stringtranslate.com

Los corredores de la sombra

The Shadow Brokers ( TSB ) es un grupo de hackers que apareció por primera vez en el verano de 2016. [1] [2] Publicaron varias filtraciones que contienen herramientas de hacking, incluidos varios exploits de día cero , [1] del " Equation Group " que Se sospecha ampliamente que es una rama de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. [3] [4] Específicamente, estos exploits y vulnerabilidades [5] [6] estaban dirigidos a firewalls empresariales , software antivirus y productos de Microsoft . [7] The Shadow Brokers originalmente atribuyeron las filtraciones al actor de amenazas Equation Group, que ha estado vinculado a la unidad de Operaciones de Acceso Adaptado de la NSA . [8] [9] [10] [4]

Nombre y alias

Varias fuentes de noticias señalaron que el nombre del grupo probablemente hacía referencia a un personaje de la serie de videojuegos Mass Effect . [11] [12] Matt Suiche citó la siguiente descripción de ese personaje: "El Shadow Broker es un individuo a la cabeza de una organización expansiva que comercia con información, siempre vendiendo al mejor postor. El Shadow Broker parece ser muy competente. en su negocio: todos los secretos que se compran y venden nunca permiten que un cliente del corredor obtenga una ventaja significativa, lo que obliga a los clientes a continuar intercambiando información para evitar quedar en desventaja, lo que permite al corredor permanecer en el negocio". [13]

Historial de fugas

Fugas del grupo de ecuaciones

Si bien la fecha exacta no está clara, los informes sugirieron que la preparación de la filtración comenzó al menos a principios de agosto, [14] y que la publicación inicial ocurrió el 13 de agosto de 2016 con un Tweet de una cuenta de Twitter "@shadowbrokerss" que anunciaba una Página de Pastebin [6] y un repositorio de GitHub que contiene referencias e instrucciones para obtener y descifrar el contenido de un archivo que supuestamente contiene herramientas y exploits utilizados por Equation Group . La respuesta inicial a la publicación generó cierta incertidumbre sobre su autenticidad. [15]

El 31 de octubre de 2016, The Shadow Brokers publicó una lista de servidores supuestamente comprometidos por Equation Group, así como referencias a siete herramientas supuestamente no reveladas (DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK Y STOICSURGEON) también utilizadas por El actor de la amenaza. [dieciséis]

El 8 de abril de 2017, la cuenta Medium utilizada por The Shadow Brokers publicó una nueva actualización. [17] La ​​publicación reveló la contraseña de los archivos cifrados publicados el año anterior, que supuestamente tenían más herramientas de piratería de la NSA. [18] Esta publicación declaró explícitamente que la publicación fue parcialmente en respuesta al ataque del presidente Trump contra un aeródromo sirio , que también fue utilizado por las fuerzas rusas.

Fuga de herramienta de piratería el 14 de abril

El 14 de abril de 2017, The Shadow Brokers lanzó, entre otras cosas, las herramientas y exploits con nombre en código: DANDERSPRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE , EXPLODINGCAN y EWOKFRENZY. [19] [20] [21]

Se sugirió que la filtración era "... la publicación más dañina hasta ahora" [19] y CNN citó a Matthew Hickey diciendo: "Esto es posiblemente lo más dañino que he visto en los últimos años". [22]

Algunos de los exploits dirigidos al sistema operativo Windows fueron parcheados en un boletín de seguridad de Microsoft del 14 de marzo de 2017, un mes antes de que ocurriera la filtración. [23] [24] Algunos especularon que Microsoft pudo haber sido avisado sobre el lanzamiento de los exploits. [25]

EternoAzul

Más de 200.000 máquinas fueron infectadas con herramientas de esta filtración en las primeras dos semanas, [26] y en mayo de 2017, el principal ataque de ransomware WannaCry utilizó el exploit ETERNALBLUE en Server Message Block (SMB) para propagarse. [27] El exploit también se utilizó para ayudar a llevar a cabo el ciberataque Petya de 2017 el 27 de junio de 2017. [28]

ETERNALBLUE contiene shellcode del kernel para cargar la puerta trasera no persistente DoublePulsar . [29] Esto permite la instalación de la carga útil PEDDLECHEAP a la que luego accedería el atacante utilizando el software DanderSpritz Listening Post (LP). [30] [31]

Especulaciones y teorías sobre motivo e identidad.

Amenaza interna de la NSA

James Bamford junto con Matt Suiche especularon [32] que un informante, "posiblemente alguien asignado a las altamente sensibles Operaciones de Acceso Personalizado [de la NSA] ", robó las herramientas de piratería. [33] [34] En octubre de 2016, The Washington Post informó que Harold T. Martin III , un excontratista de Booz Allen Hamilton acusado de robar aproximadamente 50 terabytes de datos de la Agencia de Seguridad Nacional (NSA), era el principal sospechoso. Martin había trabajado con las Operaciones de Acceso a Medida de la NSA de 2012 a 2015 en una función de apoyo. Se declaró culpable de retener información de defensa nacional en 2019, pero no está claro si los Shadow Brokers obtuvieron su material de él. Los Shadow Brokers continuaron publicando mensajes firmados criptográficamente y fueron entrevistados por los medios mientras Martin estaba detenido. [35]

Teoría sobre los vínculos con Rusia

Edward Snowden declaró en Twitter el 16 de agosto de 2016 que "la evidencia circunstancial y la sabiduría convencional indican responsabilidad rusa" [36] y que la filtración "es probablemente una advertencia de que alguien puede demostrar la responsabilidad de cualquier ataque que se haya originado en este servidor de malware" [37 ] resumiendo que parece como si "alguien estuviera enviando un mensaje de que una escalada en el juego de la atribución podría complicarse rápidamente". [38] [39]

El New York Times puso el incidente en el contexto de los ciberataques del Comité Nacional Demócrata y el pirateo de los correos electrónicos de Podesta . Mientras las agencias de inteligencia estadounidenses contemplaban contraataques, la publicación del código de Shadow Brokers debía interpretarse como una advertencia: "Tomen represalias contra el Comité Nacional Demócrata, y hay muchos más secretos, procedentes de los hackeos del Departamento de Estado, de la Casa Blanca y de la Pentágono, esto también podría divulgarse. Un alto funcionario lo comparó con la escena de El Padrino , donde la cabeza de su caballo favorito es dejada en una cama, a modo de advertencia". [40]

En 2019, David Aitel, un científico informático que anteriormente trabajó para la NSA, resumió la situación de la siguiente manera: "No sé si alguien más que los rusos lo sabe. Y ni siquiera sabemos si son los rusos. No sabemos Lo sé en este momento; cualquier cosa podría ser verdad." [41]


Referencias

  1. ^ ab Ghosh, Agamoni (9 de abril de 2017). "'Presidente Trump, ¿qué carajo estás haciendo?, dice Shadow Brokers y arroja más herramientas de piratería de la NSA ". Tiempos de negocios internacionales del Reino Unido . Consultado el 10 de abril de 2017 .
  2. ^ "'Malware de la NSA 'lanzado por el grupo de hackers Shadow Brokers ". Noticias de la BBC . 10 de abril de 2017 . Consultado el 10 de abril de 2017 .
  3. ^ Brewster, Thomas. "¿Ecuación = NSA? Los investigadores descubren el enorme 'ciberarsenal estadounidense'". Forbes . Consultado el 25 de noviembre de 2020 .
  4. ^ ab Sam Biddle (19 de agosto de 2016). "La fuga de la NSA es real, lo confirman los documentos de Snowden". La Intercepción . Consultado el 15 de abril de 2017 .
  5. ^ Nakashima, Ellen (16 de agosto de 2016). "Se han revelado en línea potentes herramientas de piratería de la NSA". El Washington Post .
  6. ^ ab "Grupo de ecuaciones - Subasta de armas cibernéticas - Pastebin.com". 16 de agosto de 2016. Archivado desde el original el 15 de agosto de 2016.
  7. ^ Dan Goodin (12 de enero de 2017). "Shadow Brokers, que filtra la NSA, lanza un cóctel Molotov antes de salir del escenario mundial". Ars Técnica . Consultado el 14 de enero de 2017 .
  8. ^ Goodin, Dan (16 de agosto de 2016). "Confirmado: la filtración de herramientas de piratería provino de un grupo" omnipotente "vinculado a la NSA". Ars Técnica . Consultado el 14 de enero de 2017 .
  9. ^ "El sorteo de la ecuación - Securelist". 16 de agosto de 2016.
  10. ^ "El grupo afirma haber pirateado a piratas informáticos vinculados a la NSA y publica exploits como prueba". 16 de agosto de 2016.
  11. ^ "El robo de la NSA de 'Shadow Brokers' avergüenza las filtraciones de Snowden - ExtremeTech". Tecnología extrema . 19 de agosto de 2016.
  12. ^ "Shadow Brokers: los piratas informáticos afirman haber violado el grupo de ecuaciones de la NSA". El punto diario . 15 de agosto de 2016.
  13. ^ "Shadow Brokers: hazañas de la semana de la NSA". Medio.com . 15 de agosto de 2016.
  14. ^ "The Shadow Brokers: ¿Levantando las sombras del grupo de ecuaciones de la NSA?". 15 de agosto de 2016.
  15. ^ Rob Price (15 de agosto de 2016). "'Shadow Brokers afirma haber pirateado una unidad de seguridad informática de élite vinculada a la NSA ". Business Insider . Consultado el 15 de abril de 2017 .
  16. ^ "'Shadow Brokers' revela una lista de servidores pirateados por la NSA; China, Japón y Corea, los 3 principales países objetivo; 49 países en total, incluidos: China, Japón, Alemania, Corea, India, Italia, México, España, Taiwán , y Rusia". El Rincón de la Fortuna . 1 de noviembre de 2016 . Consultado el 14 de enero de 2017 .
  17. ^ theshadowbrokers (8 de abril de 2017). "No olvides tu base". Medio . Consultado el 9 de abril de 2017 .
  18. ^ Cox, Joseph (8 de abril de 2017). "Han vuelto: The Shadow Brokers lanzan más presuntos exploits". Tarjeta madre . Vicio placa base . Consultado el 8 de abril de 2017 .
  19. ^ ab "Shadow Brokers, que filtra la NSA, acaba de lanzar su versión más dañina hasta el momento". Ars Técnica . Consultado el 15 de abril de 2017 .
  20. ^ "Último volcado de Shadow Brokers: propietario de SWIFT Alliance Access, Cisco y Windows". Medio . 14 de abril de 2017 . Consultado el 15 de abril de 2017 .
  21. ^ "señorch0c". GitHub . Consultado el 15 de abril de 2017 .
  22. ^ Larson, Selena (14 de abril de 2017). "Las poderosas herramientas de piratería de Windows de la NSA se filtraron en línea". CNNMoney . Consultado el 15 de abril de 2017 .
  23. ^ "Microsoft dice que los usuarios están protegidos contra el presunto malware de la NSA". Noticias AP . Consultado el 15 de abril de 2017 .
  24. ^ "Proteger a los clientes y evaluar riesgos". MSRC . Consultado el 15 de abril de 2017 .
  25. ^ "Microsoft dice que ya solucionó las filtraciones de la NSA de 'Shadow Brokers'". Engadget . 15 de abril de 2017 . Consultado el 15 de abril de 2017 .
  26. ^ "Las herramientas de la NSA filtradas, que ahora infectan a más de 200.000 máquinas, se utilizarán como armas durante años". CiberScoop . 24 de abril de 2017 . Consultado el 24 de abril de 2017 .
  27. ^ "Un gusano ransomware derivado de la NSA está apagando computadoras en todo el mundo". 12 de mayo de 2017.
  28. ^ Perlroth, Nicole; Scott, Marcos; Frenkel, Sheera (27 de junio de 2017). "El ciberataque golpea a Ucrania y luego se extiende internacionalmente". Los New York Times . pag. 1 . Consultado el 27 de junio de 2017 .
  29. ^ Suma Cero (21 de abril de 2017). "zerosum0x0: Análisis de código de shell del anillo 0 de puerta trasera SMB inicial de DoublePulsar". suma cero0x0 . Consultado el 15 de noviembre de 2017 .
  30. ^ "Luz brillante sobre The Shadow Brokers". El Estado de la Seguridad . 18 de mayo de 2017 . Consultado el 15 de noviembre de 2017 .
  31. ^ "Análisis de tráfico de DanderSpritz/PeddleCheap" (PDF) . Punto de fuerza . 6 de febrero de 2018 . Consultado el 7 de febrero de 2018 .
  32. ^ "Shadow Brokers: la teoría interna". 17 de agosto de 2016.
  33. ^ "Comentario: La evidencia apunta a otro Snowden en la NSA". Reuters . 23 de agosto de 2016.
  34. ^ "Las pistas sugieren que una persona con información privilegiada ayudó a que se filtraran las herramientas de piratería del" Equation Group "de la NSA". Ars Técnica . 22 de agosto de 2016.
  35. ^ Cox, Joseph (12 de enero de 2017). "Los vendedores ambulantes de exploits de la NSA, los corredores en la sombra, lo abandonan". Tarjeta madre .
  36. ^ "La evidencia circunstancial y la sabiduría convencional indican la responsabilidad rusa. He aquí por qué esto es importante". Gorjeo . 16 de agosto de 2016 . Consultado el 22 de agosto de 2016 .
  37. ^ "Esta filtración es probablemente una advertencia de que alguien puede demostrar la responsabilidad de Estados Unidos por cualquier ataque que se haya originado en este servidor de malware". 16 de agosto de 2016 . Consultado el 22 de agosto de 2016 .
  38. ^ "TL; DR: Esta filtración parece que alguien envía un mensaje de que una escalada en el juego de atribución podría complicarse rápidamente". twitter.com . Consultado el 22 de agosto de 2016 .
  39. ^ Precio, Rob (16 de agosto de 2016). "Edward Snowden: Rusia podría haber filtrado supuestas armas cibernéticas de la NSA como 'advertencia'". Business Insider . Consultado el 22 de agosto de 2016 .
  40. ^ Eric Lipton; David E. Sanger; Scott Shane (13 de diciembre de 2016). "El arma perfecta: cómo el ciberpoder ruso invadió Estados Unidos" New York Times . Consultado el 15 de abril de 2017 .
  41. ^ Abdollah, Tami; Tucker, Eric (6 de julio de 2019). "El misterio de la filtración de la NSA persiste mientras termina el caso de documentos robados". Associated Press . Archivado desde el original el 6 de julio de 2019.