Группа хакеров утверждает, что им удалось похитить исходные коды шпионского ПО у команды киберспециалистов, известных, как “the Equation Group”, по мнению многих, тесно связанных с АНБ, одной из ведущих разведывательных служб мира. Хакеры начали продавать добытые данные на онлайн-аукционе за биткоины.
Несмотря на то, что предполагаемый взлом мог быть лишь экстравагантным обманом, специалисты, которые проанализировали данные, признали их подлинными.
«Мы взломали Equation Group. Мы нашли много-много кибер-оружия Equation Group. Перед вами изображения. Мы предоставили вам некоторые файлы Equation Group бесплатно.», — написали хакеры в субботу 13 августа на Github и на Tumblr (позже информация исчезла) — «Это достаточно хорошее доказательство? Наслаждайтесь!!!».
В этих данных есть информация об уязвимостях сетевого оборудования, которое производят Cisco, Juniper Network, Fortinet и китайская фирма Topsec. Последние изменения файлов датируются 2013 годом, и их названия пересекаются с названиями программ АНБ, раскрытых Сноуденом — например, такие названия, как BANANAGLEE, EPICBANANA, и JETPLOW.
Детали всё ещё неизвестны, но в сообществе специалистов по безопасности уже достигли консенсуса. Вместо того чтобы взламывать АНБ напрямую — хакеры, назвавшие себя “the Shadow Brokers”, внедрили ПО на одну из скомпрометированных систем сотрудников. «Они могли прослушивать сообщения или внедриться через маршрутизаторы, роутеры и другое сетевое оборудование», — так Клаудио Гварньери, знакомый с работой спецслужб специалист по безопасности, написал в своем твиттере.
Российская антивирусная компания Kaspersky Labs упоминала Equation Group в отчёте прошлого года. Компания предположила, что связанная с АНБ группа ответственна за такие операции, как »stuxnet», цифровая атака, отбросившая ядерную индустрию Ирана на десятилетие назад, и »flame», вредоносный код, поразивший правительственные учреждения ближневосточных государств.
Некоторые наблюдатели, в том числе Эдвард Сноуден, предположили, что нападавшие связаны с российскими спецслужбами, упомянув недавнюю вспышку активности “Guccifer 2.0”, связанной с Россией хакерской группой. Однако на это отвечают, что пока рано делать предположения, не имея дополнительной информации.
На момент написания статьи, адрес биткоина, связанный с Shadow Brokers, получил мизерные транзакции на общую сумму в $24 по текущему курсу, что совсем не близко к запрашиваемой сумме. Они хотят пятьсот миллионов долларов в биткоинах за то, чтобы ещё не раскрытые данные не попали в свободный доступ. Хакеры пишут, что будут принимать ставки до тех пор, «пока не почувствуют, что пришло время прекращать», и не собираются возвращать деньги проигравшим на аукционе. Многие сходятся во мнении, что это было хорошей попыткой привлечь внимание.
Тем временем, сайт WikiLeaks объявил, что у них тоже есть копия этих данных, и они скоро опубликуют файлы, связанные с “кибер-оружием”.
We had already obtained the archive of NSA cyber weapons released earlier today and will release our own pristine copy in due course.
— WikiLeaks (@wikileaks) August 16, 2016
Сообщение хакеров, написанное на плохом английском, пафосно направлено против «жадных элит», призывая их отказаться от попыток «занять пост Президента». АНБ, хакеры, а также компании, упомянутые в этой статье, пока не давали публичных комментариев.