Что взломали TheShadowBrokers: о чем свидетельствуют технические детали утечки «кибероружия»

8-го апреля в 10.00 по  PST (Тихоокеанское стандартное время) хакеры из группы TheShadowBrokers опубликовали в своем блоге большой политический текст, приложив к нему пароль от зашифрованного архива — содержащего, как они утверждают, программы для взлома сетевых сервисов, разработанные и используемые в NSA. Эвард Сноуден сразу же отреагировал на материал, подтвердив принадлежность кибероружия к NSA.

Так как в наше время актуальность и достоверность информации представляет особое значение, мы решили детально проанализировать техническую сторону опубликованной утечки «кибероружия». Что можно узнать из информации в архиве?  Как оказалось, в архиве представлены свидетельства взлома правительственных серверов и серверов крупных компаний по всему миру ( всего около 1000). Актуальность информации датируется 2013-м годом.

Актуальность архива

Расшифрованный архив состоит из двух папок, одна из которых содержит файлы «слитого» сервера, так, как будто была сделана резервная копия (бэкап). Сохранена структура каталогов, релевантная операционной системе Linux.

Вторая папка называется «archive_files» и содержит архив с программами для взлома (эксплоитами).

Прежде всего, бросается в глаза, что представленное «кибероружие» (то есть, программы для взлома серверов посредством эксплуатации уязвимостей в программном обеспечении), датируется 2001-2005 годами.

Например:

• Файл xp_phpbb.pl является рабочей программой для популярного открытого проекта веб-форума под названием PHPBB версии 2005-го года. То есть, это файл 12 летней давности.

• Файлы xp_* с эксплойтами под сервер электронной почты Exchange, только распространяется в виде Exim (аналог Microsoft открытого программного обеспечения и настолько популярен, что используется повсеместно) относятся к 2002-му году. Более того, сами эти программы для взлома собраны компилятором GCC версии 3.2, относящейся к 2002 году.

Компилятор — это специальная программа, которая необходима для сборки других программ из исходного кода. После сборки компилятор оставляет сведения о себе внутри собранной программы. Эта информация полезна для отладки программы.  Анализ версий компиляторов, которыми собраны программы для взлома, представленные в архиве, показывает, что архив довольно старый. Самая новая версия компилятора датируется 2010-м годом.

В утекшем архиве было обнаружено много файлов с технической информацией о контрольных суммах других файлов, — это своеобразные реестры файлов. Видимо, администраторы сервера таким образом вели «учет» своего кибероружия и других файлов на сервере. Контрольная сумма — это значение особой криптографической функции, вычисленное от всех данных файла. Если содержимое файла изменить, то результат подсчета контрольной суммы будет иным. Эта информация проливает свет на реальные даты файлов, которые были представлены. Самые новые из них датируются 2013 годом, а основная масса укладывается в диапазон 2005-2011 гг. Причем в 2013 году наблюдается резкий спад, что может говорить, о том, что данная утечка произошла ближе к началу года.

Цели

В архиве находятся также файлы журналов запуска программ для взлома (эксплоитов). Фактически это журналы о проведении успешных киберопераций. В них записано, какой зараженный сервер и в какое время сообщил в центр управления, что он успешно заражен и готов к работе под новым командованием. Первый успешный взлом датируется 17 августа 2000 года, а последний — 18 августа 2010 года.

Внутри файлов журналов можно найти даты заражения и адрес сервера в интернете. Всего можно найти сведения об успешном взломе как минимум 910 серверов по всему миру. Стоит отметить, что атакующих явно интересовали сервера доменных имен (DNS) и почтовые сервера — они преобладают в списке взломанных машин. С помощью первых можно перехватывать и перенаправлять пользовательский трафик сайтов, а с помощью вторых — электронную почту.

Россия по количеству взломанных серверов находится только на седьмом месте (45 серверов). При этом под удар попали такие организации как Минатом, Управление делами Президента, Мэрия Москвы (mos.ru), Российская Академия Наук и другие ресурсы. Полный список выглядит следующим образом:

• Butt-head.mos.ru (официальный сайт мэра Москвы)
• Gate.technopolis.kirov.ru (сайт города Кирова)
• Jur.unn.ac.ru (РАН)
• STOICSURGEON-X86-LINUX-FATALTOUCH-SRV-UDPRF-2.UDPRF.RU (Управление делами Президента)
• X86-freebsd-6.1-wickedviper-ns4.ainf.ru (Музей Энергии)
• STOICSURGEON-X86-LINUX-WICKEDVIPER-TUX.MINATOM.RU (Минатом)
• STOICSURGEON-X86-LINUX-TILTTOP-GATE-NTO2.VINITF.RU (РФЯЦ – ВНИИТФ, Российский Федеральный Ядерный Центр – Всероссийский научно-исследовательский институт технической физики имени академика Е.И. Забабахина)
• STOICSURGEON-X86-LINUX-TILTTOP-NS.SNZ.RU (сайт техподдержки РФЯЦ – ВНИИТФ)
• kserv.krldysh.ru (сайт Института прикладной математики имени М. В. Келдыша РАН)  
• laleh.itrc.ac.ru
• m0-s.san.ru
• mail.ioc.ac.ru (почтовый сервер  Института органической химии им. Н.Д. Зелинского РАН)
• mcd-su-2.mos.ru
• ns1.bttc.ru
• ns1.bttc.ru
• Ns2.rosprint.ru
• nto2.vinitf.ru
• postbox.mos.ru
• Spirit.das2.ru
• sunhe.jinr.ru_
• webserv.mos.ru_
• x86-freebsd-5.3-sassyninja-mail.aprf.gov.ru
• x86-linux-fataltouch-srv-udprf-2.udprf.ru
• x86-linux-tilttop-bill.vega-int.ru
• x86-linux-tilttop-comet.vniitf.ru
• x86-linux-tilttop-gate-nto2.vniitf.ru
• x86-linux-tilttop-ns.snz.ru
• x86-linux-tilttop-ns-vega.int.ru
• x86-linux-tilttop-redhouse.vega-int.ru
• x86-linux-tilttop-tormoz.vniitf.ru
• x86-linux-wickedviper-tux.minatom.ru

Первой была взломана РАН, в 2002-2003 годах, а последние успешные взломы серверов в зоне .ru датируются 2007-м годом. С другими техническими деталями данного исследования можно ознакомиться здесь.

Заключение

Опубликованный хакерами архив содержит набор работоспособных инструментов для взлома, эксплуатирующих уже известные уязвимости различных программных продуктов. Само кибероружие уже устарело и датируется 2000-2010-ми годами, как и журналы его использования.

В числе успешных целей —  910 серверов по всему миру, в основном в Японии, Китая и Корее. В числе взломанных Российских ресурсов — государственные органы власти, сайты РАН и отдельных институтов, Минатом, а также некоторые сервера доменных имен, — все они были взломаны за период 2002-2007. Никаких сведений о принадлежности архива именно к агентству национальной безопасности США в архиве нет. Об этом говорят только сами хакеры, опубликовавшие архив, и Эдвард Сноуден.