The Shadow Brokers опубликовали еще одну порцию хакерских инструментов АНБ

На прошлой неделе хакерская группа The Shadow Brokers прервала долгое молчание и вернулась с новым дампом, который содержал различные Unix-эскплоиты. Напомню, что эти инструменты некогда принадлежали Equation Group – хакерской группе, которую ИБ-эксперты давно связали с АНБ напрямую. Еще летом 2016 года The Shadow Brokers удалось похитить инструментарий спецслужб, и долгое время хакеры пытались продать его, а теперь, по всей видимости, готовы опубликовать бесплатно.

Новый дамп, опубликованный сегодня, 14 апреля 2017 года, получил название «Трудности перевода» (Lost in Translation). Дело в том, что на прошлой неделе были опубликованы инструменты для Unix-систем, но Windows-эксплоиты, которые как известно тоже имелись в распоряжении группировки, в него не вошли. Поэтому «Трудности перевода» преимущественно содержит тулзы для систем семейства Windows, а также якобы и доказательства того, что Equation Group имела доступ к серверам международной банковской системы SWIFT и ряда финансовых учреждений из разных стран мира.

Исследователи уже загрузили содержимое дампа на GitHub и опубликовалиполный список содержащихся в нем файлов. Так, новый архив содержит три папки: Windows, Swift и OddJob. В них можно найти следующие инструменты: OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar и так далее.

Эксперты уже занимаются изучением новых данных. Так, похоже, в директории Windows содержатся совсем не те инструменты, что The Shadow Brokers пытались продать в декабре минувшего года. Исследователи пишут, что в основном данные тулзы ориентированы на старые версии ОС (Windows XP, Server 2003 и Windows 8), однако ИБ-специалист Кевин Бимонт (Kevin Beaumont)отмечает, что эксплоиты неизвестны VirusTotal. Еще один исследователь, известный как Hacker Fantastic, сообщает, что ETERNALBLUE – это RCE-эксплоит, который опасен даже для обновленных версий Windows 2008 R2 SERVER.

Директория OddJob содержит одноименный имплантат для систем Windows, и специалисты Microsoft уже подтвердили, что изучают дамп и готовы предпринять необходимые действия для защиты пользователей.

В свою очередь, директория SWIFT содержит SQL-скрипты для поиска связанных со SWIFT данных внутри БД, а также текстовые и Excel-файлы, часть их которых, похоже, являются секретными. Из приведенной в этих файлах информации можно сделать вывод, что Equation Group имела доступ к ряду банковских систем по всему миру, перехватывая информацию о транзакциях SWIFT. В основном от атак «правительственных хакеров» страдали страны Ближнего Востока.

Согласно опубликованным файлам, хакеры успешно проникли в сеть SWIFT Service Bureau of the Middle East (EastNets). Этот департамент как раз занимается делами ближневосточных стран. На сайте EastNets уже проявилосьопровержение данной информации. Представители EastNets утверждают, что их система не была скомпрометирована, хотя в архиве The Shadow Brokers есть данные о взломанных административных аккаунтах, некоторых из которых явно имеют отношение к реально существующим сотрудникам.

Судя по всему, в ближайшие дни появится немало новых интересных подробностей о новом дампе. ][ будет следить за развитием событий.