Документы Сноудена подтверждают достоверность данных Shadow Brokers
Речь идет о связи одной из вредоносных программ кибергруппы под названием SECONDDATE с теми исходными текстами, которые представлены в архиве хакеров Shadow Brokers. Ниже дано небольшое описание функций SECONDDATE, которое было взято из секретных, ранее не публиковавшихся документов Сноудена.
SECONDDATE is a tool designed to intercept web requests and redirect browsers on target computers to an NSA web server. That server, in turn, is designed to infect them with malware. SECONDDATE«s existence was first reported by The Intercept in 2014, as part of a look at a global computer exploitation effort code-named TURBINE. The malware server, known as FOXACID, has also been described in previously released Snowden documents.
Далее приводится скан самого секретного документа, в котором речь идет о специальной константе в коде SECONDDATE, фигурирующей в одной из вредоносных программ архива Shadow Brokers.
Константа представляет из себя специальную строку, которую надлежит использовать в качестве идентификатора MSGID. Строка может быть жестко зашита в теле вредоносной программы, что можно увидеть на примере 14 различных файлов из архива Shadow Brokers. Один из таких файлов имеет название SecondDate-3021.exe. Ниже на скриншоте можно увидеть эту строку в теле исполняемого файла.
В архиве можно обнаружить 47 различных файлов, которые имеют отношение к вредоносному ПО SECONDDATE, включая, различные версии его модулей, а также инструкции для его использования. Как отмечает The Intercept, SECONDDATE, на самом деле, является всего лишь компонентом более масштабного шпионского ПО NSA под названием BADDECISION. Ниже приведены слайды секретной презентации NSA, которые недавно были опубликованы изданием.
На втором слайде показано использование атакующими компонента SECONDDATE, который используется для перенаправления трафика в системе жертвы. BADDECISION использовался в кибероперациях США в Пакистане и Ливане.