Недавно мы писали о возможной утечке конфиденциальных данных известной кибергруппы Equation Group (Five Eyes/Tilded Team). Опубликованная информация готовилась по горячим следам, а сам инцидент с публикацией данных рассматривался как вызывающий сомнения. Однако, за прошедшие несколько дней, нам удалось изучить опубликованный в свободном доступе архив, а также собрать доверенные источники, подтверждающие достоверность информации группы хакеров Shadow Brokers. Размер самого архива с доступными для доступа данными составляет около 300МБ, в нем насчитывается более 3,5 тыс. файлов. Расшифрованная публичная часть архива, которая уже упоминалась нами ранее, содержит в себе различные скрипты установки, файлы конфигурации, информацию о работе с управляющими C&C-серверами, работающие эксплойты для популярных роутеров и брандмауэров.

Кроме этого, названия файлов из этого архива совпадают с идентификаторами имплантов NSA из известного каталога ANT.


Директории с аббревиатурами в каталоге Firewall\Exploits. Как видно из названия, в них содержатся эксплойты для различных сетевых брандмауэров.

Расшифровки некоторых аббревиатур эксплойтов были опубликованы security-ресерчером Matt Suiche.

EGBL = EGREGIOUS BLUNDER (Fortigate Firewall + HTTPD exploit (apparently 2006 CVE )
ELBA = ELIGIBLE BACHELOR
ELBO = ELIGIBLE BOMBSHELL (Chinese TOPSEC firewall versions 3.3.005.057.1 to 3.3.010.024.1)
ELCA = ELIGIBLE CANDIDATE
ELCO = ELIGIBLE CONTESTANT
EPBA = EPIC BANANA
ESPL = ESCALATE PLOWMAN
EXBA = EXTRA BACON (Cisco Adaptive Security Appliance v8.0 to v8.4)

Описания некоторых вышеупомянутых эксплойтов (директория Exploits) приведены ниже.

EGREGIOUSBLUNDER A remote code execution exploit for Fortigate firewalls that exploits a HTTP cookie overflow vulnerability. It effects models 60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600, and 3600A. The model of the firewall is detected by examining the ETag in the HTTP headers of the firewall.

ELIGIBLEBACHELOR An exploit for TOPSEC firewalls running the TOS operation system, affecting versions 3.2.100.010, 3.3.001.050, 3.3.002.021 and 3.3.002.030. The attack vector is unknown but it has an XML-like payload that starts with <?tos length=«001e:%8.8x»?>.

ELIGIBLEBOMBSHELL A remote code execution exploit for TOPSEC firewalls that exploits a HTTP cookie command injection vulnerability, affecting versions 3.2.100.010.1pbc17iv3 to 3.3.005.066.1. Version detection by ETag examination.

Таким образом, эксплойты направлены на обход брандмауэров устройств Cisco PIX & ASA, Juniper Netscreen, Fortigate и др. Ниже даны описания имплантов, которые также были взяты из каталога NSA ANT. Информация была опубликована еще одним security-ресерчером здесь.

BANANAGLEE A non-persistent firewall software implant for Cisco ASA and PIX devices that is installed by writing the implant directly to memory. Also mentioned in the previously leaked NSA ANT catalogue.

BANANABALLOT A BIOS module associated with an implant (likely BANANAGLEE).

BEECHPONY A firewall implant that is a predecessor of BANANAGLEE.

JETPLOW A firmware persistence implant for Cisco ASA and PIX devices that persists BANANAGLEE. Also mentioned in the previously leaked NSA ANT catalogue.


Слайд каталога NSA ANT в котором упоминается имплант BANANAGLEE для устройств Cisco ASA. Директория \eqgrp-free-file\Firewall\BANANAGLEE\.


Директория с файлами шеллкода для различных версий устройств Cisco ASA.

Полный список файлов из публично доступного архива можно скачать здесь. Для расшифровки самого архива на Windows понадобится инструмент gpg2 из пакета Gpg4win.

Как отмечает в своем твиттере Hacker Fantastic, один из скриптов содержит в себе команду на загрузку нового импланта с использованием эксплойта и специфичного набора команд.



Стоит отметить, что сами названия директорий и файлов не представляют из себя доверенный источник принадлежности данных к Equation Group. Однако, сами эксплойты оказались рабочими, а один из бывших специалистов NSA TAO (Tailored Access Operations) подтвердил принадлежность опубликованных данных NSA. TAO уже упоминалась нами в посте, посвященном недавно вышедшему фильму Zero Days как подразделение в составе NSA, ответственное за проведение хакерских атак и кибернаступательных операций по всему миру.

В вышеупомянутом посте автор демонстрирует успешность работы эксплойта EXTRA BACON на одном из устройств Cisco ASA. Эксплойт используется для запрещения аутентификации на роутере, что позволяет атакующим удаленно подключиться к нему по Telnet или SSH и выполнять необходимые команды. Следующий скрипт из архива и команда используется для запуска эксплойта.

python extrabacon_1.1.0.1.py exec -t 10.1.1.250 -c pubString --mode pass-disable

Equation Group имеет отношение к созданию самых успешных видов кибероружия.

  • Stuxnet
  • Duqu
  • Regin
  • Flame
  • EquationLaser
  • EquationDrug
  • DoubleFantasy
  • TripleFantasy
  • Grayfish
  • Fanny

» Известная кибергруппировка Equation Group могла подвергнуться масштабному взлому | ссылка
» Создатели фильма Zero Days пролили свет на авторов Stuxnet | ссылка
» NSA ANT catalog | ссылка
» Tailored Access Operations | ссылка
» Слайды NSA ANT | ссылка1 | ссылка2
» Powerful NSA hacking tools have been revealed online | ссылка
» Список файлов free архива | ссылка
» EquationGroup Tool Leak – ExtraBacon Demo | ссылка
» Shadow Brokers: NSA Exploits of the Week | ссылка
» JETPLOW: NSA Exploit of the Day | ссылка
» Equation Group Firewall Operations Catalogue | ссылка
Поделиться с друзьями
-->

Комментарии (9)


  1. Togran
    17.08.2016 23:45
    +3

    Таки где скачать архив?


    1. chelaxe
      18.08.2016 07:12

      В конце статьи есть ссылки.


  1. nightwolf_du
    17.08.2016 23:45
    +1

    esetnod32 первый раз встречаю термин «имплант» в применении к программированию.
    Не могли бы расшифровать фразу, или дать ссылку на расшифровку термина в статье?

    А это жирный намек на то, что группа была «прикормлена» или создана соответствующей организацией?

    Кроме этого, названия файлов из этого архива совпадают с идентификаторами имплантов NSA из известного каталога ANT.


    Хочу заметить, что информация в статье сильно смешана, тяжело понять посыл и мысль статьи.


    1. imrunner
      18.08.2016 11:13

      термин «имплант»

      Закладка?


  1. Vitalez
    17.08.2016 23:45

    Закачав и распаковав этот архив, ты будешь иметь доступ к эксплойтам и возможность юзать их? Можно это назвать набором для хакеров от 8-ми лет готовым пакетом для введение в деятельность хакеров?


  1. Iqorek
    17.08.2016 23:46

    Что то неспокойно мне от этих сообщений. Ощущение, что как бы украли ядерную бомбу и пытаются ее продать. Все эти эксплоиты и техники взлома могут шандарахнуть по нам в любой момент.


    1. barbadian
      18.08.2016 13:28

      По «нам» — это конкретно по Вам и вашему окружению или по стране? Если первое — то, какую именно ценность Вы представляете для хакеров? Если второе, то она для этого и предназначена, и полагаю, уже использовалась.


      1. Viacheslav01
        18.08.2016 17:29

        Можно попась просто за компанию, ну вроде ЯБ жахнувшей в десятке километров по военной цели, может зацепить в качестве побочного ущерба…


  1. maxim23rus
    18.08.2016 11:13

    Сноуден заявил, что это российские хакеры взломали их