그림자 브로커

The Shadow Brokers

섀도우 브로커(TSB)는 2016년 [1][2]여름에 처음 등장한 해커 그룹이다.이들은 미국 [3][4]국가안보국(NSA)의 지부로 의심받는 '에케이션 그룹'[1]의 해킹 툴이 포함된 여러 건의 유출 사실을 공개했다.특히 이러한 부정 이용과[5][6] 취약성은 기업 방화벽, 바이러스 대책 소프트웨어 및 Microsoft [7]제품을 대상으로 했습니다.섀도우 브로커스는 당초 NSA의 맞춤형 접근 운영 [8][9][10][4]부대에 소속된 이 방정식 그룹의 위협 행위자가 유출된 것으로 보고 있다.

이름과 에일리어스

몇몇 뉴스 소식통들은 그룹의 이름이 매스 이펙트 비디오 [11][12]게임 시리즈의 한 캐릭터와 관련이 있을 것이라고 언급했다.Matt Suiche는 이 캐릭터에 대해 다음과 같이 묘사했다.섀도 브로커는 정보거래를 하는 확장적 조직의 수장이며 항상 최고 입찰자에게 판매한다.섀도 브로커는 거래에서 매우 유능한 것으로 보입니다. 사고 파는 모든 비밀은 브로커의 고객 한 명이 큰 이익을 얻는 것을 결코 허용하지 않기 때문에 고객은 불이익을 받지 않기 위해 정보를 계속 거래해야 하며 브로커는 영업을 [13]계속할 수 있습니다."

누수가력

첫 번째 유출: "Equation Group 사이버 무기 경매-초대"

반면 정확한 날짜가 불투명하지만 보도가 유출 사건의 준비 August,[14]의 시작 최소가 에 있고 처음 발행한 8월 13일 2016년은 트윗 트위터 계정에서"@ shadowbrokerss" Pastebin page[6]을 발표하고 GitHub보고 참조를 취득하기 위한 지시를 포함하는 일어났다 시작했다 한다고 제안한다. 그리고 빼다방정식 그룹에 의해 사용되는 도구 및 공격이 포함된 것으로 추정되는 파일의 내용을 교정합니다.

진위여부에 관한 출판 및 추측

Pastbin은[6] "Equation Group 사이버 무기 경매 - 초대"라는 제목의 섹션으로 다음과 같은 내용을 소개합니다.

방정식 그룹 사이버 체이스 무기 경매 - 초대

- ------------------------------------------------

사이버 전쟁의 정부 스폰서 및 이를 통해 이익을 얻는 사람들에게 주목해 주십시오!!!

적의 사이버 무기에 얼마를 지불합니까?네트워크에서 발견된 악성 프로그램이 아닙니다.양면, RAT + LP, 풀스테이트 스폰서 도구 세트?우리는 스턱스넷, 듀크, 불꽃의 창조자들이 만든 사이버 무기를 발견한다.Kaspersky는 방정식 그룹을 호출합니다.방정식 그룹의 트래픽을 따릅니다.방정식 그룹의 소스 범위를 찾습니다.방정식 그룹을 해킹합니다우리는 많은 방정식 그룹 사이버 무기를 발견한다.사진이 보여요.수식 그룹 파일 몇 개를 무료로 드립니다.이게 좋은 증거 아닌가요?즐겨라!!!당신은 많은 것을 부숴요.침입자가 많네요단어를 많이 쓰시네요.하지만 전부는 아닙니다. 우리는 최고의 파일들을 경매하고 있습니다.

Pastbin에는 "EQGRP-Action-Files.zip"이라는 이름의 파일을 얻기 위한 다양한 참조가 포함되어 있습니다.이 zip 파일에는 GPG 암호화 아카이브 "eqgrp-옥션-file.tar.xz.gpg" 및 "eqgrp-free-file.tar.xz.gpg"의 7개의 파일이 포함되어 있습니다."eqgrp-free-file.tar.xz.gpg" 아카이브의 패스워드는 원래 Pastebin에서 공개되었습니다.theequationgroup"eqgrp-ocation-file.tar.xz" 아카이브의 패스워드는 다음 중간 게시물에서 공개되었습니다.CrDj"(;Va.*NdlnzB9M?@K2)#>deB7mN.

Pastebin은 암호화된 옥션파일의 패스워드를 취득하는 순서를 계속합니다.

경매 절차

- --------------------

최고 입찰자에게 최고의 파일을 경매합니다.stuxnet보다 파일을 경매하는 것이 좋습니다.경매 파일은 우리가 이미 당신에게 준 무료 파일보다 더 좋습니다.가장 많은 비트코인을 주소로 송신하는 상대: 19BY2XCgbDe6WtTVbTyzM9eR3입찰이 정지하기 전의 LYr6VitWK가 승자가 됩니다.우리는 복호화 방법을 지시합니다.매우 중요합니다!!!당신이 bitcoin을 보낼 때 당신은 추가적인 출력을 트랜잭션에 추가합니다.OP_Return 출력을 추가합니다.Op_Return 출력에 연락처 정보를 입력합니다.비트 메시지 또는 IP-Bote 이메일 주소를 사용하는 것이 좋습니다.다른 정보는 공개되지 않습니다.서명되지 않은 메시지를 믿지 마십시오.당첨자에게 복호화 지시사항을 연락하겠습니다.Winner는 파일을 마음대로 사용할 수 있습니다.우리는 파일을 공개하지 않습니다.

이 출판물에 대한 초기 반응은 실제로 그 내용이 "많은 방정식 그룹 사이버 무기"[6]가 될 것인지에 대해 [15]회의적인 반응을 보였다.

두 번째 누출: "메시지 #5 - TrickOrTreat"

2016년 10월 31일에 작성된 이 출판물에는 Equilion Group에 의해 침해된 것으로 추정되는 서버 목록과 함께 위협적인 [16]행위자가 사용하는 7개의 미공개 도구(DEWDROP, SACKLADER, ORFANTAN, PATCISINLUM, RETICUL, SIDETRACK 및 STOICSURGEOGEN)에 대한 참조가 포함되어 있습니다.

세 번째 유출: "메시지 #6 - 블랙 프라이데이 / 사이버 먼데이 세일"

메시지 #6은 다음과 같습니다.

The ShadowBrokers는 경매에 부쳐지고 있다.사람들은 좋아하지 않는다.The ShadowBrokers는 크라우드 펀딩을 시도하고 있다.사람들은 좋아하지 않는다.이제 The ShadowBrokers는 직접 판매를 시도하고 있다.List Of Warez를 확인해 주세요.괜찮으시다면 구매하고 싶은 와레즈 이름을 TheShadowBrokers에게 이메일로 보내주시면 됩니다.ShadowBrokers가 당신에게 bitcoin 주소를 이메일로 보내고 있습니다.당신이 지불하세요.ShadowBroker가 사용자에게 링크 + 암호 해독 암호를 이메일로 보냅니다.이 거래 방법이 마음에 들지 않으면 지하 장터에서 TheShadowBrokers를 찾아 에스크로 거래를 할 수 있습니다.파일은 항상 [17]서명되어 있습니다.

[18] 유출에는 방정식 그룹에서 사용할 수 있는 도구에 대한 참조로 사용되는 방식으로 이름이 지정된 60개의 폴더가 포함되어 있습니다.유출에는 실행 파일이 포함되어 있지 않고 도구 파일 구조의 스크린샷이 포함되어 있습니다.누출은 가짜일 수 있지만, 이전과 미래의 누출과 참조 사이의 전반적인 결속력 및 이러한 조작을 위조하는 데 필요한 작업은 참조된 도구가 진짜라는 이론에 신빙성을 부여합니다.

네 번째 유출: "기지를 잊지 마세요"

2017년 4월 8일, The Shadow Brokers가 사용한 Medium 계정이 새로운 업데이트를 [19]게시했습니다.이 게시물은 작년에 공개된 암호화된 파일의 비밀번호를 공개했습니다.CrDj"(;Va.*NdlnzB9M?@K2)#>deB7mN그 파일들은 더 많은 NSA 해킹 [20]도구들을 드러낸 것으로 알려지고 있다.이 게시물은 트럼프 대통령이 시리아 비행장을 공격한 데 대한 일부 대응책임을 분명히 밝혔고, 시리아 비행장도 러시아군이 사용했다.

복호화된 파일 eqgrp-ocation-file.tar.xz에는 주로 Linux/Unix [21]기반 환경을 손상시키기 위한 도구 모음이 포함되어 있습니다.

다섯 번째 유출: "번역 중 분실"

2017년 4월 14일, The Shadow Brokers가 사용한 트위터 계정은 스팀 블록체인에 대한 링크가[22] 포함된 트윗을 게시했다.여기에서는 리크 파일에 대한 링크가 포함된 메시지가 암호로 암호화되어 있습니다.Reeeeeeeeeeeeeee.

전체 콘텐츠는 "홀수 작업", "전환" 및 "윈도우"[23]의 세 가지 폴더를 기반으로 합니다.다섯 번째 유출은 "지금까지 [24]가장 피해가 컸던 유출"이라고 CNN은 매튜 히키의 말을 인용, "이는 내가 지난 몇 [25]년 동안 본 것 중 가장 피해가 컸을 가능성이 크다"고 말했다.

이 유출에는 특히 코드네임인 DANDER PIRITZ, ODDJOB, FUZBUNCH, DARKPULSAR, EERNALSYNERGY,[24][26][27] EUTERNALROMANCE, EWOKFRENZY가 포함되어 있습니다.

Windows operating system을 대상으로 한 부정 이용의 일부는,[28][29] 유출이 발생하기 1개월 전인 2017년 3월 14일에 Microsoft Security Bulletin에 패치 되어 있었습니다.일부 사람들은 마이크로소프트가 그 [30]공격들의 공개에 대해 제보를 받았을지도 모른다고 추측했다.

영원청색

주요 기사:이터널 블루

첫 2주 [31]동안 20만 대 이상의 컴퓨터가 이 유출로 인해 툴에 감염되었으며, 2017년 5월 WannaCry의 대규모 랜섬웨어 공격이 서버 메시지 블록(SMB)에 대한 EERNATBLUE 공격을 통해 [32]퍼졌습니다.이 공격은 2017년 [33]6월 27일 2017년 Petia 사이버 공격을 수행하는 데에도 사용되었습니다.

ENTERNAT BLUE에는 비영구적인 Double Pulsar 백도어[34]로드하기 위한 커널 셸 코드가 포함되어 있습니다.이것에 의해, 공격자가 DanderSpritz Listening Post(LP)[35][36] 소프트웨어를 사용해 액세스 할 수 있는 PEDDLECHEAP 페이로드의 인스톨이 가능하게 됩니다.

동기와 정체성에 대한 추측과 이론

NSA 내부 위협

James Bamford와 Matt Suiche는[37] 내부자, "[NSA]의 매우 민감한 맞춤형 액세스 운영에 배정된 누군가가 해킹 [38][39]도구를 훔쳤을 수 있다"고 추측했습니다.2016년 10월, 워싱턴 포스트해롤드 T를 보도했다. 국가안전보장국(NSA)으로부터 약 50테라바이트의 데이터를 훔친 혐의로 기소된 부즈 앨런 해밀턴의 계약자였던 마틴 3세가 유력한 용의자였다.그림자 브로커들은 마틴이 [40]구금되어 있는 동안 암호로 서명된 메시지와 언론과의 인터뷰를 계속 게시했다.

러시아와의 관계론

에드워드 스노든 트위터에 8월 16일 2016년은"정황 증거와 일반 통념 러시아 책임 여부를 나타내는"[41]에는 그 유출이"가능성이 있는 경고가 누군가 증명할 수 있어 책임에 대한 공격의 근원에서 이 맬웨어 서버"[42]이 "누군가가 메시지를 보내는 것처럼 보인다 강조 법이라고 말했다. escalati금방 지저분해질 수 있어요.[43][44]

뉴욕타임스이번 사건을 민주당 전국위원회 사이버 공격과 포데스타 이메일 해킹 사건이라고 전했다.미국 정보기관들이 반격을 고려하고 있을 때 섀도우 브로커 코드 공개는 경고로 여겨질 것이다. "D.N.C.를 위해 보복하라. 그리고 국무부, 백악관, 펜타곤의 해킹으로부터 유출될 수 있는 비밀이 훨씬 더 많다.한 고위 관리는 이를 [45]'대부'에서 마음에 드는 말의 머리를 침대에 놓고 경고하는 장면에 비유했다.

2019년, NSA에 고용된 컴퓨터 과학자인 데이비드 아이텔은 다음과 같이 상황을 요약했다. "러시아인 말고는 아무도 알지 못한다.그리고 우리는 러시아인인지도 모른다.현시점에서는 알 수 없습니다.어떤 것이든 [46]사실일 수 있습니다.

레퍼런스

  1. ^ a b Ghosh, Agamoni (April 9, 2017). "'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools". International Business Times UK. Retrieved April 10, 2017.
  2. ^ "'NSA malware' released by Shadow Brokers hacker group". BBC News. April 10, 2017. Retrieved April 10, 2017.
  3. ^ Brewster, Thomas. "Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'". Forbes. Retrieved November 25, 2020.
  4. ^ a b Sam Biddle (August 19, 2016). "The NSA Leak is Real, Snowden Documents Confirm". The Intercept. Retrieved April 15, 2017.
  5. ^ Nakashima, Ellen (August 16, 2016). "Powerful NSA hacking tools have been revealed online". The Washington Post.
  6. ^ a b c d "Equation Group - Cyber Weapons Auction - Pastebin.com". August 16, 2016. Archived from the original on August 15, 2016.
  7. ^ Dan Goodin (January 12, 2017). "NSA-leaking Shadow Brokers lob Molotov cocktail before exiting world stage". Ars Technica. Retrieved January 14, 2017.
  8. ^ Goodin, Dan (August 16, 2016). "Confirmed: hacking tool leak came from "omnipotent" NSA-tied group". Ars Technica. Retrieved January 14, 2017.
  9. ^ "The Equation giveaway - Securelist".
  10. ^ "Group claims to hack NSA-tied hackers, posts exploits as proof". August 16, 2016.
  11. ^ "The 'Shadow Brokers' NSA theft puts the Snowden leaks to shame - ExtremeTech". Extremetech. August 19, 2016.
  12. ^ "Shadow Brokers: Hackers Claim to have Breached NSA's Equation Group". The Daily Dot. August 15, 2016.
  13. ^ "Shadow Brokers: NSA Exploits of the Week". Medium.com. August 15, 2016.
  14. ^ "The Shadow Brokers: Lifting the Shadows of the NSA's Equation Group?". August 15, 2016.
  15. ^ Rob Price (August 15, 2016). "'Shadow Brokers' claim to have hacked an NSA-linked elite computer security unit". Business Insider. Retrieved April 15, 2017.
  16. ^ "'Shadow Brokers' Reveal List Of Servers Hacked By The NSA; China, Japan, And Korea The Top 3 Targeted Countries; 49 Total Countries, Including: China, Japan, Germany, Korea, India, Italy, Mexico, Spain, Taiwan, & Russia". Fortuna's Corner. November 1, 2016. Retrieved January 14, 2017.
  17. ^ "MESSAGE #6 - BLACK FRIDAY / CYBER MONDAY SALE". bit.no.com. bit.no.com.
  18. ^ "unix_screenshots.zip". bit.no.com.
  19. ^ theshadowbrokers (April 8, 2017). "Don't Forget Your Base". Medium. Retrieved April 9, 2017.
  20. ^ Cox, Joseph (April 8, 2017). "They're Back: The Shadow Brokers Release More Alleged Exploits". Motherboard. Vice Motherboard. Retrieved April 8, 2017.
  21. ^ "GitHub - x0rz/EQGRP: Decrypted content of eqgrp-auction-file.tar.xz". GitHub. February 26, 2022.
  22. ^ "Lost in Translation". Steemit. April 14, 2017. Retrieved April 14, 2017.
  23. ^ "Share". Yandex.Disk. Retrieved April 15, 2017.
  24. ^ a b "NSA-leaking Shadow Brokers just dumped its most damaging release yet". Ars Technica. Retrieved April 15, 2017.
  25. ^ Larson, Selena (April 14, 2017). "NSA's powerful Windows hacking tools leaked online". CNNMoney. Retrieved April 15, 2017.
  26. ^ "Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows". Medium. April 14, 2017. Retrieved April 15, 2017.
  27. ^ "misterch0c". GitHub. Retrieved April 15, 2017.
  28. ^ "Microsoft says users are protected from alleged NSA malware". AP News. Retrieved April 15, 2017.
  29. ^ "Protecting customers and evaluating risk". MSRC. Retrieved April 15, 2017.
  30. ^ "Microsoft says it already patched 'Shadow Brokers' NSA leaks". Engadget. Retrieved April 15, 2017.
  31. ^ "Leaked NSA tools, now infecting over 200,000 machines, will be weaponized for years". CyberScoop. April 24, 2017. Retrieved April 24, 2017.
  32. ^ "An NSA-derived ransomware worm is shutting down computers worldwide". May 12, 2017.
  33. ^ Perlroth, Nicole; Scott, Mark; Frenkel, Sheera (June 27, 2017). "Cyberattack Hits Ukraine Then Spreads Internationally". The New York Times. p. 1. Retrieved June 27, 2017.
  34. ^ Sum, Zero (April 21, 2017). "zerosum0x0: DoublePulsar Initial SMB Backdoor Ring 0 Shellcode Analysis". zerosum0x0. Retrieved November 15, 2017.
  35. ^ "Shining Light on The Shadow Brokers". The State of Security. May 18, 2017. Retrieved November 15, 2017.
  36. ^ "DanderSpritz/PeddleCheap Traffic Analysis" (PDF). Forcepoint. February 6, 2018. Retrieved February 7, 2018.
  37. ^ "Shadow Brokers: The insider theory". August 17, 2016.
  38. ^ "Commentary: Evidence points to another Snowden at the NSA". Reuters. August 23, 2016.
  39. ^ "Hints suggest an insider helped the NSA "Equation Group" hacking tools leak". Ars Technica. August 22, 2016.
  40. ^ Cox, Joseph (January 12, 2017). "NSA Exploit Peddlers The Shadow Brokers Call It Quits". Motherboard.
  41. ^ "Circumstantial evidence and conventional wisdom indicates Russian responsibility. Here's why that is significant". Twitter. August 16, 2016. Retrieved August 22, 2016.
  42. ^ "This leak is likely a warning that someone can prove US responsibility for any attacks that originated from this malware server". August 16, 2016. Retrieved August 22, 2016.
  43. ^ "TL;DR: This leak looks like a somebody sending a message that an escalation in the attribution game could get messy fast". twitter.com. Retrieved August 22, 2016.
  44. ^ Price, Rob (August 16, 2016). "Edward Snowden: Russia might have leaked alleged NSA cyberweapons as a 'warning'". Business Insider. Retrieved August 22, 2016.
  45. ^ Eric Lipton, David E. Sanger and Scott Shane (December 13, 2016). "The Perfect Weapon: How Russian Cyberpower Invaded the U.S." New York Times. Retrieved April 15, 2017.{{cite news}}: CS1 maint: 작성자 파라미터 사용(링크)
  46. ^ Abdollah, Tami; Tucker, Eric (July 6, 2019). "Mystery of NSA leak lingers as stolen document case winds up". Associated Press. Archived from the original on July 6, 2019.