Еще в мае 2017 года группа The Shadow Brokers, ранее опубликовавшая в открытом доступе хакерский инструментарий АНБ, заявила, что в ее распоряжении имеется еще немало ценной информации и эксплоитов.
После шумихи, вызванной шифровальщиком WannaCry, который распространялся при помощи одного из инструментов, бесплатно обнародованных The Shadow Brokers, злоумышленники вновь попытались монетизировать попавшие в их руки данные и предложили всем желающим подписаться на новый сервис «Ежемесячный дамп The Shadow Brokers», чье название говорит само за себя. Для оформления «подписки» нужно было перевести хакерам 200 ZEC (Zcash) или 1000 XMR (Monero), то есть 46 000 — 64 000 долларов на тот момент, пишет xakep.ru.
На этой неделе The Shadow Brokers опубликовали новое послание, в котором рассказали, что теперь правила их сервиса меняются. Отныне хакеры обещают предоставлять своим подписчикам сразу два дампа в месяц. Очевидно, таким образом группа пытается подогреть интерес потенциальных покупателей к своей информации.
Также хакеры сообщили, что к оплате теперь принимается только криптовалюта Zcash и посоветовали своим клиентам использовать защищенные почтовые сервисы Tutanota и Protonmail. Скорее всего, отказ от Monero обусловлен исследованием, которое в прошлом месяце опубликовал специалист, известный под псевдонимом wh1sks. Он утверждает, что ему удалось извлечь email-адреса и платежные ID (payment ID, PID) подписчиков The Shadow Brokers из блокчейна Monero (XMR). В итоге wh1sks удалось подсчитать, что на июльском дампе группировка заработала как минимум 88 000 долларов (порядка 2000 XMR).
Кроме того, группировка выставила на продажу дампы прошлых месяцев. Их стоимость варьируется от 100 ZEC ($24 000) до 1600 ZEC ($3,8 млн).
Вместе с новым посланием хакеры бесплатно опубликовали мануал к августовскому дампу, который дает понять, что тогда подписчики The Shadow Brokers якобы получили эксплоит АНБ под названием UNITEDRAKE. Из описания малвари ясно, что UNITEDRAKE — это модульная платформа для атак на машины, работающие под управлением Microsoft Windows (XP, Windows Server 2003 и 2008, Vista, Windows 7 SP 1 и ниже, а также Windows 8 и Windows Server 2012). Экплоит предназначен для удаленного сбора данных, но может использоваться и для перехвата контроля над зараженным устройством. Различные модули, включая FOGGYBOTTOM и GROK, позволяют следить за всеми коммуникациями жертвы, перехватывать нажатия клавиш, а также сигнал микрофона и веб-камеры.
В 2014 году UNITEDRAKE уже упоминался на страницах издания The Intercept, когда началась публикация документов Сноудена. В 2015 году инструмент также фигурировал в отчете «Лаборатории Касперского», посвященном деятельности хакерской группировки Equation Group (группа, которую обокрали The Shadow Brokers, чья связь с АНБ давно доказана). Специалисты «Лаборатории Касперского» называли малварь EquationDrug и писали, что ее наследником стал вредонос GrayFish. По словам экспертов, EquationDrug и GrayFish применялись с 2003 по 2014 годы и были одними из наиболее сложных шпионских платформ в арсенале Equation Group (то есть АНБ).
Хотя в теории, дампы The Shadow Brokers содержат такие интересные вещи, как UNITEDRAKE, ИБ-специалисты настроены крайне скептически. Дело в том, что даже если оставить за скобками этический аспект, злоумышленники по-прежнему не предоставляют каких-либо серьезных доказательств наличия у них ценной информации, но при этом требуют огромные суммы за этого «кота в мешке». Кроме того, один из подписчиков злоумышленников уже жаловался, что заплатил десятки тысяч долларов (500 XMR) за совершенно бесполезную информацию.
Напомню, что ранее подписаться на дампы группировки пытались и ИБ-специалисты. Для этого даже была запущена краудфандинговая кампания, однако эта затея не увенчалась успехом из-за юридических сложностей. Все-таки покупка кибероружия у хакерской группы, пусть даже с целью изучения, – это никак не невинный проступок.
