Mutt
Professional
- Messages
- 1,161
- Reaction score
- 827
- Points
- 113
УКРАЛИ ВИРУС У АНБ.
Что, если самое мощное кибероружие на планете было создано не хакерами, а… правительством США?
В 2016 году загадочная группа Shadow Brokers совершила величайший взлом в истории — они украли секретные инструменты АНБ (NSA), а затем выложили их в сеть. Один из этих эксплойтов — EternalBlue — стал основой атак WannaCry и NotPetya, которые нанесли ущерб в миллиарды долларов по всему миру.
Кто такие Shadow Brokers? Как они взломали самую защищённую организацию США? И почему последствия их утечки мы чувствуем до сих пор?
В этой теме ты узнаешь:
Содержание:
Вступление: странный пост на GitHub.
13 августа 2016 года. Мэриленд. Ночь. Обычный пригород в Америке. В окнах мерцает свет телевизоров, в новостях обсуждают выборы. Хиллари Клинтон против Дональда Трампа. Люди листают заголовки в телефонах, спорят о политике, думают о будущем страны. Но где-то в другом измерении, в цифровом подполье, уже разворачивается нечто куда более опасное. Около полуночи на сайте GitHub появляется странное сообщение от неизвестного пользователя.
Оно выглядит как шутка, ломанный английский, громкие заявления, какие-то файлы, кто-то явно хочет привлечь к себе внимание. Большинство пролистывает это как очередную интернет-выходку, но в мире кибербезопасности начинается паника. Что это? Это не может быть правдой! Подождите, эти инструменты настоящие? То, что оказалось перед глазами специалистов, было не просто очередным вирусом или трояном. Это был цифровой арсенал, украденный у самого мощного киберагентства мира – АНБ.
Причем не просто у АНБ, а у их самого секретного подразделения, Equation Group. Equation Group – это элиты из элит, уровень секретности выше, чем в ЦРУ. Их существование долгое время вообще считалось слухом среди специалистов. Это они стояли за тем самым вирусом, который вывел из строя центрифуги иранской ядерной программы в 2010 году. И вот теперь внезапно кто-то выложил в интернет инструменты этого подразделения.
Настоящие кибербомбы. Среди файлов уязвимости. Бэкдоры, Трояны, Эксплойты для маршрутизаторов Циско и Фортинет. Некоторые настолько мощные, что с их помощью можно было получить контроль над компьютером, не оставляя следов. Для обычного человека это выглядело как странная непонятная утечка. Для профессионалов это было землетрясение, взрыв, эхом прокатившийся по всему киберпространству. Это было началом истории, в которой тайны, шпионы, предательства и цифровые войны сплелись в единый клубок.
Кто такие Equation Group.
В мире кибербезопасности имена вроде Фэнси Бэр, Лазарус Групп стали почти нарицательными. За каждым из них скрывается государственный интерес – Россия, Северная Корея, Иран. Но есть одна группа, которая стоит особняком. Группа, о которой долгое время ходили только слухи. Операции, которые настолько сложны, что, казалось, их не смогла совершить ни одна известная хакерская группа в мире. Имя этой организации – Equation Group.
Когда в 2015 году российская компания Касперский Лаб начала исследовать одну особенно хитрую вредоносную программу, они заметили странности. Код был излишне изощренным, устойчивым, с невероятным уровень скрытности. Более того, части этого кода были замечены в других атаках, в разных точках мира и на разных языках. Чтобы хоть как-то идентифицировать эту тень, специалисты из лаборатории Касперского дали группе кодовое название Equation Group.
Почему такое название? Потому что их вредоносные программы и эксплойты содержали сложные математические уравнения. Криптографические трюки и алгоритмы, требующие недоступных для обычных хакеров ресурсов. Equation Group — это государственный проект. Финансируемый, организованный, оснащенный так, как не может себя позволить ни один частный игрок. Они могут разрабатывать вредоносные инструменты годами. Они создают собственные файловые системы, чтобы скрывать вредоносный код в жестких дисках.
Они не просто заражают компьютер. Они встраиваются в саму архитектуру системы. Самый известный пример — вирус Stuxnet. Этот вредонос был впервые обнаружен в 2010 году. Он был наценен исключительно на иранские ядерные центрифуги. Stuxnet незаметно проникал в системы, находил нужные модели устройств управления, менял скорость вращения центрифуги и в итоге физически выводил их из строя, оставаясь невидимым для операторов.
Эксперты по всему миру пришли к единому мнению — такое могла сделать только государственная спецслужба. Позже выяснилось, за атакой стояли Equation Group, та самая тень ANB. Их арсенал, как из фантастического фильма, вот лишь несколько примеров инструментов, созданных Equation Group. Cotton Mouse, устройство, замаскированное под обычную USB-флешку, может перехватить все, что проходит через USB-порт, нажатие клавиш, движение мыши и даже пересылать данные по радиоканалу.
Dropout Jib, вредонос, позволяющий превратить айфон в шпионское устройство. Доступ к микрофону, к камере, смс, контактам – все это возможно без ведома владельца. RageMaster – аппаратное устройство, подключенное к VGA разъему монитора. Оно перехватывает изображение с экрана и передает его по радиоканалу, создавая полноценную копию происходящего на мониторе, на расстоянии.
Секретность превыше всего. Все инструменты Equation Group хранились в высшей степени секретности. Только ограниченный круг специалистов АНБ имел к ним доступ. Внутренние правила запрещали выносить даже обсуждения этих проектов за пределы офиса.
Shadow Brokers выходят из тени.
13 августа 2016 года на GitHub появляется пост от неизвестной группы под названием Shadow Brokers. Они заявляют, что взломали Equation Group.
Звучит безумно? Тогда они предлагают доказательства. Вместе с заявлением в сеть выкладываются реальные инструменты взлома, взятые, по их словам, с внутренних серверов АНБ. Эти файлы могли позволить получить полный контроль над сетевым устройством Cisco, даже если они обновлены, проникнуть в корпоративные и государственные сети без обнаружения. Крупнейшие компании вроде Cisco подтвердили, эти уязвимости были настоящими, и они не знали об их существовании.
Shadowbrokers не просто взломали, они решили продать украденное оружие миру. Сколько вы платите врагам за кибероружие? Мы выставляем на аукцион лучшие файлы. Вы хотите полный пакет? Вы платите 1 миллион биткоинов. Цена 1 миллион биткоинов? Бессмысленно дорого. Даже смешно, но это и был расчет. Это не просто продажа, это демонстрация силы. Shadowbrokers играли свою игру, а не высмеивали АНБ. Тон сообщений был особенный, ломанный, будто переведенный через Google Translate, но некоторые эксперты считают, что это было намерено, чтобы сбить толку следователя.
Через несколько дней крупнейшие СМИ мира Guardian и New York Times публикуют статьи. АНБ взломано, утекло реальное оружие цифровой войны. Уязвимости, которые никто кто не должен был видеть, теперь в открытом доступе. Для специалистов в области кибербезопасности это был момент истины. Если раньше они догадывались о мощи АНБ, то теперь они видели ее глазами.
Реакция АНБ и поимка Харольда Мартина.
Строчки кода, взломы, уязвимости – все перед ними. Это было больше, чем утечка Сноуден. Сноуден раскрыл документы и схемы, Shadow Brokers раскрыли исходный код. Настоящие инструменты, реальные ключи от замков прямо в руки потенциальным врагам США. Началась охота. ФБР и АНБ строили гипотез. Россия? На тот момент Кремль уже обвиняли во вмешательстве в выборы США.
Утечка ДНС произошла за месяц до этого. Shadow Brokers могли быть частью этого сценария. Значит ли это, что Shadow Brokers тоже они? Возможно. Но есть проблема. Стиль. Утечки Shadowbrokers не похожи на работу российских спецслужб. Это не скрытая операция. Это шоу. Они играют с публикой. Человек внутри АНБ? Новый Сноуден? Кто-то, работающий в АНБ, решил отомстить? Ведь доступ к таким данным просто так не получишь. Хакеры? Может это просто группа, желающая обогатиться, и они решили шантажировать правительство? Официально, ни одна версия не подтверждена до сих пор.
ФБР начала наблюдать за биткоин-кошельком Shadow Brokers, аукцион провалился, биткоины почти никто не перевел. Shadowbrokers замолчали. Но вместо облегчения внутри АНБ начинается паника, потому что если файлы настоящие, Значит, где-то в системе утечка масштаба национальной катастрофы. В кабинетах АНБ и ФБР кипит работа, криптоаналитики, офицеры по контрразведке, эксперты по внутренней безопасности — все пытаются ответить на два ключевых вопроса.
Кто такие Шэдоу Брокерс и как они получили доступ к святая святых АНБ — Арсеналу Equation Group? АНБ начали отрабатывать версию о человеке внутри системы, который слил все данные. После разоблачения Сноудена АНБ ужесточило контроль над сотрудниками. Но что, если кто-то все-таки снова решил пойти против системы?
В этот момент ФБР получает наводку. Некто из сотрудников выложил подозрительный твит, содержащий зашифрованные намеки на внутреннюю утечку. Его аккаунт оформлен странно. Аватар, латинские и французские фразы, видеоролики 13-летней давности про ЧВК и снайперов. Имя подозреваемого – Харальд Тимартин III. Харальд Тимартин – идеальный кандидат на роль предателя. Бывший офицер ВМФ, работал подрядчиком Бус Ален Хамилтон, той же компанией, что нанимала Сноудена, имел допуск к самым засекреченным материалам АНБ.
Работал напрямую с Equation Group, включая отдел ТАО, элитное подразделение АНБ по цифровым атакам. Он тихий, замкнутый, коллеги описывали его как странного, но умного. Он знал, где лежат ключи от цифровых дверей. Харальда арестовали. Когда агенты вошли в дом, они были потрясены. Папки, жесткие диски, печатные документы и даже засекреченные данные, лежащие в машине на виду.
Всего 50 терабайт информации. Это эквивалент десятков миллионов документов. Многие из них помечены как топ секрет. Он забирал материалы не только из АНБ, но и от ЦРУ, Киберкомандования США, Министерства обороны, Национального разведывательного управления. Причем делал это два десятилетия подряд. Но есть проблема. ФБР рассчитывало, что Мартин и есть Shadow Brokers. У них есть подозреваемые, есть доступ, есть 50 терабайт краденных данных, все складывается, но ни один из файлов, опубликованных Shadow Brokers, не найден среди документов Мартина.
Второе послание Shadow Brokers: манифест и США.
Он не запускал их вне защищенных сетей АНБ, он даже не публиковал ничего сам. Мартин был виновен в воровстве, но он не Shadow Brokers. Время идет, ответов нет, тем временем Shadow Brokers возвращаются с новым манифестом, с политическими заявлениями, с новой утечкой и с прямым вызовом Белому Дому.
Сентябрь 2016 года. Второе послание Shadowbrokers. Они снова публикуют данные, но на этот раз все иначе. Да, они снова выкладывают киберинструменты, да, снова прикладывают доказательства, но главное – теперь они говорят много, громко и очень вызывающе. Цель – американские власти. В октябре 2016 года Shadowbrokers публикует новое сообщение, полное насмешек над США.
Их мишень – вице-президент Джо Байден, которого они называют «грязный дедушка» за его угрозы России. Почему грязный дедушка угрожает кибервойной с Россией через ЦРУ? Почему не через АНБ или киберкомандование? ЦРУ – киберкоманда «Б»? Да? Где киберкоманда «А»? В этом послании они усиливают свою антимериканскую риторику, фразы вроде «враг моего врага мой друг», «где свободная пресса?» намекают на их позицию против американского истеблишмента.
Они ставят под сомнение обвинение в адрес России за кибератаки, предполагая, что в США преувеличивают внешние угрозы, чтобы скрыть свои провалы. Их риторика перекликается с антизападными нарративами, но мотивы остаются неясны, то ли это независимые хакеры, то ли кто-то, действующий в интересах противников США. Что в новой утечке? Shadowbrokers публикует список IP-адресов, доменов и серверов, через которые, по их словам, АНБ осуществляла кибератаки по всему миру.
Это цифровая карта тайной деятельности США, киберспециалисты по всему миру проверяют данные и находят подтверждение. Многие адреса действительно засветились в логах атак в Азии, на Ближнем Востоке и Европе. Это не просто скандал, это означает, что теперь любая страна может посмотреть в свои логи и сказать «США шпионили за нами». Факт, что Shadow Brokers имеют доступ к таким данным, уничтожает иллюзию неприкосновенности АНБ.
Теперь каждый в мире знает, даже самые секретные серверы самого секретного киберподразделения США можно взломать. И это знание куда опаснее, чем сами эксплойты. Реакция США – гробовая тишина. Белый дом не комментирует послания, медиа почти не обсуждают эту часть утечек, но шедоу-брокер замечают это и делают следующий вывод. Где свобода прессы, ABC, NBC, CBS, FOX халатно относятся к информированию американцев.
Они обвиняют СМИ в цензуре и зависимости от государства. Заявляют, если о нас молчат, значит боятся. Внутри АНБ и ФБР разочарование и растерянность. Харальд Мартин сидит в СИЗО, но утечки продолжаются. Улик нет, следов нет. Все действия Shadow Brokers анонимны, грамотно замаскированы, без цифровых следов. ФБР и НСА начинают подозревать. Может в наших рядах есть еще кто-то?
Или это была внешняя атака, о которой мы не догадываемся? Shadowbrokers молчат, но это затишье перед бурей. Апрель 2017 года. Финальное сообщение Shadowbrokers. На платформе Medium появляется пост с названием «Не забывай о своей базе». Сообщение начинается не как хакерский релиз, а как гневное письмо фаната, которого предали. Обращение лично к Дональду Трампу. Shadowbrokers проголосовали за вас. Shadowbrokers теряют веру в вас, мистер Трамп.
В чьей войне вы участвуете? Израильские националисты? Голдман Сакс? Они обвиняют Трампа в предательстве своего электората. И в самом конце сообщения, как будто между делом, они выкладывают пароль к зашифрованному архиву, который выложили еще полгода назад. Это ключ к аду.
EternalBlue: взлом, который стал вирусом.
Что внутри архива? 67 исполняемых файлов для Windows. Zero-day-эксплойты, неизвестные даже Microsoft. IP-адреса, домены, зашифрованные трояны, инструменты удаленного управления, вредоносные драйверы, невидимые антивирусы.
Но главное среди них эксплойт EternalBlood. Что такое EternalBlue? Это киберарсенал, созданный ANB, чтобы проникать в любые компьютеры под управлением Windows. Эксплойт использует уязвимость в протоколе SMBv1, устаревшем компоненте для обмена файлами между устройствами в локальной сети. По классификации уязвимость CVE-2017-01-44. Она позволяет удаленно исполнять код на любом компьютере, то есть полностью захватывать систему, без пароля, без нажатий, без подтверждений.
EternalBlue – это цифровая ракета класса Земля-сервер. До этого момента только АНБ обладала таким оружием. Теперь весь мир. Почему это так опасно? SMB-1 был включен, по умолчанию, на сотнях миллионных устройств. Уязвимость присутствовала даже у Windows XP и Server 2003.
Многие организации просто не успели установить патчи или даже не знали об угрозе. Этернал Блу дал хакерам возможность заражать целые сети за секунду, прыгать от одного компьютера к другому, как цифровая чума.
WannaCry и NotPetya: последствия утечки.
Май 2017 года наступает WannaCry. Через месяц после утечки EternalBlue начинается первая масштабная атака нового типа. Глобальный кибератакующий вирус парализует больницы, банки и предприятия. Вредонос Уанакрай использует Этернал Блу для проникновения в системы, а затем шифрует все файлы и требует выкуп в биткоинах.
Масштаб атаки – заражено более 300 тысяч компьютеров в 150 странах. Затронуты больницы в Великобритании, заводы в Азии. Ущерб – более 4 млрд долларов. В некоторых больницах отменялись операции, врачи писали диагнозы от руки. Службы экстренной помощи были временно недоступны. США официально обвинили в атаке Северную Корею.
Лазарус, связанная с КНДР, использовала Internal Blue, чтобы запустить вирус. Оружие, разработанное США оказалась в руках их врагов и была использована против всего мира. Но это еще не все. Затем пришел NotPetya. Через полтора месяца еще одна волна. Но теперь цель Украина. Вирус NotPetya распространяется теми же методами через Eternal Blue. Но теперь цель не выкуп, а уничтожение данных.
Пострадали национальные банки, метро Киева, электросети, международные компании, Роснефть, Федекс. Ущерб – более 10 миллиардов долларов. Некоторые компании восстанавливались месяцами, у других всё было утеряно навсегда. Атака Eternal Blue стала одной из самых разрушительных в истории человечества. Не из-за взломов, не из-за вируса, а потому что оружие из рук государства оказалось в свободном доступе.
Исчезновение Shadow Brokers.
И вот главный вопрос, кто несет ответственность? Shadow Brokers за то, что опубликовали, или АНБ за то, что создали это оружие и не уберегли? После последнего манифеста и утечки Eternal Blue группа Шэдоу Брокерс исчезает так же внезапно, как и появилось. Никаких новых постов, никаких заявлений, ни одного следа. В Даркнете, на форумах, в специализированных чатах – тишина. За два года расследования правительство США так и не установило личность ни одного члена Shadow Brokers.
Россия – никаких доказательств. Китай, Иран, Северная Корея – лишь догадки. Харальд Тимартин сидит в тюрьме, но к утечке Shadow Brokers не причастен. Он признал вину в незаконном хранении засекреченных материалов и был приговорен к 9 годам тюрьмы, 3 годам надзора и штрафу в 250 тысяч долларов. Но в приговоре не было ни слова о Shadow Brokers, потому что доказательств так и не нашлось. В этой истории важно не имя хакеров, важен прецедент.
Shadow Brokers раскрыли не секреты, а уязвимости системы. Они показали, что оружие, спрятанное в сейфе, рано или поздно оказывается в чужих руках. Иногда в Даркнете до сих пор всплывают аккаунты, которые пытаются выдать себя за Shadow Brokers, но это не они. Те настоящие молчат. Скорее всего они ушли навсегда, но их наследие живет в каждой атаке, в каждом новом вирусе.
Что, если самое мощное кибероружие на планете было создано не хакерами, а… правительством США?
В 2016 году загадочная группа Shadow Brokers совершила величайший взлом в истории — они украли секретные инструменты АНБ (NSA), а затем выложили их в сеть. Один из этих эксплойтов — EternalBlue — стал основой атак WannaCry и NotPetya, которые нанесли ущерб в миллиарды долларов по всему миру.
Кто такие Shadow Brokers? Как они взломали самую защищённую организацию США? И почему последствия их утечки мы чувствуем до сих пор?
В этой теме ты узнаешь:
- Как устроены кибервойны и кто в них побеждает
- Почему даже АНБ не смогло защитить свои секреты
- Что случилось после того, как вирус попал в интернет
- И кто несёт настоящую ответственность за киберхаос
Содержание:
- Вступление: странный пост на GitHub
- Кто такие Equation Group
- Shadow Brokers выходят из тени
- Реакция АНБ и поимка Харольда Мартина
- Второе послание Shadow Brokers: манифест и США
- EternalBlue: взлом, который стал вирусом
- WannaCry и NotPetya: последствия утечки
- Исчезновение Shadow Brokers
Вступление: странный пост на GitHub.
13 августа 2016 года. Мэриленд. Ночь. Обычный пригород в Америке. В окнах мерцает свет телевизоров, в новостях обсуждают выборы. Хиллари Клинтон против Дональда Трампа. Люди листают заголовки в телефонах, спорят о политике, думают о будущем страны. Но где-то в другом измерении, в цифровом подполье, уже разворачивается нечто куда более опасное. Около полуночи на сайте GitHub появляется странное сообщение от неизвестного пользователя.
Оно выглядит как шутка, ломанный английский, громкие заявления, какие-то файлы, кто-то явно хочет привлечь к себе внимание. Большинство пролистывает это как очередную интернет-выходку, но в мире кибербезопасности начинается паника. Что это? Это не может быть правдой! Подождите, эти инструменты настоящие? То, что оказалось перед глазами специалистов, было не просто очередным вирусом или трояном. Это был цифровой арсенал, украденный у самого мощного киберагентства мира – АНБ.
Причем не просто у АНБ, а у их самого секретного подразделения, Equation Group. Equation Group – это элиты из элит, уровень секретности выше, чем в ЦРУ. Их существование долгое время вообще считалось слухом среди специалистов. Это они стояли за тем самым вирусом, который вывел из строя центрифуги иранской ядерной программы в 2010 году. И вот теперь внезапно кто-то выложил в интернет инструменты этого подразделения.
Настоящие кибербомбы. Среди файлов уязвимости. Бэкдоры, Трояны, Эксплойты для маршрутизаторов Циско и Фортинет. Некоторые настолько мощные, что с их помощью можно было получить контроль над компьютером, не оставляя следов. Для обычного человека это выглядело как странная непонятная утечка. Для профессионалов это было землетрясение, взрыв, эхом прокатившийся по всему киберпространству. Это было началом истории, в которой тайны, шпионы, предательства и цифровые войны сплелись в единый клубок.
Кто такие Equation Group.
В мире кибербезопасности имена вроде Фэнси Бэр, Лазарус Групп стали почти нарицательными. За каждым из них скрывается государственный интерес – Россия, Северная Корея, Иран. Но есть одна группа, которая стоит особняком. Группа, о которой долгое время ходили только слухи. Операции, которые настолько сложны, что, казалось, их не смогла совершить ни одна известная хакерская группа в мире. Имя этой организации – Equation Group.
Когда в 2015 году российская компания Касперский Лаб начала исследовать одну особенно хитрую вредоносную программу, они заметили странности. Код был излишне изощренным, устойчивым, с невероятным уровень скрытности. Более того, части этого кода были замечены в других атаках, в разных точках мира и на разных языках. Чтобы хоть как-то идентифицировать эту тень, специалисты из лаборатории Касперского дали группе кодовое название Equation Group.
Почему такое название? Потому что их вредоносные программы и эксплойты содержали сложные математические уравнения. Криптографические трюки и алгоритмы, требующие недоступных для обычных хакеров ресурсов. Equation Group — это государственный проект. Финансируемый, организованный, оснащенный так, как не может себя позволить ни один частный игрок. Они могут разрабатывать вредоносные инструменты годами. Они создают собственные файловые системы, чтобы скрывать вредоносный код в жестких дисках.
Они не просто заражают компьютер. Они встраиваются в саму архитектуру системы. Самый известный пример — вирус Stuxnet. Этот вредонос был впервые обнаружен в 2010 году. Он был наценен исключительно на иранские ядерные центрифуги. Stuxnet незаметно проникал в системы, находил нужные модели устройств управления, менял скорость вращения центрифуги и в итоге физически выводил их из строя, оставаясь невидимым для операторов.
Эксперты по всему миру пришли к единому мнению — такое могла сделать только государственная спецслужба. Позже выяснилось, за атакой стояли Equation Group, та самая тень ANB. Их арсенал, как из фантастического фильма, вот лишь несколько примеров инструментов, созданных Equation Group. Cotton Mouse, устройство, замаскированное под обычную USB-флешку, может перехватить все, что проходит через USB-порт, нажатие клавиш, движение мыши и даже пересылать данные по радиоканалу.
Dropout Jib, вредонос, позволяющий превратить айфон в шпионское устройство. Доступ к микрофону, к камере, смс, контактам – все это возможно без ведома владельца. RageMaster – аппаратное устройство, подключенное к VGA разъему монитора. Оно перехватывает изображение с экрана и передает его по радиоканалу, создавая полноценную копию происходящего на мониторе, на расстоянии.
Секретность превыше всего. Все инструменты Equation Group хранились в высшей степени секретности. Только ограниченный круг специалистов АНБ имел к ним доступ. Внутренние правила запрещали выносить даже обсуждения этих проектов за пределы офиса.
Shadow Brokers выходят из тени.
13 августа 2016 года на GitHub появляется пост от неизвестной группы под названием Shadow Brokers. Они заявляют, что взломали Equation Group.
Звучит безумно? Тогда они предлагают доказательства. Вместе с заявлением в сеть выкладываются реальные инструменты взлома, взятые, по их словам, с внутренних серверов АНБ. Эти файлы могли позволить получить полный контроль над сетевым устройством Cisco, даже если они обновлены, проникнуть в корпоративные и государственные сети без обнаружения. Крупнейшие компании вроде Cisco подтвердили, эти уязвимости были настоящими, и они не знали об их существовании.
Shadowbrokers не просто взломали, они решили продать украденное оружие миру. Сколько вы платите врагам за кибероружие? Мы выставляем на аукцион лучшие файлы. Вы хотите полный пакет? Вы платите 1 миллион биткоинов. Цена 1 миллион биткоинов? Бессмысленно дорого. Даже смешно, но это и был расчет. Это не просто продажа, это демонстрация силы. Shadowbrokers играли свою игру, а не высмеивали АНБ. Тон сообщений был особенный, ломанный, будто переведенный через Google Translate, но некоторые эксперты считают, что это было намерено, чтобы сбить толку следователя.
Через несколько дней крупнейшие СМИ мира Guardian и New York Times публикуют статьи. АНБ взломано, утекло реальное оружие цифровой войны. Уязвимости, которые никто кто не должен был видеть, теперь в открытом доступе. Для специалистов в области кибербезопасности это был момент истины. Если раньше они догадывались о мощи АНБ, то теперь они видели ее глазами.
Реакция АНБ и поимка Харольда Мартина.
Строчки кода, взломы, уязвимости – все перед ними. Это было больше, чем утечка Сноуден. Сноуден раскрыл документы и схемы, Shadow Brokers раскрыли исходный код. Настоящие инструменты, реальные ключи от замков прямо в руки потенциальным врагам США. Началась охота. ФБР и АНБ строили гипотез. Россия? На тот момент Кремль уже обвиняли во вмешательстве в выборы США.
Утечка ДНС произошла за месяц до этого. Shadow Brokers могли быть частью этого сценария. Значит ли это, что Shadow Brokers тоже они? Возможно. Но есть проблема. Стиль. Утечки Shadowbrokers не похожи на работу российских спецслужб. Это не скрытая операция. Это шоу. Они играют с публикой. Человек внутри АНБ? Новый Сноуден? Кто-то, работающий в АНБ, решил отомстить? Ведь доступ к таким данным просто так не получишь. Хакеры? Может это просто группа, желающая обогатиться, и они решили шантажировать правительство? Официально, ни одна версия не подтверждена до сих пор.
ФБР начала наблюдать за биткоин-кошельком Shadow Brokers, аукцион провалился, биткоины почти никто не перевел. Shadowbrokers замолчали. Но вместо облегчения внутри АНБ начинается паника, потому что если файлы настоящие, Значит, где-то в системе утечка масштаба национальной катастрофы. В кабинетах АНБ и ФБР кипит работа, криптоаналитики, офицеры по контрразведке, эксперты по внутренней безопасности — все пытаются ответить на два ключевых вопроса.
Кто такие Шэдоу Брокерс и как они получили доступ к святая святых АНБ — Арсеналу Equation Group? АНБ начали отрабатывать версию о человеке внутри системы, который слил все данные. После разоблачения Сноудена АНБ ужесточило контроль над сотрудниками. Но что, если кто-то все-таки снова решил пойти против системы?
В этот момент ФБР получает наводку. Некто из сотрудников выложил подозрительный твит, содержащий зашифрованные намеки на внутреннюю утечку. Его аккаунт оформлен странно. Аватар, латинские и французские фразы, видеоролики 13-летней давности про ЧВК и снайперов. Имя подозреваемого – Харальд Тимартин III. Харальд Тимартин – идеальный кандидат на роль предателя. Бывший офицер ВМФ, работал подрядчиком Бус Ален Хамилтон, той же компанией, что нанимала Сноудена, имел допуск к самым засекреченным материалам АНБ.
Работал напрямую с Equation Group, включая отдел ТАО, элитное подразделение АНБ по цифровым атакам. Он тихий, замкнутый, коллеги описывали его как странного, но умного. Он знал, где лежат ключи от цифровых дверей. Харальда арестовали. Когда агенты вошли в дом, они были потрясены. Папки, жесткие диски, печатные документы и даже засекреченные данные, лежащие в машине на виду.
Всего 50 терабайт информации. Это эквивалент десятков миллионов документов. Многие из них помечены как топ секрет. Он забирал материалы не только из АНБ, но и от ЦРУ, Киберкомандования США, Министерства обороны, Национального разведывательного управления. Причем делал это два десятилетия подряд. Но есть проблема. ФБР рассчитывало, что Мартин и есть Shadow Brokers. У них есть подозреваемые, есть доступ, есть 50 терабайт краденных данных, все складывается, но ни один из файлов, опубликованных Shadow Brokers, не найден среди документов Мартина.
Второе послание Shadow Brokers: манифест и США.
Он не запускал их вне защищенных сетей АНБ, он даже не публиковал ничего сам. Мартин был виновен в воровстве, но он не Shadow Brokers. Время идет, ответов нет, тем временем Shadow Brokers возвращаются с новым манифестом, с политическими заявлениями, с новой утечкой и с прямым вызовом Белому Дому.
Сентябрь 2016 года. Второе послание Shadowbrokers. Они снова публикуют данные, но на этот раз все иначе. Да, они снова выкладывают киберинструменты, да, снова прикладывают доказательства, но главное – теперь они говорят много, громко и очень вызывающе. Цель – американские власти. В октябре 2016 года Shadowbrokers публикует новое сообщение, полное насмешек над США.
Их мишень – вице-президент Джо Байден, которого они называют «грязный дедушка» за его угрозы России. Почему грязный дедушка угрожает кибервойной с Россией через ЦРУ? Почему не через АНБ или киберкомандование? ЦРУ – киберкоманда «Б»? Да? Где киберкоманда «А»? В этом послании они усиливают свою антимериканскую риторику, фразы вроде «враг моего врага мой друг», «где свободная пресса?» намекают на их позицию против американского истеблишмента.
Они ставят под сомнение обвинение в адрес России за кибератаки, предполагая, что в США преувеличивают внешние угрозы, чтобы скрыть свои провалы. Их риторика перекликается с антизападными нарративами, но мотивы остаются неясны, то ли это независимые хакеры, то ли кто-то, действующий в интересах противников США. Что в новой утечке? Shadowbrokers публикует список IP-адресов, доменов и серверов, через которые, по их словам, АНБ осуществляла кибератаки по всему миру.
Это цифровая карта тайной деятельности США, киберспециалисты по всему миру проверяют данные и находят подтверждение. Многие адреса действительно засветились в логах атак в Азии, на Ближнем Востоке и Европе. Это не просто скандал, это означает, что теперь любая страна может посмотреть в свои логи и сказать «США шпионили за нами». Факт, что Shadow Brokers имеют доступ к таким данным, уничтожает иллюзию неприкосновенности АНБ.
Теперь каждый в мире знает, даже самые секретные серверы самого секретного киберподразделения США можно взломать. И это знание куда опаснее, чем сами эксплойты. Реакция США – гробовая тишина. Белый дом не комментирует послания, медиа почти не обсуждают эту часть утечек, но шедоу-брокер замечают это и делают следующий вывод. Где свобода прессы, ABC, NBC, CBS, FOX халатно относятся к информированию американцев.
Они обвиняют СМИ в цензуре и зависимости от государства. Заявляют, если о нас молчат, значит боятся. Внутри АНБ и ФБР разочарование и растерянность. Харальд Мартин сидит в СИЗО, но утечки продолжаются. Улик нет, следов нет. Все действия Shadow Brokers анонимны, грамотно замаскированы, без цифровых следов. ФБР и НСА начинают подозревать. Может в наших рядах есть еще кто-то?
Или это была внешняя атака, о которой мы не догадываемся? Shadowbrokers молчат, но это затишье перед бурей. Апрель 2017 года. Финальное сообщение Shadowbrokers. На платформе Medium появляется пост с названием «Не забывай о своей базе». Сообщение начинается не как хакерский релиз, а как гневное письмо фаната, которого предали. Обращение лично к Дональду Трампу. Shadowbrokers проголосовали за вас. Shadowbrokers теряют веру в вас, мистер Трамп.
В чьей войне вы участвуете? Израильские националисты? Голдман Сакс? Они обвиняют Трампа в предательстве своего электората. И в самом конце сообщения, как будто между делом, они выкладывают пароль к зашифрованному архиву, который выложили еще полгода назад. Это ключ к аду.
EternalBlue: взлом, который стал вирусом.
Что внутри архива? 67 исполняемых файлов для Windows. Zero-day-эксплойты, неизвестные даже Microsoft. IP-адреса, домены, зашифрованные трояны, инструменты удаленного управления, вредоносные драйверы, невидимые антивирусы.
Но главное среди них эксплойт EternalBlood. Что такое EternalBlue? Это киберарсенал, созданный ANB, чтобы проникать в любые компьютеры под управлением Windows. Эксплойт использует уязвимость в протоколе SMBv1, устаревшем компоненте для обмена файлами между устройствами в локальной сети. По классификации уязвимость CVE-2017-01-44. Она позволяет удаленно исполнять код на любом компьютере, то есть полностью захватывать систему, без пароля, без нажатий, без подтверждений.
EternalBlue – это цифровая ракета класса Земля-сервер. До этого момента только АНБ обладала таким оружием. Теперь весь мир. Почему это так опасно? SMB-1 был включен, по умолчанию, на сотнях миллионных устройств. Уязвимость присутствовала даже у Windows XP и Server 2003.
Многие организации просто не успели установить патчи или даже не знали об угрозе. Этернал Блу дал хакерам возможность заражать целые сети за секунду, прыгать от одного компьютера к другому, как цифровая чума.
WannaCry и NotPetya: последствия утечки.
Май 2017 года наступает WannaCry. Через месяц после утечки EternalBlue начинается первая масштабная атака нового типа. Глобальный кибератакующий вирус парализует больницы, банки и предприятия. Вредонос Уанакрай использует Этернал Блу для проникновения в системы, а затем шифрует все файлы и требует выкуп в биткоинах.
Масштаб атаки – заражено более 300 тысяч компьютеров в 150 странах. Затронуты больницы в Великобритании, заводы в Азии. Ущерб – более 4 млрд долларов. В некоторых больницах отменялись операции, врачи писали диагнозы от руки. Службы экстренной помощи были временно недоступны. США официально обвинили в атаке Северную Корею.
Лазарус, связанная с КНДР, использовала Internal Blue, чтобы запустить вирус. Оружие, разработанное США оказалась в руках их врагов и была использована против всего мира. Но это еще не все. Затем пришел NotPetya. Через полтора месяца еще одна волна. Но теперь цель Украина. Вирус NotPetya распространяется теми же методами через Eternal Blue. Но теперь цель не выкуп, а уничтожение данных.
Пострадали национальные банки, метро Киева, электросети, международные компании, Роснефть, Федекс. Ущерб – более 10 миллиардов долларов. Некоторые компании восстанавливались месяцами, у других всё было утеряно навсегда. Атака Eternal Blue стала одной из самых разрушительных в истории человечества. Не из-за взломов, не из-за вируса, а потому что оружие из рук государства оказалось в свободном доступе.
Исчезновение Shadow Brokers.
И вот главный вопрос, кто несет ответственность? Shadow Brokers за то, что опубликовали, или АНБ за то, что создали это оружие и не уберегли? После последнего манифеста и утечки Eternal Blue группа Шэдоу Брокерс исчезает так же внезапно, как и появилось. Никаких новых постов, никаких заявлений, ни одного следа. В Даркнете, на форумах, в специализированных чатах – тишина. За два года расследования правительство США так и не установило личность ни одного члена Shadow Brokers.
Россия – никаких доказательств. Китай, Иран, Северная Корея – лишь догадки. Харальд Тимартин сидит в тюрьме, но к утечке Shadow Brokers не причастен. Он признал вину в незаконном хранении засекреченных материалов и был приговорен к 9 годам тюрьмы, 3 годам надзора и штрафу в 250 тысяч долларов. Но в приговоре не было ни слова о Shadow Brokers, потому что доказательств так и не нашлось. В этой истории важно не имя хакеров, важен прецедент.
Shadow Brokers раскрыли не секреты, а уязвимости системы. Они показали, что оружие, спрятанное в сейфе, рано или поздно оказывается в чужих руках. Иногда в Даркнете до сих пор всплывают аккаунты, которые пытаются выдать себя за Shadow Brokers, но это не они. Те настоящие молчат. Скорее всего они ушли навсегда, но их наследие живет в каждой атаке, в каждом новом вирусе.
