stringtranslate.com

Los corredores de sombras

Los Shadow Brokers ( TSB ) es un grupo de hackers que apareció por primera vez en el verano de 2016. [1] [2] Publicaron varias filtraciones que contenían herramientas de hacking, incluyendo varios exploits de día cero , [1] del " Equation Group " que se sospecha ampliamente que es una rama de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. [3] [4] Específicamente, estos exploits y vulnerabilidades [5] [6] apuntaban a firewalls empresariales , software antivirus y productos de Microsoft . [7] Los Shadow Brokers originalmente atribuyeron las filtraciones al actor de amenazas Equation Group, que ha estado vinculado a la unidad de Operaciones de Acceso a Medida de la NSA . [8] [9] [10] [4]

Nombre y alias

Varias fuentes de noticias señalaron que el nombre del grupo probablemente hacía referencia a un personaje de la serie de videojuegos Mass Effect . [11] [12] Matt Suiche citó la siguiente descripción de ese personaje: "El Shadow Broker es un individuo a la cabeza de una organización expansiva que comercia con información, siempre vendiéndola al mejor postor. El Shadow Broker parece ser muy competente en su oficio: todos los secretos que se compran y venden nunca permiten que un cliente del Broker obtenga una ventaja significativa, lo que obliga a los clientes a seguir comerciando con información para evitar quedar en desventaja, lo que permite que el Broker permanezca en el negocio". [13]

Historial de fugas

Fugas en el grupo de ecuaciones

Aunque la fecha exacta no está clara, los informes sugirieron que la preparación de la filtración comenzó al menos a principios de agosto, [14] y que la publicación inicial ocurrió el 13 de agosto de 2016 con un Tweet de una cuenta de Twitter "@shadowbrokerss" anunciando una página de Pastebin [6] y un repositorio de GitHub que contenía referencias e instrucciones para obtener y descifrar el contenido de un archivo que supuestamente contenía herramientas y exploits utilizados por Equation Group . La respuesta inicial a la publicación se encontró con cierta incertidumbre sobre su autenticidad. [15]

El 31 de octubre de 2016, The Shadow Brokers publicó una lista de servidores supuestamente comprometidos por Equation Group, así como referencias a siete herramientas supuestamente no reveladas (DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK Y STOICSURGEON) también utilizadas por el actor de amenazas. [16]

El 8 de abril de 2017, la cuenta de Medium utilizada por The Shadow Brokers publicó una nueva actualización. [17] La ​​publicación reveló la contraseña de los archivos cifrados publicados el año anterior, que supuestamente tenían más herramientas de piratería de la NSA. [18] Esta publicación declaró explícitamente que la publicación fue parcialmente en respuesta al ataque del presidente Trump contra un aeródromo sirio , que también fue utilizado por las fuerzas rusas.

Fuga de herramientas de piratería el 14 de abril

El 14 de abril de 2017, The Shadow Brokers lanzó, entre otras cosas, las herramientas y exploits con nombre en código: DANDERSPRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE , EXPLODINGCAN y EWOKFRENZY. [19] [20] [21]

Se sugirió que la filtración fue la "... liberación más dañina hasta ahora" [19] y CNN citó a Matthew Hickey diciendo: "Esto es posiblemente lo más dañino que he visto en los últimos años". [22]

Algunos de los exploits que atacaban al sistema operativo Windows habían sido parcheados en un boletín de seguridad de Microsoft el 14 de marzo de 2017, un mes antes de que ocurriera la filtración. [23] [24] Algunos especularon que Microsoft podría haber sido avisado sobre el lanzamiento de los exploits. [25]

Azul eterno

Más de 200.000 máquinas se infectaron con herramientas de esta filtración en las primeras dos semanas [26] , y en mayo de 2017, el principal ataque de ransomware WannaCry utilizó el exploit ETERNALBLUE en Server Message Block (SMB) para propagarse. [27] El exploit también se utilizó para ayudar a llevar a cabo el ciberataque NotPetya de 2017 el 27 de junio de 2017. [28]

ETERNALBLUE contiene el código shell del núcleo para cargar la puerta trasera no persistente DoublePulsar . [29] Esto permite la instalación de la carga útil PEDDLECHEAP a la que luego accedería el atacante utilizando el software DanderSpritz Listening Post (LP). [30] [31]

Especulaciones y teorías sobre el motivo y la identidad

Amenaza interna de la NSA

James Bamford junto con Matt Suiche especularon [32] que un infiltrado, "posiblemente alguien asignado a las Operaciones de Acceso a Medida altamente sensibles de la [NSA] ", robó las herramientas de piratería. [33] [34] En octubre de 2016, The Washington Post informó que Harold T. Martin III , un ex contratista de Booz Allen Hamilton acusado de robar aproximadamente 50 terabytes de datos de la Agencia de Seguridad Nacional (NSA), era el principal sospechoso. Martin había trabajado con las Operaciones de Acceso a Medida de la NSA de 2012 a 2015 en un rol de apoyo. Se declaró culpable de retener información de defensa nacional en 2019, pero no está claro si los Shadow Brokers obtuvieron su material de él. Los Shadow Brokers continuaron publicando mensajes que estaban firmados criptográficamente y fueron entrevistados por los medios mientras Martin estaba detenido. [35]

Teoría sobre los vínculos con Rusia

Edward Snowden afirmó en Twitter el 16 de agosto de 2016 que "la evidencia circunstancial y la sabiduría convencional indican la responsabilidad rusa" [36] y que la filtración "es probablemente una advertencia de que alguien puede demostrar la responsabilidad de cualquier ataque que se originó en este servidor de malware" [37] resumiendo que parece "alguien enviando un mensaje de que una escalada en el juego de atribución podría complicarse rápidamente". [38] [39]

El New York Times situó el incidente en el contexto de los ciberataques del Comité Nacional Demócrata y el hackeo de los correos electrónicos de Podesta . Mientras las agencias de inteligencia estadounidenses contemplaban la posibilidad de contraatacar, la publicación del código de Shadow Brokers debía interpretarse como una advertencia: "Si se toman represalias contra el Comité Nacional Demócrata, también podrían revelarse muchos más secretos, derivados de los hackeos al Departamento de Estado, la Casa Blanca y el Pentágono. Un alto funcionario lo comparó con la escena de El Padrino en la que se deja la cabeza de un caballo favorito en una cama, como advertencia". [40]

En 2019, David Aitel, un científico informático que trabajó para la NSA, resumió la situación con estas palabras: "No sé si alguien lo sabe aparte de los rusos. Y ni siquiera sabemos si son los rusos. No lo sabemos en este momento; cualquier cosa podría ser verdad". [41]

Referencias

  1. ^ ab Ghosh, Agamoni (9 de abril de 2017). "'Presidente Trump, ¿qué diablos estás haciendo?', dicen los Shadow Brokers y lanzan más herramientas de piratería de la NSA". International Business Times UK . Consultado el 10 de abril de 2017 .
  2. ^ "'NSA malware' publicado por el grupo de hackers Shadow Brokers". BBC News . 10 de abril de 2017 . Consultado el 10 de abril de 2017 .
  3. ^ Brewster, Thomas. "¿Ecuación = NSA? Investigadores desvelan un enorme 'arsenal cibernético estadounidense'". Forbes . Consultado el 25 de noviembre de 2020 .
  4. ^ por Sam Biddle (19 de agosto de 2016). «La filtración de la NSA es real, confirman los documentos de Snowden». The Intercept . Consultado el 15 de abril de 2017 .
  5. ^ Nakashima, Ellen (16 de agosto de 2016). "Se han revelado en Internet poderosas herramientas de piratería informática de la NSA". The Washington Post .
  6. ^ ab "Equation Group - Subasta de armas cibernéticas - Pastebin.com". 16 de agosto de 2016. Archivado desde el original el 15 de agosto de 2016.
  7. ^ Dan Goodin (12 de enero de 2017). "Los agentes secretos de la NSA que filtran información lanzan un cóctel molotov antes de abandonar el escenario mundial". Ars Technica . Consultado el 14 de enero de 2017 .
  8. ^ Goodin, Dan (16 de agosto de 2016). "Confirmado: la filtración de una herramienta de piratería informática provino de un grupo "omnipotente" vinculado a la NSA". Ars Technica . Consultado el 14 de enero de 2017 .
  9. ^ "El sorteo de Equation - Securelist". 16 de agosto de 2016.
  10. ^ "Un grupo afirma haber hackeado a piratas informáticos vinculados con la NSA y publica exploits como prueba". 16 de agosto de 2016.
  11. ^ "El robo de información de la NSA por parte de 'Shadow Brokers' deja en evidencia las filtraciones de Snowden - ExtremeTech". Extremetech . 19 de agosto de 2016.
  12. ^ "Shadow Brokers: los piratas informáticos afirman haber violado el Equation Group de la NSA". The Daily Dot . 15 de agosto de 2016.
  13. ^ "Shadow Brokers: Exploits de la semana de la NSA". Medium.com . 15 de agosto de 2016.
  14. ^ "The Shadow Brokers: ¿Levantando las sombras del Equation Group de la NSA?". 15 de agosto de 2016.
  15. ^ Rob Price (15 de agosto de 2016). «Los 'Shadow Brokers' afirman haber pirateado una unidad de seguridad informática de élite vinculada a la NSA». Business Insider . Consultado el 15 de abril de 2017 .
  16. ^ "'Shadow Brokers' revela lista de servidores hackeados por la NSA; China, Japón y Corea son los 3 principales países atacados; 49 países en total, incluidos: China, Japón, Alemania, Corea, India, Italia, México, España, Taiwán y Rusia". El Rincón de la Fortuna . 1 de noviembre de 2016 . Consultado el 14 de enero de 2017 .
  17. ^ theshadowbrokers (8 de abril de 2017). "No olvides tu base". Medium . Consultado el 9 de abril de 2017 .
  18. ^ Cox, Joseph (8 de abril de 2017). "Están de vuelta: los Shadow Brokers publican más exploits". Motherboard . Vice Motherboard . Consultado el 8 de abril de 2017 .
  19. ^ ab "Shadow Brokers, el programa que filtra información de la NSA, acaba de publicar su versión más dañina hasta el momento". Ars Technica . Consultado el 15 de abril de 2017 .
  20. ^ "Último volcado de Shadow Brokers: poseedores de SWIFT Alliance Access, Cisco y Windows". Medium . 14 de abril de 2017 . Consultado el 15 de abril de 2017 .
  21. ^ "misterch0c". GitHub . Consultado el 15 de abril de 2017 .
  22. ^ Larson, Selena (14 de abril de 2017). "Las poderosas herramientas de piratería informática de Windows de la NSA se filtraron en línea". CNNMoney . Consultado el 15 de abril de 2017 .
  23. ^ "Microsoft dice que los usuarios están protegidos contra el supuesto malware de la NSA". AP News . Consultado el 15 de abril de 2017 .
  24. ^ "Protección de los clientes y evaluación del riesgo". MSRC . Consultado el 15 de abril de 2017 .
  25. ^ "Microsoft dice que ya ha solucionado las filtraciones de 'Shadow Brokers' a la NSA". Engadget . 15 de abril de 2017 . Consultado el 15 de abril de 2017 .
  26. ^ "Las herramientas filtradas de la NSA, que ya infectan a más de 200.000 máquinas, se utilizarán como armas durante años". CyberScoop . 24 de abril de 2017 . Consultado el 24 de abril de 2017 .
  27. ^ "Un gusano ransomware derivado de la NSA está apagando computadoras en todo el mundo". 12 de mayo de 2017.
  28. ^ Perlroth, Nicole; Scott, Mark; Frenkel, Sheera (27 de junio de 2017). «Cyberattack Hits Ukraine Then Spreads Internationally» (Un ciberataque golpea a Ucrania y luego se propaga a nivel internacional). The New York Times . p. 1 . Consultado el 27 de junio de 2017 .
  29. ^ Sum, Zero (21 de abril de 2017). «zerosum0x0: Análisis del shellcode del anillo 0 de la puerta trasera SMB inicial de DoublePulsar». zerosum0x0 . Consultado el 15 de noviembre de 2017 .
  30. ^ "Arrojando luz sobre los corredores de bolsa en la sombra". El estado de la seguridad . 18 de mayo de 2017. Consultado el 15 de noviembre de 2017 .
  31. ^ "Análisis de tráfico de DanderSpritz/PeddleCheap" (PDF) . Forcepoint . 6 de febrero de 2018 . Consultado el 7 de febrero de 2018 .
  32. ^ "Shadow Brokers: La teoría de los insiders". 17 de agosto de 2016.
  33. ^ "Comentario: La evidencia apunta a otro Snowden en la NSA". Reuters . 23 de agosto de 2016.
  34. ^ "Hay indicios de que alguien con información privilegiada ayudó a filtrar las herramientas de piratería del "Equation Group" de la NSA". Ars Technica . 22 de agosto de 2016.
  35. ^ Cox, Joseph (12 de enero de 2017). "Los traficantes de exploits de la NSA, los Shadow Brokers, se rinden". Motherboard .
  36. ^ "La evidencia circunstancial y la sabiduría convencional indican la responsabilidad rusa. He aquí por qué es importante". Twitter . 16 de agosto de 2016 . Consultado el 22 de agosto de 2016 .
  37. ^ "Esta filtración es probablemente una advertencia de que alguien puede demostrar la responsabilidad de Estados Unidos por cualquier ataque que se origine desde este servidor de malware". 16 de agosto de 2016 . Consultado el 22 de agosto de 2016 .
  38. ^ "TL;DR: Esta filtración parece ser el mensaje de alguien que dice que una escalada en el juego de atribución podría complicarse rápidamente". twitter.com . Consultado el 22 de agosto de 2016 .
  39. ^ Price, Rob (16 de agosto de 2016). «Edward Snowden: Rusia podría haber filtrado supuestas armas cibernéticas de la NSA como una 'advertencia'». Business Insider . Consultado el 22 de agosto de 2016 .
  40. ^ Eric Lipton; David E. Sanger; Scott Shane (13 de diciembre de 2016). "El arma perfecta: cómo el ciberpoder ruso invadió a Estados Unidos" New York Times . Consultado el 15 de abril de 2017 .
  41. ^ Abdollah, Tami; Tucker, Eric (6 de julio de 2019). "El misterio de la filtración de la NSA persiste mientras se resuelve el caso del documento robado". Associated Press . Archivado desde el original el 6 de julio de 2019.