Документы Сноудена подтверждают достоверность данных Shadow Brokers

981ab261beef48698d95d8290d72fda7.jpg В одном из наших постов, который был посвящен скомпрометированным данным кибергруппировки Equation Group, указывалось, что достоверность этих данных смог подтвердить один из ex-сотрудников NSA TAO. Другим индикатором достоверности послужил факт присутствия в архиве с данными 0day эксплойта EXTRABACON для сетевых устройств Cisco и схема именования директорий в каталоге эксплойтов. Однако, журналисты издания The Intercept, которые ранее публиковали разоблачающие NSA документы Сноудена, приводят серию других неопровержимых доказательств того, что архив Shadow Brokers действительно содержит данные кибергруппировки, которая имеет прямое отношение к NSA и известна под названием Equation Group.


Речь идет о связи одной из вредоносных программ кибергруппы под названием SECONDDATE с теми исходными текстами, которые представлены в архиве хакеров Shadow Brokers. Ниже дано небольшое описание функций SECONDDATE, которое было взято из секретных, ранее не публиковавшихся документов Сноудена.

SECONDDATE is a tool designed to intercept web requests and redirect browsers on target computers to an NSA web server. That server, in turn, is designed to infect them with malware. SECONDDATE«s existence was first reported by The Intercept in 2014, as part of a look at a global computer exploitation effort code-named TURBINE. The malware server, known as FOXACID, has also been described in previously released Snowden documents.

Далее приводится скан самого секретного документа, в котором речь идет о специальной константе в коде SECONDDATE, фигурирующей в одной из вредоносных программ архива Shadow Brokers.
53a053430ae04ffe991dfd29f1cf28b1.png

Константа представляет из себя специальную строку, которую надлежит использовать в качестве идентификатора MSGID. Строка может быть жестко зашита в теле вредоносной программы, что можно увидеть на примере 14 различных файлов из архива Shadow Brokers. Один из таких файлов имеет название SecondDate-3021.exe. Ниже на скриншоте можно увидеть эту строку в теле исполняемого файла.

a4fec3f9ae21479d86a51644ac7c1926.png

В архиве можно обнаружить 47 различных файлов, которые имеют отношение к вредоносному ПО SECONDDATE, включая, различные версии его модулей, а также инструкции для его использования. Как отмечает The Intercept, SECONDDATE, на самом деле, является всего лишь компонентом более масштабного шпионского ПО NSA под названием BADDECISION. Ниже приведены слайды секретной презентации NSA, которые недавно были опубликованы изданием.

f0e8d678d3194b3eab09a533d054fd38.png
6c9a078cdd0746d295f54e5ea970dc64.png

На втором слайде показано использование атакующими компонента SECONDDATE, который используется для перенаправления трафика в системе жертвы. BADDECISION использовался в кибероперациях США в Пакистане и Ливане.

Комментарии (0)

© Habrahabr.ru