Хакеры в отместку Трампу слили набор взломщиков АНБ
Хакерская группа Shadow Brokers опубликовала новую порцию инструментов, похищенных у Equation Group, группировки, аффилированной с АНБ США. Как выяснилось, у The Equation были эксплойты, нацеленные на систему SWIFT.
Взять под контроль SWIFT
Shadow Brokers опубликовала очередную порцию инструментов взлома, предположительно принадлежащих Equation Group, хакерской группировки, связанной с АНБ США.Среди этих инструментов обнаружились средства для проведения атак на международную межбанковскую систему SWIFT и ее сервисных бюро. По-видимому, целью АНБ было заполучить возможность отслеживать любые транзакции, проводимые через эту систему.Опубликованные инструменты также включают эксплойты для взлома систем на базе разных версий Windows, а также ряд презентаций и сопроводительных документов к этим и другим инструментам Equation.
[bbc.com», 15.04.2017, «Хакеры обвинили США во взломе межбанковской системы SWIFT»: Согласно опубликованным хакерами данным, АНБ проникло в системы двух бюро обслуживания SWIFT, в том числе в дубайский офис компании EastNets, специализирующейся на борьбе с отмыванием денег и оказании финансовых услуг.
Если это действительно так, то АНБ могло контролировать сделки с участием банков и других финансовых учреждений во многих странах Ближнего Востока. Однако в EastNets также отрицают случаи несанкционированнного доступа к сети.
Тем не менее многие эксперты считают, что опубликованные хакерами данные заслуживают доверия. Мустафа Бассам, исследователь из Университетского колледжа Лондона, считает опубликованную хакерами информацию доказательством того, что АНБ «взломало компьютеры большого числа банков, нефтяных и инвестиционных компаний в Палестине, ОАЭ, Кувейте, Катаре, Йемене и других ближневосточных странах».
Крис Томас, эксперт по кибербезопасности из Tenable, сказал агентству Рейтер, что документы и файлы, опубликованные Shadow Brokers, говорят о том, что АНБ, получив доступ к SWIFT, теоретически могло не только следить за финансовыми потоками, но также и вмешиваться в финансовые транзакции, проводимые террористическими группировками.
Бывший сотрудник американских спецслужб Эдвард Сноуден назвал публикацию данных Shadow Brokers «матерью всех бомб» — сравнив таким образом резонанс от публикации с недавним применением США на востоке Афганистана одной из самых мощных неядерных авиабомб.
В конце прошлой недели хакеры из Shadow Brokers сообщили, что им удалось выявить вредоносную программу, якобы разработанную Агентством национальной безопасности США. Со слов хакеров, они сделали это в знак протеста против политики Дональда Трампа, в частности, за решение атаковать крылатыми ракетами сирийскую авиабазу — врезка К.ру]
Представители SWIFT заявили изданию Threatpost, что ни инфраструктура, ни данные SWIFT сами по себе не были скомпрометированы, но при этом «сторонние организации» могли получать несанкционированный доступ к каналам связи между сервисными бюро и их клиентами.Сервисные бюро — это сторонние сервис-провайдеры, которые занимаются управлением и поддержкой подключений финансовых учреждений к сети SWIFTNet. В «сливе» Shadow Brokers в частности фигурируют подробные данные об архитектуре EastNets, крупнейшем сервисном бюро SWIFT на Ближнем Востоке, и данные для доступа к нему.Стоит отметить, что американские спецслужбы после атак 11 сентября 2001 г. негласно получили доступ к финансовой информации в сети SWIFT — это было сделано с целью отслеживания возможных финансовых транзакций террористов.В 2006 г. в The New York Times, The Wall Street Journal и Los Angeles Times были опубликованы материалы, посвященные возможности АНБ и ЦРУ мониторить транзакции в SWIFT, так что администрация этого сервиса подверглась жесткой критике за недостаточную защиту данных клиентов.Впоследствии архитектуру всей системы начали обновлять — как раз с целью защитить тайну транзакций.«В целом, нет ничего удивительного, что спецслужбы стремятся иметь доступ к данным SWIFT — это сильно упрощает им работу. Сейчас, когда стало известно, что Equation Group «ломали» сервисные бюро SWIFT, очевидно, что операторы SWIFT постараются минимизировать вероятность новых вторжений, поскольку они кровно в этом заинтересованы», — говорит Дмитрий Гвоздев, генеральный директор компании «Монитор Безопасности». — «Проблема в том, что усовершенствование безопасности потребует затрат времени, а инструментарий, которым пользовались Equation Group доступен всем желающим уже сейчас. И «желающими» будут отнюдь не только борцы с терроризмом».
Как подобраться к транзакциям SWIFT
Как поясняет в своей публикации французский эксперт по безопасности Мэтт Суиш (Matt Suiche), проанализировавший содержимое архива от Shadow Brokers, передача банковских данных производится через базу данных Oracle, на которую установлено специально ПО SWIFT. В архиве содержались эксплойты для Oracle, позволявшие вытягивать из БД различные сведения, включающие список пользователей и запросы SWIFT.В EastNets, однако, отрицают, что их системы подверглись какой бы то ни было компрометации. «Сервисное бюро EastNets работает на отдельной безопасной сети, к которой невозможно получить доступ из публичных сетей. Изображения, опубликованные в твиттере с заявлениями о скомпрометированных данных, относятся к устаревшим страницам, сгенерированным на низкоуровневом внутреннем сервере, который не функционирует с 2013 г.» — утверждают в EastNets.Впрочем, эксперт по безопасности Кевин Бомон (Kevin Beaumont) тотчас же опроверг тезис EastNets о недоступности их внутренних сетей извне. Высказываются предположения, что хакеры АНБ могли использовать эксплойты к файерволлам Cisco и системам, работающим на Solaris, чтобы получить доступ к внутренним сетям сервисных бюро SWIFT, а затем уже атаковать базы данных Oracle.Сколько других сервис-бюро SWIFT могли быть взломаны, пока неизвестно.
«Увидимся после Третьей Мировой…»
Shadow Brokers — это группировка, выкравшая летом 2016 г. данные о хакерских инструментах АНБ и публиковавшая их в интернете. Некоторые попавшие к ней материалы она пытается продавать.Нынешнее заявление Shadow Brokers по традиции написано на исковерканном английском языке. В конце говорится: «Может быть, если мы все переживать Третью Мировую, theshadowbrokers видеть вас следующая неделя. Кто знает, что у нас бывать в следующий раз».Архив с инструментами The Equation Group был выложен на «Яндекс.Диск», однако к нынешнему моменту уже удален.Неделей ранее Shadow Brokers опубликовали целый ряд инструментов взлома систем UNIX — в том числе эксплойты для удаленного запуска произвольного кода на Sun Solaris, Netscape Server, а также FTP-серверах и почтовых клиентах. Архив содержал также набор средств обеспечения скрытности, бэкдоров, кейлоггеров, средств мониторинга сетей и имплантов уровня ядра для UNIX.Вдобавок Shadow Brokers опубликовали пароль к первому архиву Equation Group, который они хотели продать на аукционе. Поскольку желающих не нашлось, «теневые брокеры» раздали все бесплатно.
Роман Георгиев