The Shadow Brokers ( TSB ) es un grupo de hackers que apareció por primera vez en el verano de 2016. [1] [2] Publicaron varias filtraciones que contienen herramientas de hacking, incluidos varios exploits de día cero , [1] del " Equation Group " que Se sospecha ampliamente que es una rama de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. [3] [4] Específicamente, estos exploits y vulnerabilidades [5] [6] estaban dirigidos a firewalls empresariales , software antivirus y productos de Microsoft . [7] The Shadow Brokers originalmente atribuyeron las filtraciones al actor de amenazas Equation Group, que ha estado vinculado a la unidad de Operaciones de Acceso Adaptado de la NSA . [8] [9] [10] [4]
Varias fuentes de noticias señalaron que el nombre del grupo probablemente hacía referencia a un personaje de la serie de videojuegos Mass Effect . [11] [12] Matt Suiche citó la siguiente descripción de ese personaje: "El Shadow Broker es un individuo a la cabeza de una organización expansiva que comercia con información, siempre vendiendo al mejor postor. El Shadow Broker parece ser muy competente. en su negocio: todos los secretos que se compran y venden nunca permiten que un cliente del corredor obtenga una ventaja significativa, lo que obliga a los clientes a continuar intercambiando información para evitar quedar en desventaja, lo que permite al corredor permanecer en el negocio". [13]
Si bien la fecha exacta no está clara, los informes sugirieron que la preparación de la filtración comenzó al menos a principios de agosto, [14] y que la publicación inicial ocurrió el 13 de agosto de 2016 con un Tweet de una cuenta de Twitter "@shadowbrokerss" que anunciaba una Página de Pastebin [6] y un repositorio de GitHub que contiene referencias e instrucciones para obtener y descifrar el contenido de un archivo que supuestamente contiene herramientas y exploits utilizados por Equation Group . La respuesta inicial a la publicación generó cierta incertidumbre sobre su autenticidad. [15]
El 31 de octubre de 2016, The Shadow Brokers publicó una lista de servidores supuestamente comprometidos por Equation Group, así como referencias a siete herramientas supuestamente no reveladas (DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK Y STOICSURGEON) también utilizadas por El actor de la amenaza. [dieciséis]
El 8 de abril de 2017, la cuenta Medium utilizada por The Shadow Brokers publicó una nueva actualización. [17] La publicación reveló la contraseña de los archivos cifrados publicados el año anterior, que supuestamente tenían más herramientas de piratería de la NSA. [18] Esta publicación declaró explícitamente que la publicación fue parcialmente en respuesta al ataque del presidente Trump contra un aeródromo sirio , que también fue utilizado por las fuerzas rusas.
El 14 de abril de 2017, The Shadow Brokers lanzó, entre otras cosas, las herramientas y exploits con nombre en código: DANDERSPRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE , EXPLODINGCAN y EWOKFRENZY. [19] [20] [21]
Se sugirió que la filtración era "... la publicación más dañina hasta ahora" [19] y CNN citó a Matthew Hickey diciendo: "Esto es posiblemente lo más dañino que he visto en los últimos años". [22]
Algunos de los exploits dirigidos al sistema operativo Windows fueron parcheados en un boletín de seguridad de Microsoft del 14 de marzo de 2017, un mes antes de que ocurriera la filtración. [23] [24] Algunos especularon que Microsoft pudo haber sido avisado sobre el lanzamiento de los exploits. [25]
Más de 200.000 máquinas fueron infectadas con herramientas de esta filtración en las primeras dos semanas, [26] y en mayo de 2017, el principal ataque de ransomware WannaCry utilizó el exploit ETERNALBLUE en Server Message Block (SMB) para propagarse. [27] El exploit también se utilizó para ayudar a llevar a cabo el ciberataque Petya de 2017 el 27 de junio de 2017. [28]
ETERNALBLUE contiene shellcode del kernel para cargar la puerta trasera no persistente DoublePulsar . [29] Esto permite la instalación de la carga útil PEDDLECHEAP a la que luego accedería el atacante utilizando el software DanderSpritz Listening Post (LP). [30] [31]
James Bamford junto con Matt Suiche especularon [32] que un informante, "posiblemente alguien asignado a las altamente sensibles Operaciones de Acceso Personalizado [de la NSA] ", robó las herramientas de piratería. [33] [34] En octubre de 2016, The Washington Post informó que Harold T. Martin III , un excontratista de Booz Allen Hamilton acusado de robar aproximadamente 50 terabytes de datos de la Agencia de Seguridad Nacional (NSA), era el principal sospechoso. Martin había trabajado con las Operaciones de Acceso a Medida de la NSA de 2012 a 2015 en una función de apoyo. Se declaró culpable de retener información de defensa nacional en 2019, pero no está claro si los Shadow Brokers obtuvieron su material de él. Los Shadow Brokers continuaron publicando mensajes firmados criptográficamente y fueron entrevistados por los medios mientras Martin estaba detenido. [35]
Edward Snowden declaró en Twitter el 16 de agosto de 2016 que "la evidencia circunstancial y la sabiduría convencional indican responsabilidad rusa" [36] y que la filtración "es probablemente una advertencia de que alguien puede demostrar la responsabilidad de cualquier ataque que se haya originado en este servidor de malware" [37 ] resumiendo que parece como si "alguien estuviera enviando un mensaje de que una escalada en el juego de la atribución podría complicarse rápidamente". [38] [39]
El New York Times puso el incidente en el contexto de los ciberataques del Comité Nacional Demócrata y el pirateo de los correos electrónicos de Podesta . Mientras las agencias de inteligencia estadounidenses contemplaban contraataques, la publicación del código de Shadow Brokers debía interpretarse como una advertencia: "Tomen represalias contra el Comité Nacional Demócrata, y hay muchos más secretos, procedentes de los hackeos del Departamento de Estado, de la Casa Blanca y de la Pentágono, esto también podría divulgarse. Un alto funcionario lo comparó con la escena de El Padrino , donde la cabeza de su caballo favorito es dejada en una cama, a modo de advertencia". [40]
En 2019, David Aitel, un científico informático que anteriormente trabajó para la NSA, resumió la situación de la siguiente manera: "No sé si alguien más que los rusos lo sabe. Y ni siquiera sabemos si son los rusos. No sabemos Lo sé en este momento; cualquier cosa podría ser verdad." [41]