Что взломали TheShadowBrokers: о чем свидетельствуют технические детали утечки «кибероружия» | Forbes.ru
сюжеты
$58.77
69.14
ММВБ2143.99
BRENT63.26
RTS1148.27
GOLD1256.54

Что взломали TheShadowBrokers: о чем свидетельствуют технические детали утечки «кибероружия»

читайте также
+2152 просмотров за суткиВиртуальное безделье. Работодатели расплачиваются за интернет-серфинг сотрудников +59 просмотров за суткиКасперский обещает вывести бизнес из России, если его попросят шпионить +26 просмотров за суткиИнтервью хакера: «Взломать можно кого угодно» +5 просмотров за суткиFacebook и Instagram научат пользователей отличать «российскую пропаганду» Uber пытался скрыть атаку хакеров, укравших данные 57 млн клиентов и водителей +16 просмотров за суткиБронежилет для смартфона. Как бизнесу защититься от вирусов-вымогателей +11 просмотров за суткиИпотека и наследство на блокчейне. Как новые технологии могут сократить очереди к чиновникам +10 просмотров за суткиРусские хакеры не делали этого. Касперский подтвердил подделку ЦРУ сертификатов его компании «Сладкая» приманка для хакеров Вопрос национальной безопасности: как хранят биоматериалы в разных компаниях мира +21 просмотров за суткиКража со взломом. Как защитить банковскую карту от мошенников нового типа Банки под угрозой: новый вирус Silence атаковал финансовые организации России, Армении и Малайзии Сговор против США. Экс-главу штаба Трампа обвинили в отмывании $18 млн и лоббировании интересов Украины Проверка на прочность: зачем создатели вируса BadRabbit атаковали СМИ и банки +3 просмотров за суткиОпасный Wi-Fi. Как защитить компьютеры и телефоны от взлома Неуловимые хакеры: российских специалистов обвиняют в краже программ для кибершпионажа АНБ Исполнение на ГИС: как IT топят бизнес в формальностях +1 просмотров за суткиМифы о мобилизации бизнеса: чем опасны личные смартфоны на работе Новостной майнинг: сфера криптовалют стала усердным генератором событий +9 просмотров за суткиУтечка эфира: как хакеры одним махом похитили криптовалюту на $32 млн Угроза безопасности: американским чиновникам запретили закупать продукцию «Лаборатории Касперского»

Что взломали TheShadowBrokers: о чем свидетельствуют технические детали утечки «кибероружия»

Иван Новиков Forbes Contributor
Фото Getty Images
В числе взломанных российских ресурсов — сайты государственных органов власти, сайты РАН и отдельных институтов, Минатом, а также некоторые сервера доменных имен

8-го апреля в 10.00 по  PST (Тихоокеанское стандартное время) хакеры из группы TheShadowBrokers опубликовали в своем блоге большой политический текст, приложив к нему пароль от зашифрованного архива — содержащего, как они утверждают, программы для взлома сетевых сервисов, разработанные и используемые в NSA. Эвард Сноуден сразу же отреагировал на материал, подтвердив принадлежность кибероружия к NSA. 

Так как в наше время актуальность и достоверность информации представляет особое значение, мы решили детально проанализировать техническую сторону опубликованной утечки «кибероружия». Что можно узнать из информации в архиве?  Как оказалось, в архиве представлены свидетельства взлома правительственных серверов и серверов крупных компаний по всему миру ( всего около 1000). Актуальность информации датируется 2013-м годом.

Актуальность архива

Расшифрованный архив состоит из двух папок, одна из которых содержит файлы «слитого» сервера, так, как будто была сделана резервная копия (бэкап). Сохранена структура каталогов, релевантная операционной системе Linux.

Вторая папка называется «archive_files» и содержит архив с программами для взлома (эксплоитами).

Прежде всего, бросается в глаза, что представленное «кибероружие» (то есть, программы для взлома серверов посредством эксплуатации уязвимостей в программном обеспечении), датируется 2001-2005 годами.

Например:

  • Файл xp_phpbb.pl является рабочей программой для популярного открытого проекта веб-форума под названием PHPBB версии 2005-го года. То есть, это файл 12 летней давности.

  • Файлы xp_* с эксплойтами под сервер электронной почты Exchange, только распространяется в виде Exim (аналог Microsoft открытого программного обеспечения и настолько популярен, что используется повсеместно) относятся к 2002-му году. Более того, сами эти программы для взлома собраны компилятором GCC версии 3.2, относящейся к 2002 году.

Компилятор — это специальная программа, которая необходима для сборки других программ из исходного кода. После сборки компилятор оставляет сведения о себе внутри собранной программы. Эта информация полезна для отладки программы.  Анализ версий компиляторов, которыми собраны программы для взлома, представленные в архиве, показывает, что архив довольно старый. Самая новая версия компилятора датируется 2010-м годом.

В утекшем архиве было обнаружено много файлов с технической информацией о контрольных суммах других файлов, — это своеобразные реестры файлов. Видимо, администраторы сервера таким образом вели «учет» своего кибероружия и других файлов на сервере. Контрольная сумма — это значение особой криптографической функции, вычисленное от всех данных файла. Если содержимое файла изменить, то результат подсчета контрольной суммы будет иным. Эта информация проливает свет на реальные даты файлов, которые были представлены. Самые новые из них датируются 2013 годом, а основная масса укладывается в диапазон 2005-2011 гг. Причем в 2013 году наблюдается резкий спад, что может говорить, о том, что данная утечка произошла ближе к началу года.

Цели

В архиве находятся также файлы журналов запуска программ для взлома (эксплоитов). Фактически это журналы о проведении успешных киберопераций. В них записано, какой зараженный сервер и в какое время сообщил в центр управления, что он успешно заражен и готов к работе под новым командованием. Первый успешный взлом датируется 17 августа 2000 года, а последний — 18 августа 2010 года.

Внутри файлов журналов можно найти даты заражения и адрес сервера в интернете. Всего можно найти сведения об успешном взломе как минимум 910 серверов по всему миру. Стоит отметить, что атакующих явно интересовали сервера доменных имен (DNS) и почтовые сервера — они преобладают в списке взломанных машин. С помощью первых можно перехватывать и перенаправлять пользовательский трафик сайтов, а с помощью вторых — электронную почту.

Россия по количеству взломанных серверов находится только на седьмом месте (45 серверов). При этом под удар попали такие организации как Минатом, Управление делами Президента, Мэрия Москвы (mos.ru), Российская Академия Наук и другие ресурсы. Полный список выглядит следующим образом:

  • Butt-head.mos.ru (официальный сайт мэра Москвы)
  • Gate.technopolis.kirov.ru (сайт города Кирова)
  • Jur.unn.ac.ru (РАН)
  • STOICSURGEON-X86-LINUX-FATALTOUCH-SRV-UDPRF-2.UDPRF.RU (Управление делами Президента)
  • X86-freebsd-6.1-wickedviper-ns4.ainf.ru (Музей Энергии)
  • STOICSURGEON-X86-LINUX-WICKEDVIPER-TUX.MINATOM.RU (Минатом)
  • STOICSURGEON-X86-LINUX-TILTTOP-GATE-NTO2.VINITF.RU (РФЯЦ – ВНИИТФ, Российский Федеральный Ядерный Центр – Всероссийский научно-исследовательский институт технической физики имени академика Е.И. Забабахина)
  • STOICSURGEON-X86-LINUX-TILTTOP-NS.SNZ.RU (сайт техподдержки РФЯЦ – ВНИИТФ)
  • kserv.krldysh.ru (сайт Института прикладной математики имени М. В. Келдыша РАН)  
  • laleh.itrc.ac.ru
  • m0-s.san.ru
  • mail.ioc.ac.ru (почтовый сервер  Института органической химии им. Н.Д. Зелинского РАН)
  • mcd-su-2.mos.ru
  • ns1.bttc.ru
  • ns1.bttc.ru
  • Ns2.rosprint.ru
  • nto2.vinitf.ru
  • postbox.mos.ru
  • Spirit.das2.ru
  • sunhe.jinr.ru_
  • webserv.mos.ru_
  • x86-freebsd-5.3-sassyninja-mail.aprf.gov.ru
  • x86-linux-fataltouch-srv-udprf-2.udprf.ru
  • x86-linux-tilttop-bill.vega-int.ru
  • x86-linux-tilttop-comet.vniitf.ru
  • x86-linux-tilttop-gate-nto2.vniitf.ru
  • x86-linux-tilttop-ns.snz.ru
  • x86-linux-tilttop-ns-vega.int.ru
  • x86-linux-tilttop-redhouse.vega-int.ru
  • x86-linux-tilttop-tormoz.vniitf.ru
  • x86-linux-wickedviper-tux.minatom.ru

Первой была взломана РАН, в 2002-2003 годах, а последние успешные взломы серверов в зоне .ru датируются 2007-м годом. С другими техническими деталями данного исследования можно ознакомиться здесь.

Заключение

Опубликованный хакерами архив содержит набор работоспособных инструментов для взлома, эксплуатирующих уже известные уязвимости различных программных продуктов. Само кибероружие уже устарело и датируется 2000-2010-ми годами, как и журналы его использования.

В числе успешных целей —  910 серверов по всему миру, в основном в Японии, Китая и Корее. В числе взломанных Российских ресурсов — государственные органы власти, сайты РАН и отдельных институтов, Минатом, а также некоторые сервера доменных имен, — все они были взломаны за период 2002-2007. Никаких сведений о принадлежности архива именно к агентству национальной безопасности США в архиве нет. Об этом говорят только сами хакеры, опубликовавшие архив, и Эдвард Сноуден.

Закрыть
Уведомление в браузере
Будь в курсе самого главного.
Новости и идеи для бизнеса -
не чаще двух раз в день.
Подписаться