The Shadow Brokers ( TSB ) es un grupo de piratas informáticos que apareció por primera vez en el verano de 2016. [1] [2] Publicaron varias filtraciones que contenían herramientas de piratería, incluidos varios exploits de día cero , [1] del " Equation Group " que Se sospecha ampliamente que son una rama de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. [3] [4] Específicamente, estos exploits y vulnerabilidades [5] [6] tenían como objetivo firewalls empresariales , software antivirus y productos de Microsoft . [7]Los Shadow Brokers originalmente atribuyeron las filtraciones al actor de amenazas Equation Group, que ha estado vinculado a la unidad de Operaciones de acceso a medida de la NSA . [8] [9] [10] [4]
Nombre y alias
Varias fuentes noticiosas señalaron que el nombre del grupo probablemente se refería a un personaje de la serie de videojuegos Mass Effect . [11] [12] Matt Suiche citó la siguiente descripción de ese personaje: "El Shadow Broker es un individuo a la cabeza de una organización expansiva que comercia con información, siempre vendiendo al mejor postor. El Shadow Broker parece ser muy competente en su oficio: todos los secretos que se compran y venden nunca permiten que un cliente del Broker obtenga una ventaja significativa, lo que obliga a los clientes a continuar intercambiando información para evitar quedar en desventaja, lo que permite al Broker permanecer en el negocio ". [13]
Historial de fugas
Primera filtración: "Subasta de armas cibernéticas de Equation Group - Invitación"
Si bien la fecha exacta no está clara, los informes sugieren que la preparación de la filtración comenzó al menos a principios de agosto, [14] y que la publicación inicial ocurrió el 13 de agosto de 2016 con un Tweet de una cuenta de Twitter "@shadowbrokerss" anunciando un Página de Pastebin [6] y un repositorio de GitHub que contiene referencias e instrucciones para obtener y descifrar el contenido de un archivo que supuestamente contiene herramientas y exploits utilizados por Equation Group .
Publicación y especulación sobre autenticidad
El Pastebin [6] introduce una sección titulada "Subasta de armas cibernéticas del grupo de ecuaciones - Invitación", con el siguiente contenido:
Subasta de armas Cyber Chase de Equation Group - Invitación
- ------------------------------------------------
!!! ¡¡¡¡Atención a los patrocinadores gubernamentales de la guerra cibernética y a los que se benefician de ella !!!!
¿Cuánto pagas por las armas cibernéticas de los enemigos ? No es el malware que encuentras en las redes. ¿Ambos lados, RAT + LP, conjunto completo de herramientas de patrocinador estatal? Encontramos armas cibernéticas hechas por creadores de stuxnet , duqu , flame . Kaspersky llama Equation Group. Seguimos el tráfico de Equation Group. Encontramos el rango de fuentes del Grupo de ecuaciones. Hackear Equation Group. Encontramos muchas armas cibernéticas de Equation Group. Ves fotos. Te damos algunos archivos de Equation Group gratis, ya ves. Esta es una buena prueba, ¿no? ¡¡¡Tú disfrutas!!! Rompes muchas cosas. Encuentra muchas intrusiones. Escribes muchas palabras. Pero no todos, estamos subastando los mejores archivos. .
El Pastebin incluye varias referencias para obtener el archivo, llamado "EQGRP-Auction-Files.zip". Este archivo zip contiene siete archivos, dos de los cuales son archivos cifrados con GPG "eqgrp-Auction-file.tar.xz.gpg" y "eqgrp-free-file.tar.xz.gpg". La contraseña del archivo "eqgrp-free-file.tar.xz.gpg" se reveló en el Pastebin original theequationgroup
. La contraseña del archivo "eqgrp-Auction-file.tar.xz" se reveló en una publicación posterior de Medium CrDj"(;Va.*NdlnzB9M?@K2)#>deB7mN
.
El Pastebin continúa con instrucciones para obtener la contraseña del archivo de subasta cifrado :
Instrucciones de subasta
- --------------------
Subastamos los mejores archivos al mejor postor. Los archivos de subasta son mejores que stuxnet. Los archivos de subasta son mejores que los archivos gratuitos que ya le ofrecemos. La parte que envía la mayoría de bitcoins a la dirección: 19BY2XCgbDe6WtTVbTyzM9eR3LYr6VitWK antes de que se detenga la oferta es la ganadora, le decimos cómo descifrar. ¡¡¡Muy importante!!! Cuando envía bitcoin, agrega una salida adicional a la transacción. Agrega la salida OP_Return. En la salida de Op_Return, pones tu información de contacto (postor). Sugerimos utilizar la dirección de correo electrónico bitmessage o I2P-bote. No divulgaremos públicamente ninguna otra información. No crea mensajes sin firmar. Nos pondremos en contacto con el ganador con las instrucciones de descifrado. El ganador puede hacer con los archivos lo que quiera, no los liberamos al público.
La respuesta inicial a la publicación fue recibida con cierto escepticismo, [15] en cuanto a si el contenido en realidad sería "... muchas, muchas armas cibernéticas de Equation Group". [6]
Segunda filtración: "Mensaje n. ° 5: TrickOrTreat"
Esta publicación, realizada el 31 de octubre de 2016, contiene una lista de servidores, supuestamente comprometidos por Equation Group, así como referencias a siete herramientas supuestamente no reveladas (DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK Y STOICSURGEON) también utilizadas por el actor de amenazas. [dieciséis]
Tercera filtración: "Mensaje n. ° 6 - VENTA DE BLACK FRIDAY / CYBER MONDAY"
El mensaje n. ° 6 dice lo siguiente:
TheShadowBrokers está intentando subastar. Pueblos no como. TheShadowBrokers está probando el crowdfunding. Los pueblos no son del agrado. Ahora TheShadowBrokers está probando ventas directas. Revise ListOfWarez. Si lo desea, envíe un correo electrónico a TheShadowBrokers con el nombre de Warez que desea realizar la compra. TheShadowBrokers le está enviando un correo electrónico a la dirección de bitcoin. Realizas el pago. TheShadowBrokers enviándole un enlace + contraseña de descifrado por correo electrónico. Si no le gusta este método de transacción, encontrará TheShadowBrokers en mercados clandestinos y realizará una transacción con depósito en garantía. Archivos como siempre firmados. [17]
Esta filtración [18] contiene 60 carpetas nombradas de manera que sirvan como referencia a las herramientas que probablemente utilice Equation Group. La filtración no contiene archivos ejecutables, sino capturas de pantalla de la estructura del archivo de herramientas. Si bien la filtración podría ser falsa, la cohesión general entre las filtraciones y referencias anteriores y futuras, así como el trabajo requerido para falsificar tal fabricación, da credibilidad a la teoría de que las herramientas referenciadas son genuinas.
Cuarta filtración: "No olvides tu base"
El 8 de abril de 2017, la cuenta Medium utilizada por The Shadow Brokers publicó una nueva actualización. [19] La publicación reveló la contraseña de los archivos cifrados publicados el año pasado CrDj"(;Va.*NdlnzB9M?@K2)#>deB7mN
. Esos archivos supuestamente revelan más herramientas de piratería de la NSA. [20] Esta publicación declaró explícitamente que la publicación fue parcialmente en respuesta al ataque del presidente Trump contra un aeródromo sirio , que también fue utilizado por las fuerzas rusas.
El archivo descifrado, eqgrp-Auction-file.tar.xz, contenía una colección de herramientas principalmente para comprometer entornos basados en Linux / Unix. [21]
Quinta filtración: "Lost in Translation"
El 14 de abril de 2017, la cuenta de Twitter utilizada por The Shadow Brokers publicó un tweet con un enlace [22] a la cadena de bloques Steem. Aquí, un mensaje con un enlace a los archivos filtrados, cifrado con la contraseña Reeeeeeeeeeeeeee
.
El contenido general se basa en tres carpetas: "oddjob", "swift" y "windows". [23] Se sugiere que la quinta filtración es "... el lanzamiento más dañino hasta ahora" [24] y CNN citó a Matthew Hickey diciendo: "Esto es posiblemente lo más dañino que he visto en los últimos años". . [25]
La filtración incluye, entre otras cosas, las herramientas y exploits con nombre en código: DANDERSPIRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE , EXPLODINGCAN y EWOKFRENZY. [24] [26] [27]
Algunas de las vulnerabilidades dirigidas al sistema operativo Windows se habían parcheado en un boletín de seguridad de Microsoft el 14 de marzo de 2017, un mes antes de que ocurriera la filtración. [28] [29] Algunos especularon que Microsoft pudo haber sido avisado sobre el lanzamiento de los exploits. [30]
Eternalblue
Más de 200.000 máquinas se infectaron con herramientas de esta fuga en las dos primeras semanas, [31] y en mayo de 2017, el principal ataque de ransomware WannaCry utilizó el exploit ETERNALBLUE en Server Message Block (SMB) para propagarse. [32] El exploit también se utilizó para ayudar a llevar a cabo el ciberataque Petya de 2017 el 27 de junio de 2017. [33]
ETERNALBLUE contiene el código de shell del kernel para cargar la puerta trasera DoublePulsar no persistente . [34] Esto permite la instalación de la carga útil PEDDLECHEAP a la que luego accedería el atacante utilizando el software DanderSpritz Listening Post (LP). [35] [36]
Especulaciones y teorías sobre el motivo y la identidad.
Amenaza interna de la NSA
James Bamford junto con Matt Suiche especularon [37] que un informante, "posiblemente alguien asignado a las altamente sensibles Operaciones de Acceso Personalizado [de la NSA] ", robó las herramientas de piratería. [38] [39] En octubre de 2016, The Washington Post informó que Harold T. Martin III , un excontratista de Booz Allen Hamilton acusado de robar aproximadamente 50 terabytes de datos de la Agencia de Seguridad Nacional (NSA), era el principal sospechoso. Los Shadow Brokers continuaron publicando mensajes que estaban firmados criptográficamente y fueron entrevistados por los medios mientras Martin estaba detenido. [40]
Teoría sobre los vínculos con Rusia
Edward Snowden declaró en Twitter el 16 de agosto de 2016 que "la evidencia circunstancial y la sabiduría convencional indican la responsabilidad de Rusia" [41] y que la filtración "es probablemente una advertencia de que alguien puede demostrar la responsabilidad de cualquier ataque que se haya originado en este servidor de malware" [42 ] resumiendo que parece que "alguien envía un mensaje de que una escalada en el juego de atribución podría complicarse rápidamente". [43] [44]
The New York Times puso el incidente en el contexto de los ciberataques del Comité Nacional Demócrata y la piratería de los correos electrónicos de Podesta . Mientras las agencias de inteligencia estadounidenses contemplaban contraataques, la publicación del código de Shadow Brokers debía verse como una advertencia: "Toma represalias por el DNC, y hay muchos más secretos, de los ataques al Departamento de Estado, la Casa Blanca y el Pentágono, eso también podría derramarse. Un alto funcionario lo comparó con la escena en El Padrino donde la cabeza de un caballo favorito se deja en una cama, como advertencia ". [45]
En 2019, David Aitel, un informático anteriormente empleado por la NSA, resumió la situación con: "No sé si alguien más que los rusos conoce. Y ni siquiera sabemos si son los rusos. Nosotros no en este punto, cualquier cosa podría ser verdad ". [46]
Referencias
- ↑ a b Ghosh, Agamoni (9 de abril de 2017). " ' Presidente Trump, ¿qué diablos estás haciendo?', Dice Shadow Brokers y descarga más herramientas de piratería de la NSA" . International Business Times Reino Unido . Consultado el 10 de abril de 2017 .
- ^ " ' NSA malware' lanzado por el grupo de hackers Shadow Brokers" . BBC News . 10 de abril de 2017 . Consultado el 10 de abril de 2017 .
- ^ Brewster, Thomas. "¿Ecuación = NSA? Investigadores desenmascaran enorme 'Arsenal cibernético estadounidense ' " . Forbes . Consultado el 25 de noviembre de 2020 .
- ^ a b Sam Biddle (19 de agosto de 2016). "La fuga de la NSA es real, confirman los documentos de Snowden" . La intercepción . Consultado el 15 de abril de 2017 .
- ^ Nakashima, Ellen (16 de agosto de 2016). "Se han revelado en línea potentes herramientas de piratería de la NSA" . The Washington Post .
- ^ a b c d "Grupo de ecuaciones - Subasta de armas cibernéticas - Pastebin.com" . 16 de agosto de 2016. Archivado desde el original el 15 de agosto de 2016.
- ^ Dan Goodin (12 de enero de 2017). "Los corredores de la sombra con fugas de la NSA lanzan un cóctel Molotov antes de salir del escenario mundial" . Ars Technica . Consultado el 14 de enero de 2017 .
- ^ Goodin, Dan (16 de agosto de 2016). "Confirmado: la filtración de la herramienta de piratería provino del" omnipotente "grupo vinculado a la NSA" . Ars Technica . Consultado el 14 de enero de 2017 .
- ^ "El sorteo de ecuaciones - Securelist" .
- ^ "El grupo afirma haber pirateado a los piratas informáticos vinculados a la NSA, publica exploits como prueba" .
- ^ "El robo de la NSA 'Shadow Brokers' avergüenza a las filtraciones de Snowden - ExtremeTech" . 19 de agosto de 2016.
- ^ "Shadow Brokers: los piratas informáticos afirman haber violado el grupo de ecuaciones de la NSA" . 15 de agosto de 2016.
- ^ "Shadow Brokers: hazañas de la semana de la NSA" . Medium.com . 15 de agosto de 2016.
- ^ "The Shadow Brokers: ¿Eliminando las sombras del grupo de ecuaciones de la NSA?" .
- ^ Rob Price (15 de agosto de 2016). " ' Shadow Brokers' afirma haber pirateado una unidad de seguridad informática de élite vinculada a la NSA" . Business Insider . Consultado el 15 de abril de 2017 .
- ^ " ' Shadow Brokers' revela la lista de servidores pirateados por la NSA; China, Japón y Corea Los 3 principales países objetivo; 49 países en total, incluidos: China, Japón, Alemania, Corea, India, Italia, México, España, Taiwán, Y Rusia " . Rincón de Fortuna . 1 de noviembre de 2016 . Consultado el 14 de enero de 2017 .
- ^ "MENSAJE # 6 - VENTA BLACK VIERNES / CIBER LUNES" . bit.no.com . bit.no.com.
- ^ "unix_screenshots.zip" . bit.no.com.
- ^ theshadowbrokers (8 de abril de 2017). "No olvides tu base" . Medio . Consultado el 9 de abril de 2017 .
- ^ Cox, Joseph (8 de abril de 2017). "Están de vuelta: los corredores de la sombra lanzan más supuestas hazañas" . Placa base . Vice placa base . Consultado el 8 de abril de 2017 .
- ^ https://github.com/x0rz/EQGRP
- ^ "Perdido en la traducción" . Steemit . 14 de abril de 2017 . Consultado el 14 de abril de 2017 .
- ^ "Compartir" . Yandex.Disk . Consultado el 15 de abril de 2017 .
- ^ a b "Shadow Brokers con filtraciones de la NSA acaba de lanzar su versión más dañina hasta el momento" . Ars Technica . Consultado el 15 de abril de 2017 .
- ^ Larson, Selena (14 de abril de 2017). "Las poderosas herramientas de piratería de Windows de la NSA se filtraron en línea" . CNNMoney . Consultado el 15 de abril de 2017 .
- ^ "Último volcado de Shadow Brokers: propietario de SWIFT Alliance Access, Cisco y Windows" . Medio . 14 de abril de 2017 . Consultado el 15 de abril de 2017 .
- ^ "misterch0c" . GitHub . Consultado el 15 de abril de 2017 .
- ^ "Microsoft dice que los usuarios están protegidos del supuesto malware de la NSA" . AP Noticias . Consultado el 15 de abril de 2017 .
- ^ "Protección de clientes y evaluación de riesgos" . MSRC . Consultado el 15 de abril de 2017 .
- ^ "Microsoft dice que ya reparó las filtraciones de la NSA de 'Shadow Brokers'" . Engadget . Consultado el 15 de abril de 2017 .
- ^ "Las herramientas filtradas de la NSA, que ahora infectan a más de 200.000 máquinas, se convertirán en armas durante años" . CyberScoop . Consultado el 24 de abril de 2017 .
- ^ "Un gusano ransomware derivado de la NSA está apagando computadoras en todo el mundo" .
- ^ Perlroth, Nicole; Scott, Mark; Frenkel, Sheera (27 de junio de 2017). "El ciberataque golpea a Ucrania y luego se propaga internacionalmente" . The New York Times . pag. 1 . Consultado el 27 de junio de 2017 .
- ^ Sum, Zero (21 de abril de 2017). "zerosum0x0: DoublePulsar Initial SMB Backdoor Ring 0 Shellcode Analysis" . zerosum0x0 . Consultado el 15 de noviembre de 2017 .
- ^ "Luz brillante sobre los corredores de la sombra" . El estado de seguridad . 18 de mayo de 2017 . Consultado el 15 de noviembre de 2017 .
- ^ "Análisis de tráfico DanderSpritz / PeddleCheap" (PDF) . Forcepoint . 6 de febrero de 2018 . Consultado el 7 de febrero de 2018 .
- ^ "Corredores de la sombra: la teoría de información privilegiada" . 17 de agosto de 2016.
- ^ "Comentario: la evidencia apunta a otro Snowden en la NSA" . Reuters . 23 de agosto de 2016.
- ^ "Las pistas sugieren que un informante ayudó a la filtración de herramientas de piratería" Equation Group "de la NSA . Ars Technica . 22 de agosto de 2016.
- ^ Cox, Joseph (12 de enero de 2017). "Los vendedores ambulantes de exploits de la NSA los corredores de la sombra lo llaman" . Placa base .
- ^ "La evidencia circunstancial y la sabiduría convencional indican la responsabilidad rusa. He aquí por qué eso es importante" . Twitter . 16 de agosto de 2016 . Consultado el 22 de agosto de 2016 .
- ^ "Esta filtración es probablemente una advertencia de que alguien puede demostrar la responsabilidad de Estados Unidos por cualquier ataque que se haya originado en este servidor de malware" . 16 de agosto de 2016 . Consultado el 22 de agosto de 2016 .
- ^ "TL; DR: Esta filtración parece que alguien envía un mensaje de que una escalada en el juego de atribución podría complicarse rápidamente" . twitter.com . Consultado el 22 de agosto de 2016 .
- ^ Price, Rob (16 de agosto de 2016). "Edward Snowden: Rusia podría haber filtrado supuestas armas cibernéticas de la NSA como una 'advertencia ' " . Business Insider . Consultado el 22 de agosto de 2016 .
- ^ Eric Lipton, David E. Sanger y Scott Shane (13 de diciembre de 2016). "El arma perfecta: cómo el poder cibernético ruso invadió los Estados Unidos" New York Times . Consultado el 15 de abril de 2017 .Mantenimiento de CS1: utiliza el parámetro de autores ( enlace )
- ^ Abdollah, Tami; Tucker, Eric (6 de julio de 2019). "El misterio de la fuga de la NSA persiste mientras termina el caso del documento robado" . Prensa asociada . Archivado desde el original el 6 de julio de 2019.
enlaces externos
- Libro mayor público de la dirección de la subasta en blockchain.info
- Varios escenarios sobre quién está detrás de la filtración de The Shadow Brokers
- Lista de vulnerabilidades de firewall contenidas en la filtración de The Shadow Brokers
{[Control de autoridad}}