W zeszłym tygodniu pojawiła się szokująca informacja o wykradzeniu cyberbroni NSA. Nieznana grupa umieściła w sieci dwa foldery liczące łącznie ponad 300 megabajtów. Jeden z nich został zaszyfrowany, a hasło do niego ma zostać udostępnione zwycięzcy aukcji, którą zorganizowała grupa Shadow Brokers. Organizowanie publicznej aukcji jest jednak bezsensu, w szczególności biorąc pod uwagę ogromną kwotę, którą żądali jej organizatorzy. Osoba chcąca uzyskać dostęp do pliku musi zapłacić 500 milionów dolarów w Bitcoinach, co nie umknie uwadze służb wywiadowczych. Nawet jeżeli zostanie dokonana, w trudno wykrywalnej kryptowalucie. Drugi odkodowany folder liczący 134 MB zawiera informacje o skryptach używanych po stronie serwera, konfiguracjach różnych rodzaju exploitach umożliwiających złamanie firewalli i innych informacji na temat zabezpieczeń firm Fortinetu, Cisco, Snaanxi, Networkcloud Information Technology. Najnowsze z nich pochodzą z 2013 roku.
Sygnatury opublikowanych narzędzi hakerskich są identyczne z tymi używanymi wcześniej przez Equation Group. Potwierdza to autentyczność opublikowanych materiałów. Początkowo wiele osób w to wątpiło, ponieważ publikowanie informacji i narzędzi hakerskich należących do grup kontrolowanych przez państwa jest niezwykle rzadkie. Zresztą sama wielkość opublikowanych plików wskazuje, że nie zostały one sfałszowane. Ostatnie potwierdzenie przyszło ze strony Edwarda Snowden, który w magiczny sposób znalazł odpowiedni dokument potwierdzający autentyczność wykradzionych materiałów. Warto podkreślić, że prawie wszystkie opublikowane przez ShadowBrokers pliki komputerowe zawierają algorytmu RC5 i RC6, znalezione również w oprogramowaniu Sauron, wykrytym niedawno przez Kasperky Lab, Remsec i Symantec.
Cele ataków czyli routery należące do Cisco, Juniper oraz Forinentu to jedne z najpopularniejszych tego rodzaju urządzeń na świecie, używane zarówno przez instytucje rządowe, największe korporacje oraz pojedyncze osoby. Przedstawiciel Cisco przyznał publicznie, że jedna z podatności ujawnionych przez grupę Shadow Brokers była cały czas im nieznana.
Byli pracownicy NSA, wliczając w to Edwarda Snowdena określili, że wykradzenie materiałów z serwerów agencji jest, ich zdaniem bardzo mało prawdopodobne. Ich zdaniem, narzędzia zostały prawdopodobnie wykradzione z serwerów zewnętrznych używanych do przeprowadzania ataków przez hakerów związanych z NSA. Agencja używa zewnętrznych serwerów do operacji wymierzonych w inne państwa w celu uniknięcia wykrycia. Prawdopodobnie w skutek niedopatrzenia, narzędzia prawdopodobnie nie zostały usunięte po zakończeniu operacji i to pomimo, że NSA przeprowadza audyt swoich systemów. Nie jest też częścią archiwum Snowdena, które zawierały głównie prezentacje Power Point opisujące konkretne programy a nie szczegóły podatności wykorzystywanych do ataku. Prawdopodobnie pliki zostały wykradzione w okolicach 11 czerwca 2013. Jeżeli faktycznie jest to prawda, to osoba, która uzyskała informacje mogła wykorzystywać, te same podatności, co NSA i szpiegować niezauważona wiele podmiotów na całym świecie przez okres 3 lat. Należy też zauważyć, że było to dwa miesiące po ucieczce Snowdena do Hong Kongu i sześć dni po pierwszej publikacji przez dziennik Guardian pierwszych dostarczonych dokumentów. Prawdopodobnie w tym samym czasie NSA wzmocniła mechanizmy kontroli oraz wyłączała potencjalne źródła przecieku informacji, odcinając hakerów od serwera.
Equation Group prowadzi jedne z najbardziej zaawansowanych operacji hakerskich na świecie korzystając z nieograniczonych zasobów, najzdolniejszych informatyków. Była ona prawdopodobnie zaangażowania w wykorzystaniu podatności typu zero-day przy Stuxnecie – robaku, który zaatakował ośrodek Natanz w Iranie oraz przy Flamie – szpiegowskim oprogramowaniu pozyskującym informacje z komputerów na Bliskim Wschodzie.
Źródło przecieku
Wśród ekspertów dominują dwie główne hipotezy o możliwym przecieku informacji. Jedna z nich mówi, że za wszystkim stoi Rosja, która pragnie zademonstrować swoją potęgę w cyberprzestrzeni. Pokazać Amerykanom, że też jest w stanie wyśledzić ich poczynania w sieci. Incydent ten ma być odpowiedzią na atrybucję ataku na Komitet Partii Demokratycznej, gdzie wskazano na rosyjskich udział. Teza na udział Kremla w całym wydarzeniu wydaje się być najbardziej prawdopodobna, biorąc pod uwagę ostatnią sytuację. Potwierdził to zresztą przebywający w Rosji i całkowicie uzależniony od FSB Edward Snowden.
Druga hipoteza mówi, że wyciek danych jest dziełem osoby pracującej w NSA, która szuka rewanżu na byłym pracodawcy oraz łatwego zarobku i dlatego publikuje te informacje lub jest źródłem osobowym rosyjskiego wywiadu. Hipotezę o „wewnętrznej robocie” przedstawił Matt Suiche założyciel MoonSols zajmującego się cyberbezpieczeństwem. Jego zdaniem takie narzędzia trzymane są fizycznie odseparowanych serwerach, które nie mają łączności z Internetem i nigdy nie są umiejscawiane na zewnątrz. Jego zdaniem ktoś specjalnie je tam umieścił. Nie zmieniona hierarchia i nazwa plików sugeruje, że były one bezpośrednio przekierowane ze źródła.
Skutki dla NSA
Przeciek narzędzi używanych przez NSA negatywnie wpłynie na już nadszarpniętą reputację agencji oraz może osłabić zdolności ofensywne Stanów Zjednoczonych w cyberprzestrzeni. Inne podmioty mogą nauczyć się z opublikowanych materiałów jakich technik i metod używają Amerykanie. Wprawdzie materiał głównie pochodzi z 2013 roku, to NSA często korzysta ze starych rozwiązań nawet w swoich najnowszych programach, po prostu dodając nowe opcje do już istniejących fundamentów. Potwierdza to ostatnio ujawnione oprogramowania Sauron zawierające algorytmy z lat 90. i napisane w przestarzałym już języku Lua.
Drugim problem leży w braku reakcji NSA na publikację dokumentów. Wynika to z tego, że dokładnie nie wiadomo, co zostało skradzione. Pokazuje to jak niewiele wiadomo o stosowanych rozwiązaniach, narzędziach i podatnościach i czy powinny zostać ujawnione.
Trzecim problemem jest wpływ działalności NSA na światowe cyberbezpieczeństwo, w tym ochronę przedsiębiorstw i firm komercyjnych. NSA świadoma istnienia luk w ich zabezpieczeniach nie informuje ich o nich. W ten sposób naraża na włamania firmy komercyjne, ponieważ każdy może uzyskać dostęp do podatności, od pojedynczych hakerów aż po agencje szpiegowskie państw posiadające zaawansowane narzędzie w świecie wirtualnym.
Obecnie w Stanach Zjednoczonych istnieje proces ujawniania podatności oprogramowania. Agencja takie jak NSA czy FBI powinny każdy odkryty exploit przesyłać do grupy ekspertów wywodzących się z różnych instytucji, którzy następnie postanawiają czy bardziej opłacalne jest jego ujawnienie czy utrzymanie w sekrecie. Zdaniem Micheala Denisa koordynatora Białego Domu ds. cyberbezpieczeństwa w zdecydowanej większość przypadków dochodzi do ujawniania informacji. Ten proces oceny jest jednak dość nowy, został wprowadzony wiosną 2014 roku. Wcześniej NSA posiadała wewnętrzny proces oceny zagrożeń. W jego rezultacie jednak ujawniano nieliczne wykryte luki typu zero-day. Taka polityka wynikała z przekonania, że podatności mogą służyć przez długi okres czasu jako przydatna broń, a ujawnienie ich zmusi agencję do kosztowych poszukiwań kolejnych.
Czytaj też: The Shadow Brokers twierdzi, że zaatakowało sieć NSA