Shadow Brokers je skupina hackerů, o nichž je známo, že v roce 2016 odhalili špionážní nástroje, mimo jiné z Equation Group , hackerské jednotky napojené na Národní bezpečnostní agenturu. (NSA).
The 13. srpna 2016, Stínoví Brokers , dosud neznámé, dělá zdarma ke stažení celou řadu špionážních a hackerských programů, které tvrdí, že ukradl ze skupiny rovnic , elitní hacker jednotky, která byla v provozu po dobu nejméně 2000s jménem NSA, americká zpravodajská agentura odpovědná mimo jiné za dohled a špionáž na internetu. Kolektiv zveřejňuje tato data na Tumblr , GitHub a Pastebin (tři velmi populární sociální sítě a fóra) a zveřejňuje je prostřednictvím svého twitterového účtu (@shadowbrokerss) řadou tweetů adresovaných významným americkým novinám a televizním kanálům. Ve zprávě doprovázející kybernetické zbraně skupina uvádí, že se jedná pouze o část programů, které vlastní, a že „nejlepší počítačové zbraně“ jsou draženy za milion bitcoinů , tedy 568 milionů dolarů.
The 15. srpna, Účet Shadow Brokers GitHub je uzavřen. Následujícího dne je účet Tumblr smazán. Totéž se stane krátce poté na účet Pastebin.
The 16. srpnaruská společnost zabývající se počítačovou bezpečností Kaspersky Lab , která dříve pracovala na skupině Equation Group , oznamuje, že porovnala soubory poskytnuté společností The Shadow Brokers s programy podezřelých hackerů NSA, které vlastní, a dochází k závěru, že „sdílejí přesné a vzácné vlastnosti“ , jehož padělání je „vysoce nepravděpodobné“.
The 19. srpnaStránka Intercept , specializující se na zveřejňování vyšetřování globálního dohledu ze strany USA a odhalení Edwarda Snowdena , potvrzuje autentičnost souborů: zmínky o nástrojích publikovaných The Shadow Brokers se objevují v dokumentech, které bývalý zaměstnanec NSA a informátor Edward Snowden zveřejněn v roce 2013 a jehož stránka má kopii.
1 st říjen Twitter účet stínu Brokers, který dal žádné známky aktivity od13. srpna, obnovuje tweety s odkazem vedoucím k nové zprávě zveřejněné na fórech Reddit a platformě blogů Medium, ve kterých kolektiv odpovídá na otázky, zejména o fungování aukcí kybernetických zbraní. Harold T. Martin, zaměstnanec subdodavatele NSA obviněný z krádeže značného množství dat, se však nezmíní, ani o předpokladech, které z něj činí zdroj The Shadow Brokers.
The 15. října, stále prostřednictvím Twitteru, skupina oznamuje novou zprávu zveřejněnou na Pastebin, Reddit a Medium, ve které informuje, že aukce skončily, ale že pokud by bylo dosaženo částky 10 000 bitcoinů (tj. 7 milionů USD), vydělalo by to cyber zbraně jsou k dispozici ke stažení zdarma. Zprávu doprovází parodický dialog mezi bývalým prezidentem USA Billem Clintonem a ministryní spravedlnosti Obamovy vlády a americkou generální prokurátorkou Lorettou Lynchovou , známou jako „ konverzace Billa Clintona a Lorrety Lynchové v arizonském letadle “. Konverzace se podle protagonistů týká neočekávaného setkání manžela demokratické prezidentské kandidátky do Spojených států Hillary Clintonové a ministra spravedlnosti27. červnana letišti ve Phoenixu v Arizoně .
The 31. října„The Shadow Brokers tweetnul zveřejnění nových informací o NSA na médiích Medium a Reddit ve zprávě s názvem„ Trick or Treat? “ "(Vzorec používaný k získávání pamlsků na Halloween, což znamená" Zachází nebo kouzlo? "). Po projevu věnovaném prezidentským volbám v roce 2016 ve Spojených státech , kupní síle, digitální válce a třídnímu boji , poskytli Shadow Brokers přístup k archivu. Zveřejněná datová sada obsahuje několik stovek doménových jmen a IP adres po celém světě, které byly údajně hacknuty NSA.
The 14. prosince„The Shadow Brokers publikuje pod jménem Boceffus Cleetus článek na médiu s názvem „ Využívá Shadow Brokers prodej NSA na ZeroNet? “ " . Tento alias, který má účet na Twitteru (@cleetusbocefus) a tvrdí, že je fašista , odkazuje na stránky decentralizované online platformy ZeroNet a naznačuje, že úniky dat souvisejí s meziagenturními spory mezi CIA a NSA. Dotyčný web nabízí seznam kybernetických zbraní k prodeji s možností zakoupení celého balíčku za 1 000 bitcoinů (780 000 USD). Tato stránka nabízí návštěvníkům ke stažení soubory související s každou službou k prodeji, přičemž tato služba je podepsána klíčem PGP odpovídajícím stopě Shadow Brokers.
The 15. prosince„The Shadow Brokers reaguje na žádost o rozhovor, kterou jim stránka Motherboard zaslala od srpna, krátkou zprávou:
"Stínoví makléři nebyli zatčeni." Shadow Brokers nejsou nezodpovědní zločinci. Shadow Brokers jsou oportunisté. Shadow Brokers dali „odpovědným stranám“ příležitost dělat věci správně. Nebylo to tak. Nejsou zodpovědní lidé. Shadow Brokers si zasloužili odměnu za riskování, proto žádáme o peníze. Riziko není zdarma. Náš postoj je urážka , ne podvod. "
The 12. ledna 2017„The Shadow Brokers oznamuje na svých stránkách ZeroNet zastavení jejich činnosti a vysvětluje, že je příliš riskantní a že není dostatečně lukrativní, přičemž upřesňuje, že její nabídka zůstává platná. Podle údajů průzkumníka bitcoinových bloků Blockchain Info skupina hackerů obdržela něco přes 10 bitcoinů rozložených do 72 transakcí. Avšak „před odjezdem“ skupina nahrála archiv 61 souborů, které neobsahovaly hackerské nástroje, ale implantáty. Podle analýzy výzkumníka v oblasti kybernetické bezpečnosti Matta Suiche je archiv starý a málo zajímavý, protože jej již detekoval antivirus společnosti Kaspersky Lab.
The 8. dubna, Shadow Brokers, kteří tvrdí, že jsou zklamáni politikou nedávno zvoleného prezidenta Spojených států Donalda Trumpa (zejména americkou stávkou proti Sýrii po masakru Chán Šejchoun 4. dubna 2017 ), se znovu objeví zveřejněním blogového příspěvku na médiu, ve kterém zejména vyjasňují svůj postoj vůči Rusku s tím, že nemají žádné zvláštní sympatie k prezidentu Vladimiru Putinovi, ale že nacionalismus ruského vůdce se jim jeví jako přínos proti socialismu a globalismu , což „považují za své nepřátelé. Jejich dílo končí přístupem k archivu, který mimo jiné obsahuje seznam 900 serverů patřících společnostem a univerzitám, které by NSA nabourala, aby je použila jako návnadu při zahájení kybernetických útoků, a dokumenty označující že služba zasílání zpráv CaraMail byla unesena americkou agenturou v roce 2001. Podle výzkumníka v oblasti kybernetické bezpečnosti Matthewa Hickeyho ze společnosti My Hacker House tato odhalení svědčí o vysoké míře kompromisu serverů Solaris ze strany NSA.
The 14. dubnahackerská skupina odhalila novou sadu nástrojů ukradených z NSA. První část archivu obsahuje nástroje určené ke špionáži v mezibankovní síti SWIFT . K tomuto odhalení došlo několik měsíců po kybernetické loupeži bangladéšské centrální banky prostřednictvím sítě SWIFT, kterou provedla severokorejská hackerská skupina Lazarus podle výzkumníků v oblasti kybernetické bezpečnosti ve společnosti Symantec . Druhá část archivu obsahuje exploity týkající se Windows a Windows Serveru. Ve stejný den společnost Microsoft prohlašuje, že opravila chyby, které tyto exploity používaly, u některých již několik let a u jiných nověji, například vadu EternalBlue , opravenou měsíc před odhalením archivu.
Původ, vágní motivace a konkrétní kontext, ve kterém The Shadow Brokers odhalili ( hacking Demokratické strany během prezidentských voleb a publikace WikiLeaks o tajných službách), ukazují, že skupina v sobě ukrývá sílu velké destabilizace, o čemž svědčí krize spojené s kybernetickými útoky NotPetya a WannaCry .
Název kolektivu je odkaz na postavu ze série videohry Mass Effect . Je to v tomto sci-fi vesmíru mimozemská bytost v čele obrovské organizace, která vyjednává o informacích a vždy prodává tomu, kdo nabízí nejvyšší cenu. Na začátku roku 2017 je identita hackera nebo členů hackerské skupiny stále neznámá, i když kolují hypotézy. Informátor a bývalý zaměstnanec NSA Edward Snowden tedy hájí a vysvětluje v sérii tweetů hypotézu, že za Stínovými makléři stojí Rusko.
Anonymní svědci webu Motherboard, bývalí agenti NSA uvedli, že věří, že nejpravděpodobnější hypotézou bude „jeden člověk, jeden interně“, protože pro zaměstnance by bylo mnohem snazší ukrást tato data (způsobem Snowdena v roce 2013 ) než aby jej získala externí osoba, zejména proto, že některé soubory obsažené v první publikaci The Shadow Brokers „byly přístupné pouze zevnitř“ , protože byly uloženy na stroji fyzicky izolovaném od sítě (bezpečnostní opatření známé jako vzduchová mezera ). Vyvracejí „99,9%“ myšlenku, že za tímto narušením údajů stojí Rusko.
Hrubá angličtina s často chybnou gramatikou, která charakterizuje příspěvky The Shadow Brokers, vyvolala zájem ředitele magisterského programu v oblasti datových věd na Illinoisském technologickém institutu Shloma Argamona, který podle své jazykové analýzy dospěl k závěru, že autor tyto zprávy (za předpokladu, že existuje pouze jedna) by pravděpodobně byly anglickým mluvčím, který by se snažil vydávat za někoho, kdo nemá angličtinu jako jazykovou mateřskou školu, logicky by se pokusil pokrýt své stopy tím, že by upozornil vyšetřovatele na Rusko.
The 5. října, Americké ministerstvo spravedlnosti oznamuje zatčení Harold Thomas Martin III (in) , s podezřením na ukradených dat klasifikovány jako „přísně tajné“, zatímco on pracoval pro subdodavatele NSA, Booz Allen Hamilton . Několik odborníků předpokládá souvislost mezi Haroldem Martinem a The Shadow Brokers.
The 20. října, státní zástupci odpovědní za případ v úředním dokumentu vysvětlují, že se jedná o ekvivalent 50 terabajtů dat a tisíce stránek dokumentů, z nichž některé byly označeny jako „tajné“ nebo „přísně tajné“, které byly doma zabaveny Harold T. Martin.
The 15. prosince, skupina odpověděla na žádost webu Motherboard o rozhovor krátkou zprávou popírající obvinění, že Hal Martin byl zdrojem hackerů.
Analýza souborů ke stažení souvisejících s každou službou k prodeji na webu The Shadow Brokers ZeroNet provedená výzkumnými pracovníky v oblasti kybernetické bezpečnosti společnosti Flashpoint je vedla k závěru, že s největší pravděpodobností pocházejí z interního datového skladu v NSA a že to bylo pravděpodobně zaměstnanec nebo subdodavatel, který k tomu měl přístup. Kromě toho vyvracejí hypotézu, že The Shadow Brokers unesli jeden ze serverů NSA, a tvrdí, že by nemělo smysl, aby americká agentura nechávala svůj arzenál na zranitelném zařízení.
Exploit je zranitelnost, která umožňuje útočníkovi dovolit ohrozit počítačový systém, získat data, nebo nasadit implantát / nástroj. Na druhé straně implantát označuje škodlivý software, který je nainstalován na kompromitovaném zařízení. A konečně, nástroj představuje software, který může nasadit více implantátů i využít.
Nástroje vydané společností The Shadow Brokers obsahují sady implantátů, exploitů a nástrojů pro hackování bran firewall , včetně nástrojů od dodavatelů Cisco Systems a Fortinet . Ten rychle zpřístupnil opravy poté, co oznámil, že publikované soubory obsahují zranitelnosti nulového dne , to znamená chyby, které nikdy předtím nebyly objeveny. Celkově obsahují první soubory nahrané společností The Shadow Brokers a nejnovější soubory z roku 2013 patnáct exploatačních kódů .
Nástroj SECONDDATE, který se již objevil v odhaleních Edwarda Snowdena z roku 2013, je navržen tak, aby zachytil webové požadavky a poté je přesměroval na webový server NSA, který následně tyto počítače infikuje. Tento nástroj by podle The Intercept infikoval miliony počítačů po celém světě. Na základě dosud nepublikovaných dokumentů poskytnutých Edwardem Snowdenem dokázal Intercept potvrdit autentičnost souborů The Shadow Brokers. Denník zmiňuje řetězec znaků sloužících jako identifikátor pro SECONDDATE z příručky pro implementaci malwaru.
Exploze EGREGIOUSBLUNDER využívá chybu zabezpečení „vzdáleného spuštění kódu“ ve firewallech Fortinet Fortigate prostřednictvím přetečení vyrovnávací paměti v souborech cookie HTTP.
Využití ESCALATEPLOWMAN je skript v programovacím jazyce Python , který je určen k provádění příkazových injekcí na systémech prodávaných společností RapidStream, společností získanou společností CyberSecurity WatchGuard v roce 2002. Toto zneužití umožňuje útočníkovi obnovit a zničit spuštění souboru z Internetu. Vydavatel WatchGuard objasnil, že pouze zařízení RapidStream, jejich specifik, jsou zranitelná vůči tomuto útoku.
První ze tří zveřejněných souborů obsahuje pouze zprávu týkající se údajného poškození voleb do USA v roce 2016. Druhý, „trickortreat.tar.xz.gpg“, je zašifrovaný soubor GNU Privacy Guard otevřený klíčem „payus“ The Shadow Brokers. Ten se skládá ze dvou souborů s názvem PITCHIMPAIR a INTONATION.
Podadresáře, analyzované dvěma specialisty na kybernetickou bezpečnost , Jennifer Arcuri a Matthew Hickey, jsou identifikovány podle názvu domény a IP adresy pro celkem 352 samostatných IP adres, 306 doménových jmen, o kterých The Shadow Brokers uvedlo, že by byly napadeny skupinou Equation Group a poté byly použity k zahájení kybernetických útoků proti skutečným cílům NSA.
Na základě dat souborů byly servery zacíleny mezi 22. srpna 2000 a 18. srpna 2010. Útoky se odehrály ve 49 zemích, z nichž nejvíce se zaměřují na asijsko-pacifickou oblast . V cílených adresách je devět domén .gov a domén třicet dva .edu.
Ve Francii několik domén na seznamu patří provozovateli Colt . Tři další jsou propojeny se sítí Ženevské univerzity . Společnost Switch, která spravuje síť mezi švýcarskými středními a vysokými školami (včetně sítě v Ženevě), kontaktovala online noviny Switzerland Watson, které tyto informace potvrdily. Upřesňuje, že poznamenala, že mezi lety 2001 a 2003 byly ovlivněny tři servery Ženevské univerzity, ale že dva nejsou aktivní od roku 2009 a že třetí není přístupný zvenčí.
Publikace obsahuje také další data, včetně konfigurací sady nástrojů, která byla použita k hackování serverů s operačními systémy Unix . Několik těchto kompromitovaných serverů používalo v 2000s Linux , FreeBSD a Solaris , populární operační systém .
Poprvé od odhalení Edwarda Snowdena v roce 2013 jsou odhaleny konkrétní příklady šíře globálního dohledu provozovaného NSA, které poskytují pohled na to, jak vypadají složité systémy popsané v dokumentech Snowdena, když jsou „nasazeny v reálném světě.
Veřejná řada exploitů EternalBlue od The Shadow Brokers je zdrojem dvou velkých kybernetických útoků, a to i při nejvyšším výkupném v historii internetu , WannaCry a NotPetya .