Οι Shadow Brokers είναι η ομάδα των hackers που με περίσσια αυταρέσκεια και περηφάνια έκανε γνωστό σε όλο το κόσμο ότι κατάφερε να διεισδύσει στα άδυτα της NSA (ή σε κάποιον οργανισμό τόσο μεγάλο και ισχυρό – αναφέρονται στο θύμα ως Equation Group).

Η ομάδα Shadow Brokers ανακοίνωσε ότι δημιούργησε μία ψηφιακή αποθήκη κορυφαίων “κυβερνο-όπλων”, τα οποία προτίθεται να δημοπρατήσει. 
Για να μας κάνουν να πιστέψουμε ότι δεν αστειεύονται και ότι πράγματι ανάμεσα στα αρχεία που θα δημοπρατηθούν υπάρχουν κάποια καλά πράγματα, διέθεσαν δωρεάν ένα σωρό δεδομένα από την συγκομιδή μετά την επίθεση hacking, συμπεριλαμβανομένων εγγράφων, προγραμμάτων, scripts, κώδικα exploits και ούτω καθεξής.  

Ιδιαίτερο ενδιαφέρον παρουσιάζει το γεγονός ότι υπάρχουν πολλά περισσότερα δωρεάν πράγματα (191MB συμπιεσμένα αρχεία) από όσα πρόκειται να δημοπρατηθούν (134MB συμπιεσμένα αρχεία).

-rw-rw-r–  1 bloke staff  134289064 25 Jul 10:49 eqgrp-auction-file.tar.xz.gpg
-rw-rw-r–  1 bloke staff  191282372 25 Jul 10:50 eqgrp-free-file.tar.xz.gpg

Υποθέτουμε ότι η ομάδα των hackers θέλει να σατιρίσει τις αγοραπωλησίες exploits που πραγματοποιούνται σε όλο το κόσμο, αλλιώς πως να ερμηνεύσουμε τους εντελώς παράλογους όρους που έχει θέσει για την “δημοπρασία” ή αν θέλετε για τον “πλειστηριασμό”:

• Δεν υπάρχει χρόνος αποκοπής για την υποβολή προσφορών. Οι απατεώνες θα σταματήσουν τη συλλογή bitcoins και θα επιλέξουν έναν νικητή, αν και όταν το κρίνουν αυτοί, κάτι που θα μπορούσε να γίνει οποιαδήποτε στιγμή (ή ακόμα και ποτέ).
• Δεν επιτρέπεται να ξέρετε τι αγοράζετε. Είναι μυστικό.
• Οι απατεώνες θα κρατήσουν κάθε προσφορά που θα υποβάλλετε, είτε καταλήξετε να κερδίσετε είτε όχι.
• Μόλις το σύνολο όλων των προσφορών φτάσει το 1 εκατομμύριο BTC (πάνω από $0,5B) θα μπορούν όλοι στον κόσμο να αποκτήσουν τα πάντα δωρεάν.

Η ομάδα των hackers έκανε μάλιστα γνωστό τον λόγο που δεν ήθελε να δώσει στην δημοσιότητα την λίστα με το κυβερνο-υλικό:

Ερώτηση: Τι είναι τα αρχεία της δημοπρασίας; Απάντηση: Είναι μυστικό. Το Equation Group (υποτίθεται η NSA) δεν γνωρίζει τι έχει χαθεί. “Θέλουμε”, λέει εκπρόσωπος της ομάδας των hackers Shadow Brokers “το Equation Group να λάβει μέρος στην δημοπρασία, και για αυτό κρατούμε μυστική την λίστα με το περιεχόμενο. Κάντε την προσφορά σας ενάντια στο Equation Group, κερδίστε και μάθετε τι είναι τα αρχεία, αλλιώς κάντε μία προσφορά για να ανέβει η τιμή και να τους τσατίσετε, ώστε όλοι να κερδίσουν”.

Και αυτό είναι ένα κοινό πρόβλημα μετά από μία παραβίαση δεδομένων: το να μην γνωρίζεις πόσο άσχημα είναι τα πράγματα, με αποτέλεσμα στην επίσημη γνωστοποίηση για την παραβίαση να είσαι αναγκασμένος να υποθέσεις και να περιγράψεις το χειρότερο σενάριο από αυτά που θα μπορούσαν να συμβούν.

Όταν ένας απατεώνας μπαίνει στο διαμέρισμα σας και σας κλέβει την επίπεδη τηλεόραση σας, μπορείς να γνωρίζεις τι έχει κλέψει, επειδή πολύ απλά φαίνεται αυτή η τεράστια ακάλυπτη επιφάνεια στον τοίχο που κάποτε καλυπτόταν από την τηλεόραση. Αλλά όταν ο απατεώνας εισέλθει μέσα στο δίκτυο σας και σας κλέψει δεδομένα, είναι ένα διαφορετικό είδος κλοπής: όλα τα δεδομένα σας βρίσκονται στην θέση τους, καθώς βρίσκονται και σε άλλες θέσεις πια επίσης.

Τι γνωρίζουμε

Αυτό που γνωρίζουμε από το αρχείο eqgrp-free-file.tar της ομάδας hackers The Shadow Brokers είναι ότι κάτι κλάπηκε ή διέρρευσε από κάποιον στο παρελθόν. Αν διέρρευσε πρόσφατα από τους αρχικούς κλέφτες ή ξανα-κλάπηκε από κάποιους νέους απατεώνες δεν το γνωρίζουμε.

Πάντως, τουλάχιστον μία από τις ευπάθειες που βρέθηκαν ότι είναι αξιοποιήσιμες, εντοπίστηκε ανάμεσα στα δωρεάν αρχεία, και πιο συγκεκριμένα στον κατάλογο αρχείων Firewall/EXPLOITS/EXBA/ και όχι μόνο λειτουργεί, αλλά αποδείχτηκε ότι πρόκειται για zero-day bug. Το EXBA είναι συντόμευση για το EXTRABACON και το script EXBA τεκμηριώνεται ως εξής:

“#CISCO ASA SNMP exploit script
#Works on most 8.x(y) versions through 8.4(4).
#Do not use against unknown or unsupported versions”

Τα αρχεία βρέθηκε ότι διαθέτουν ημερομηνία Ιούνιος του 2013, ενώ οι εκδόσεις CISCO ASA που επηρεάζονται χρονολογούνται από το 2007 μέχρι τις αρχές του 2012. Το ASA είναι συντόμευση για το Adaptive Security Appliance, ένα από το προϊόντα firewall της CISCO.

Το bug προφανώς ήταν είδηση για την CISCO, η οποία γρήγορα και αξιέπαινα ανταποκρίθηκε δημοσιοποιώντας μία λεπτομερή ανάλυση της ευπάθειας.   

Τι να κάνετε;

Όσο μπορούμε να δούμε, το exploit και ο shellcode που δημοσίευσε η ομάδα Shadow Brokers για την συγκεκριμένη ευπάθεια δεν μπορούν να λειτουργήσουν όπως είναι ενάντια σε οποιαδήποτε έκδοση του προϊόντος Adaptive Security Appliance (ASA) της CISCO. Παρόλα αυτά, επειδή το bug δεν αποκαλύφθηκε, παρέμεινε στον κώδικα της CISCO. Αυτό σημαίνει ότι κάποιος αποφασισμένος επιτιθέμενος και εισβολέας θα είχε τεράστιο προβάδισμα αν ξεκινούσε να εντοπίσει κάποιο exploit για τα τελευταία προϊόντα ASA της CISCO, ακόμα και αν τόσο το script EXTRABACON όσο και ο συνοδευτικός κώδικας της επίθεσης χρειάζονταν δουλειά για να δουλέψουν.

Με άλλα λόγια, ελέγξτε με την βοήθεια της CISCO αν βρίσκεστε σε κίνδυνο, και αν χρειάζεται να κάνετε κάτι για αυτό.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο εδώ.