эксплоиты The Equation Group и пообещали опубликовать другую информацию, полученную со взломанного сервера. Важность этого события сложно переоценить.
Начнём с того, что The Equation Group связана с АНБ и, предположительно, участвовала в проведении технически сложных кибератак, таких как заражение компьютеров, управляющих центрифугами по обогащению урана в Иране. В 2010 году вредоносная программа Stuxnet, которая использовала 0day-уязвимости в Windows, вывела из строя от 1000 до 5000 центрифуг Siemens за счёт изменения скорости их вращения. В результате, американо-израильская операция «Олимпийские игры» серьёзно затормозила ядерную программу Ирана и якобы предотвратила авиаудар Израиля по иранским ядерным объектам.
Используемая вредоносная программа, получившая впоследствии название Stuxnet, в июне 2010 года была обнаружена антивирусными специалистами из Беларуси, которые понятия не имели, что это такое. Дело в том, что по ошибке американских или израильских программистов вирус продолжил распространяться за пределами зоны поражения и начал выводить из строя промышленные объекты Siemens в других странах. Ответственность за это никто не понёс.
Кроме Stuxnet, компании The Equation Group приписывают авторство нескольких других сложнейших экземпляров наступательного кибероружия и шпионских программ, которые использовались для шпионажа в правительственных органах иностранных государств и коммерческих компаниях. Это известнейшие в узких кругах специалистов инструменты Duqu и Flame. Как и Stuxnet, эти инструменты подвергли тщательному анализу в хакерском подразделении Global Research & Analysis Team (GReAT) «Лаборатории Касперского» — пожалуй, лучшем в мире подразделении по анализу зарубежного наступательного кибероружия. Российские специалисты пришли к мнению и нашли доказательства, что у этих программ есть общие модули модули и фрагменты кода, то есть разработкой занимался один или несколько близких друг к другу авторских коллективов.
Предположения о том, что за кибератаками стоят США, высказывались неоднократно. И вот теперь хакерская группа Shadow Brokers грозит предоставить прямые доказательства этого.
Неизвестные, которые называют себя хакерской группой Shadow Brokers, выложили несколько эксплоитов и организовали страннейший аукцион, на котором проигравшие ставки не возвращаются участникам. Победителю аукциона пообещали открыть всю информацию, похищенную с серверов The Equation Group.
Всё это выглядело бы довольно подозрительно и неправдоподобно, если бы не несколько обстоятельств.
Во-первых, опубликованы реально действующие эксплоиты — они упомянуты в каталоге шпионских инструментов АНБ, который опубликован Эдвардом Сноуденом в 2013 году. Но сами эти файлы Сноуден никогда не публиковал, это новая информация.
Как показали первые результаты тестирования, опубликованные эксплоиты реально работают.
Сам Эдвард Сноуден вчера прокомментировал эту утечку десятком твитов. Он дал понять, что взлом The Equation Group действительно имел место (то есть верит в правдивость Shadow Brokers). При этом Сноуден опубликовал несколько деталей о том, как работают шпионские программы АНБ, а также кибероружие, которое создаётся в других странах. Он рассказал, что направленные атаки направлены на конкретные цели и остаются необнаруженными в течение нескольких лет. Информация собирается через серверы C2, которые на практике называют Counter Computer Network Exploitation или CCNE, или через прокси ORB (proxy hops). Страны пытаются обнаружить CCNE своих противников и исследовать их инструменты. Естественно, в таких случаях важно не выдать факт, что оружие противника обнаружено, чтобы он продолжил им пользоваться, так что нельзя удалять зловреды с уже заражённых систем.
Эдвард Сноуден говорит, что АНБ не уникально в этом отношении. Абсолютно тем же занимается разведка других стран.
Зная, что противник ищет и исследует CCNE, хакерскому подразделению АНБ, которое известно как TAO (Office of Tailored Access Operations), велено не оставлять бинарники своих программ на серверах CCNE, но «люди ленивы», и иногда проколы случаются, говорит Сноуден.
Судя по всему, сейчас произошло именно это. Эдвард Сноуден говорит, что серверы CCNE АНБ и раньше взламывали, но сейчас впервые состоялась публичная демонстрация. Зачем противник провёл такую демонстрацию? Никто не знает. Но Эдвард Сноуден подозревает, что у этого действия Shadow Brokers скорее дипломатическое объяснение, связанное с эскалацией конфликта вокруг недавнего взлома Демократического национального комитета США, после которого на Wikileaks опубликовали 20 000 частных электронных писем американских политиков, которые вскрывают неприглядную изнанку внутренних политических игр.
«Косвенные доказательства и здравый смысл указывают на причастность России, — пишет Эдвард Сноуден. — И вот почему это важно: данная утечка, вероятно, является предупреждением, что кто-то может доказать виновность США за любую атаку, проведённую с этого конкретного CCNE сервера».
9) This leak is likely a warning that someone can prove US responsibility for any attacks that originated from this malware server.
— Edward Snowden (@Snowden) 16 августа 2016 г.
«Это может иметь серьёзные последствия для внешней политики. Особенно если какая-то из этих операций была направлена против союзников США. Особенно, если это было связано с выборами».
Таким образом, по мнению Сноудена, действия Shadow Brokers — это некий упреждающий удар, чтобы повлиять на действия противника, который сейчас размышляет, как реагировать на взлом Демократического национального комитета США. В частности, кто-то предупреждает американцев о том, что эскалация конфликта будет здесь неуместна, потому что все козыри у него.
Сноуден добавил, что скудные доступные данные указывают на то, что неизвестный хакер действительно получил доступ к этому серверу АНБ, но потерял доступ в июне 2013 года. Вероятно, АНБ просто перестало им пользоваться в тот момент.
Отдельные эксперты тоже склоняются к мнению, что взлом The Equation Group — не фейк. Об этом говорят независимый торговец эксплоитами и 0day-уязвимостями The Grugq, независимый специалист по безопасности Клаудио Гварниери (Claudio Guarnieri), который давно занимается анализом хакерских операций, проводимых западными разведслужбами. С ним согласен Дмитрий Альперович (Dmitri Alperovitch) из CrowdStrike. Он считает, что хакеры «сидели на этой информации годами, ожидая наиболее удачного момента для публикации».
«Определённо, всё выглядит реальным, — сказал Брюс Шнайер, один из известных специалистов в области информационной безопасности. — Вопрос в том, почему кто-то украл это в 2013 году и опубликовал на этой неделе?»
Анализ опубликованных исходных кодов вчера опубликовали специалисты подразделения GReAT «Лаборатории Касперского». Они сравнили опубликованные файлы с ранее известными образцами вредоносных программ, принадлежащих The Equation Group, — и обнаружили сильное сходство между ними. В частности, The Equation Group использует специфическую реализацию шифра RC5/RC6, где библиотека шифрования выполняет операцию вычитания с константой 0x61C88647, тогда как в традиционном повсеместно используемом коде RC5/RC6 используется другая константа 0x9E3779B9, то есть -0x61C88647. Поскольку сложение выполняется быстрее вычитания на некотором оборудовании, то эффективнее хранить константу в отрицательном значении, чтобы добавлять её, а не вычитать.
Сравнение нашло сотни фрагментов похожего кода между старыми образцами и файлами, опубликованными Shadow Brokers.
Если Сноуден прав и действия Shadow Brokers имеют скорее «дипломатический» характер, то объявленный «аукцион» со странными условиями — просто бутафория. Он нужен только ради пиара, чтобы историю подхватили в СМИ и растиражировали как можно шире. Все упоминания «аукциона» они дублируют в своём твиттере. Напомним, Shadow Brokers пообещали выдать информацию победителю аукциона, который заплатит нереальную сумму в 1 миллион (!) биткоинов, то есть более полумиллиарда долларов. На данный момент на их кошелёк поступило 15 ставок на общую сумму 1,629 BTC. Максимальная ставка составляет 1,5 BTC.
Репозиторий с эксплоитами The Equation Group удалили с Github. Причина не в том, что там опубликован код вредоносного ПО, ведь государственным эксплоиты той же The Hacking Team давно лежат на Github и не вызывают нареканий. Github называет причиной попытку получить прибыль на продаже украденного кода, что противоречит условиям пользовательского соглашения Github. Файлы удалены также с медиа-сервиса Tumblr. Тем не менее, эксплоиты по-прежнему доступны из нескольких других источников:
» magnet:?xt=urn:btih:40a5f1514514fb67943f137f7fde0a7b5e991f76&tr=http://diftracker.i2p/announce.php
» http://dfiles.ru/files/9z6hk3gp9
» https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU
» http://95.183.9.51/
Free Files (Proof): eqgrp-free-file.tar.xz.gpg
sha256sum = b5961eee7cb3eca209b92436ed7bdd74e025bf615b90c408829156d128c7a169
gpg --decrypt --output eqgrp-free-file.tar.xz eqgrp-free-file.tar.xz.gpg
Пароль на архив:
theequationgroup
WikiLeaks пообещал выложить файлы у себя в ближайшее время.
Пресс-служба АНБ воздержалась от комментариев.
Комментарии (21)
Tomcrafd
17.08.2016 14:10+1Обьясните эту строчку кто в теме:
«Поскольку сложение выполняется быстрее вычитания на некотором оборудовании, то эффективнее хранить константу в отрицательном значении, чтобы добавлять её, а не вычитать.» — про какое оборудование речь?ARad
17.08.2016 14:19Человеку легче вычесть положительное число, чем сложить с отрицательным числом ;)
Keroro
17.08.2016 14:27-2Речь про процессоры, видимо. Процессоры могут выполнять операцию сложения на аппаратном уровне. А для вычитания им требуется сперва преобразовать одно из чисел в отрицательное, и потом опять же сложить
DmitryBabokin
17.08.2016 15:27+1На всем известном мне современном и не очень железе и плюс, и минус укладывается в один такт без вариантов.
GreenStore
17.08.2016 15:48+6про какое оборудование речь?
Возможно, имеется ввиду, что: A + B == B + A.
Однако, для вычитания это неверно: A — B != B — A (при условии, что A != B).
Так как в некоторых процессорах и микроконтроллерах используется неортогональный набор инструкций (https://en.wikipedia.org/wiki/Orthogonal_instruction_set), например, в том же Atmega AVR, известный по Arduino, то для операции вычитания требуются дополнительные затраты для размещения данных в подходящих регистрах/памяти.
fedorro
17.08.2016 19:24Видимо про какое-то из АНБ-шного арсенала, типа порта RJ45 или USB cо встроенным процессором и передатчиком или ещё чего поменьше.
Думаю, что имеется ввиду A — B = A + С, где C = -B. Т.к. B и С — просто разные константы имеем выигрыш при условии реализации более быстрого сложения, чем вычитания.
ximaera
17.08.2016 19:44+4Напомним, Shadow Brokers пообещали выдать информацию победителю аукциона, который заплатит нереальную сумму в 1 миллион (!) биткоинов, то есть более полумиллиарда долларов.
Не так.
- Победителем будет тот, кто перечислит наибольшую сумму единомоментно;
- Все проигравшие ставки не возвращаются;
- Shadow Brokers прекратят аукцион и объявят победителя тогда, когда сами захотят;
- Если на кошельке будет собрана сумма в 1 млн. BTC, то Shadow Brokers обещают выложить пароль от второго архива в открытый доступ.
MaxAlekseev
А всего то чуть больше 2-х месяцев до выборов сами знаете где… то ли еще будет.
Varkus
Тоже обратил внимание: в инстаграм какой западной звезды не залезешь везде «эта старушка тусуется».
antey86
сейчас полетят все козыри, террористы станут опять таскать мешки с сахаром в подвалы домов…
XXX_Oldfag_XXX
Но ведь победитель уже известен...Hillary Clinton.
we1
Это не тот случай «если не хиллари, то кто». Страна немного другая.
dimm_ddr
Ну вот конкретно сейчас то, что у них там происходит похоже на спектакль с заранее известным финалом. Я не говорю что их система плохая и т.д. Просто вот конкретно на этих выборах, с моей точки зрения из холодной России это выглядит так: политик а ля Жириновский с кучей громких скандальных заявлений и шуточек по поводу оппонентов и серьезный политик со стажем работы в правительстве, поддерживаемый текущей политической элитой, в том числе президентом (дважды избранным причем!). При этом политик — женщина, первая женщина президент возможно. Это все конечно не гарантия ее избрания, плюс с моего места много наверняка не видно. Но если бы мне пришлось выбирать на кого поставить мою зарплату, я бы выбрал ее. Не потому что она мне нравится, а по сугубо объективным причинам.
marolan
Трамп совсем не Жириновский.
> Но если бы мне пришлось выбирать на кого поставить мою зарплату, я бы выбрал ее. Не потому что она мне нравится, а по сугубо объективным причинам.
Ваш выбор в любом случае субъективен. Я это к тому, что у каждый голосует по своим мотивам и 41% голосующих на данный момент — за Трампа.
Например, они устали от таких политиков как Хиллари
Varkus
И Вы будете голосовать за серьёзного политика, который ради победы начал по городам устанавливать памятники голого Жириновского?
И Трамп совсем не Жириновский.
И если уж речь зашла за зарплату, то ставить нужно на бизнесмена, а не политика.
Бизнесмен знает цену деньгам, политик знает цену лишь словам.