Con 8 días antes de la inauguración de Donald Trump, el escape es seguro para inflamar los funcionarios de Estados Unidos.
Shadow Brokers, el misterioso grupo que ganó fama internacional cuando se publicó cientos de herramientas de hacking avanzados pertenecientes a la Agencia Nacional de Seguridad , dice que va oscuro. Pero antes de que suceda, está lanzando una bomba molotov que es seguro para inflamar aún más la comunidad de inteligencia de Estados Unidos.
"A pesar de las teorías, es siempre estar a punto para bitcoins TheShadowBrokers," post del jueves, que no estaba disponible ya que este artículo iba en vivo, declaró. "Vertederos libres y hablar mierda política estaba siendo para la comercialización de la atención. No habiendo bitcoins en vertederos y regalos gratis. Se le ha decepcionado? Nadie está siendo más decepcionado que TheShadowBrokers."
insulto de despedida
expertos de malware aún están analizando los archivos, pero los primeros indicios son que, como fue el caso de anteriores Brokers Shadow vertederos, pertenecían a las de acceso operaciones a medida, unidad de la piratería de élite de la NSA responsable de irrumpir en los ordenadores y redes de adversarios de Estados Unidos. Y la evidencia dados los archivos no se detectó por muchas de las defensas de malware más utilizado en todo el mundo, mensaje de despedida del jueves puede haber sido poco más que un insulto de despedida, en particular si el grupo tiene su origen en el gobierno ruso, como miembros de la comunidad de inteligencia han especulado .
"Este mensaje de despedida es una especie de quemadura momento-que-a-la-tierra," Jake Williams, un experto en malware y fundador de Rendition Infosec , dijo a Ars. "Lazos rusos tienen sentido dada la inauguración [de Donald Trump] que ocurre en un corto período de tiempo [a partir de ahora]. Si que la narrativa es correcta y la sombra Brokers es el ruso, no serían capaces de liberar esas herramientas después de Trump asuma el cargo. Si usted rueda con esa narrativa, [la teoría quemadura-it-a-la-tierra] ciertamente funciona. "
En estas teorías, los piratas informáticos rusos trataron de influir en la elección presidencial de 2016 a favor de Trump con la esperanza de que sus políticas serían más favorables a Rusia que Hillary Clinton. Una vez que asuma el cargo Trump, hackers rusos querrían evitar cualquier retroceso de golpear el nuevo presidente. Mensaje de despedida del jueves se produjo pocas horas después de una nueva expedición desde Guccifer 2.0 , el personaje en línea que se filtró hackeado correos electrónicos demócratas de que la comunidad de inteligencia estadounidense dijo que era un frente para los operarios rusos. En el post, Guccifer 2.0 rechazó enérgicamente la acusación de que era ruso y afirmó pruebas de lo contrario era falsa.
Volcado del jueves se produjo varios días después de que miembros de la sombra Brokers publicado capturas de pantalla de lo que decían se explota NSA-desarrollado para sistemas Windows . Mientras que la ausencia de los propios archivos reales hizo imposible el análisis, las imágenes y los nombres de los archivos sugirieron la caché puede haber incluido una puerta trasera hecha posible por una vulnerabilidad no parcheada actualmente en la implementación de Windows del protocolo Bloque de mensajes del servidor.
Otras herramientas parecían proporcionar:
- circunvalación para el antivirus de al menos una docena de proveedores, incluyendo Kaspersky, Symantec, McAfee y Trend Micro
- una forma aerodinámica para eliminar quirúrgicamente las entradas de los registros de eventos utilizados para investigar forense ordenadores y redes violado
- hacks para un cliente de correo electrónico basado en Windows conocida comoWorldTouch
- capacidades para obtener privilegios de administrador o el vertido contraseñas en las máquinas de Ventanas.
Un representante de Kaspersky Lab emitió la siguiente declaración:
"En Kaspersky Lab, hemos comprobado una copia del archivo desde el último mensaje de la sombra corredores y realizó un análisis rápido. La mayoría de las muestras en el archivo son EquationDrug plugins, módulos GrayFish y módulos EquationVector. Estas tres plataformas de malware son conocidos utilizados por el grupo de ecuaciones, que describimos en febrero de 2015. en la lista de 61 archivos proporcionados, nuestros productos ya la detección de 44 de ellos. estamos actualizando nuestros productos para detectar todas las muestras adicionales.
El texto completo del mensaje de despedida del corredor de la sombra leyó:
En tanto, los pueblos de despedida. TheShadowBrokers va oscuro, por lo que la salida.Continuando está siendo mucho riesgo y la mierda, no muchos bitcoins.TheShadowBrokers está eliminando las cuentas y seguir adelante comunicaciones así que no se tratan. A pesar de las teorías, es siempre estar a punto para bitcoins TheShadowBrokers. vertederos libres y charla política mierda estaba siendo para la atención de marketing. No habiendo bitcoins en vertederos y regalos gratis. Se le está decepcionado? Nadie está siendo más decepcionado que TheShadowBrokers. Pero TheShadowBrokers está dejando la puerta abierta. Le tienen TheShadowBrokers dirección bitcoin pública oferta 19BY2XCgbDe6WtTVbTyzM9eR3LYr6VitWK TheShadowBrokers sigue siendo buena, sin caducidad. Si TheShadowBrokers recibir 10.000 BTC en dirección bitcoin continuación, saliendo de su escondite y el vertido contraseña para Linux + de Windows. Antes de ir, TheShadowBrokers cayeron Grupo Ecuación de Windows Warez en el sistema con el producto de seguridad Kaspersky. 58 archivos aparecieron Kaspersky alerta para TheShadowBrokers equationdrug.generic y equationdrug.k está dando Usted hizo estallar archivos e incluyendo archivos LP correspondiente. La contraseña es FUCKTHEWORLD ¿Está siendo cogida final que, usted debe haber estado creyendo TheShadowBrokers.
Los archivos incluidos con el poste realizaron los siguientes nombres:
DoubleFeatureDll.dll.unfinalized
DuplicateToken_Implant.dll
DuplicateToken_Lp.dll
DXGHLP16.SYS
EventLogEdit_Implant.dll
EventLogEdit_Lp.dll
GetAdmin_Implant.dll
GetAdmin_Lp.dll
kill_Implant9x.dll
kill_Implant.dll
LSADUMP_Implant.dll
LSADUMP_Lp.dll
modifyAudit_Implant.dll
modifyAudit_Lp.dll
modifyAuthentication_Implant.dll
modifyAuthentication_Lp.dll
ModifyGroup_Implant.dll
ModifyGroup_Lp.dll
ModifyPrivilege_Implant.dll
ModifyPrivilege_Lp.dll
msgkd.ex_
msgki.ex_
msgks.ex_
msgku.ex_
mssld.dll
msslu.dll
mstcp32.sys
nethide_Implant.dll
nethide_Lp.dll
ntevt.sys
ntevtx64.sys
ntfltmgr.sys
PassFreely_Implant. DLL
PassFreely_Lp.dll
PC_Legacy_dll
PC_Level3_dll
PC_Level3_dll_x64
PC_Level3_flav_dll
PC_Level3_flav_dll_x64
PC_Level3_http_dll
PC_Level3_http_dll_x64
PC_Level3_http_flav_dll
PC_Level3_http_flav_dll_x64
PC_Level4_flav_dll
PC_Level4_flav_dll_x64
PC_Level4_flav_exe
PC_Level4_http_flav_dll
PC_Level4_http_flav_dll_x64
PortMap_Implant.dll
PortMap_Lp.dll
ProcessHide_Implant.dll
ProcessHide_Lp.dll
processinfo_Implant9x.dll
processinfo_Implant.dll
ProcessOptions_Implant.dll
ProcessOptions_Lp.dll
pwdump_Implant.dll
pwdump_Lp.dll
RunAsChild_Implant. DLL
RunAsChild_Lp.dll
tdi6.sys
DuplicateToken_Implant.dll
DuplicateToken_Lp.dll
DXGHLP16.SYS
EventLogEdit_Implant.dll
EventLogEdit_Lp.dll
GetAdmin_Implant.dll
GetAdmin_Lp.dll
kill_Implant9x.dll
kill_Implant.dll
LSADUMP_Implant.dll
LSADUMP_Lp.dll
modifyAudit_Implant.dll
modifyAudit_Lp.dll
modifyAuthentication_Implant.dll
modifyAuthentication_Lp.dll
ModifyGroup_Implant.dll
ModifyGroup_Lp.dll
ModifyPrivilege_Implant.dll
ModifyPrivilege_Lp.dll
msgkd.ex_
msgki.ex_
msgks.ex_
msgku.ex_
mssld.dll
msslu.dll
mstcp32.sys
nethide_Implant.dll
nethide_Lp.dll
ntevt.sys
ntevtx64.sys
ntfltmgr.sys
PassFreely_Implant. DLL
PassFreely_Lp.dll
PC_Legacy_dll
PC_Level3_dll
PC_Level3_dll_x64
PC_Level3_flav_dll
PC_Level3_flav_dll_x64
PC_Level3_http_dll
PC_Level3_http_dll_x64
PC_Level3_http_flav_dll
PC_Level3_http_flav_dll_x64
PC_Level4_flav_dll
PC_Level4_flav_dll_x64
PC_Level4_flav_exe
PC_Level4_http_flav_dll
PC_Level4_http_flav_dll_x64
PortMap_Implant.dll
PortMap_Lp.dll
ProcessHide_Implant.dll
ProcessHide_Lp.dll
processinfo_Implant9x.dll
processinfo_Implant.dll
ProcessOptions_Implant.dll
ProcessOptions_Lp.dll
pwdump_Implant.dll
pwdump_Lp.dll
RunAsChild_Implant. DLL
RunAsChild_Lp.dll
tdi6.sys
De interés para los investigadores que buscan pistas sobre las personas que están detrás de la sombra Brokers, Imágenes incluidas con el archivo de volcado mostraba los archivos fueron incluidos en una unidad D, que era más probable una unidad USB, dado un icono adjunto. La carpeta se tituló DSZOPSDISK, una cadena que también coincide con un nombre de carpeta de un vertedero de explotar anterior. La evidencia "da credibilidad al argumento de que la fuga provenía de una información privilegiada que robó, y el control posteriormente perdida de, una memoria USB, en lugar de un corte directo de la NSA," investigador independiente Matt Tait, quien puestos bajo el Twitter manejan Pwn Todos las cosas , dijo a Ars. Como también se observa Tait , el equipo de la unidad se adjuntó a que parecía estar funcionando las herramientas de VMware Kaspersky AV y, no tenía conectado a la red o tarjeta de sonido, y fue configurado para mostrar fechas en el formato dd / mm / aaaa. Los archivos fueron firmados por la misma clave criptográfica utilizada para firmar anterior Shadow Broker vertederos.
El seguimiento de huellas de oso
Una teoría lanzada por oficiales de inteligencia y reportado por The New York Times, es que las fugas de sombra Brokers se llevaron a cabo por agentes rusos como una advertencia a los EE.UU. de no escalar públicamente culpa del presidente Vladimir Putin por los cortes en el Comité Nacional Demócrata. NSA filtrador Edward Snowden y una serie de otros también han especulado que Rusia está detrás de los corredores de la sombra también. No hay una prueba definitiva de la participación de Rusia, pero el momento de la despedida del jueves y las fugas potencialmente dañinos que la acompañaron prometedor ocho días antes de la toma de posesión del presidente electo Donald Trump-dar la impresión ineludible de un enlace.
"Puede que no sean de Rusia", dijo Williams, de los miembros de la sombra Brokers. "Sin embargo, es inexplicable que liberarían el vertedero sin entender el momento y la forma en que se lee. Cualquier persona lo suficientemente inteligente como para robar estas herramientas entiende la conclusión que se extrae por la mayoría."
No hay comentarios:
Publicar un comentario