Prošlog ponedeljka, hakerska grupa “Shadow Brokers” objavila je aukciju sajber oružja američke Nacionalne bezbednosne agencije (NSA).

Sajt Intercept je krajem nedelje potvrdio tvrdnje hakera da poseduju hakerske alate NSA pozivajući se na do sada neobjavljene dokumente koje je sajtu dostavio bivši obaveštajac agencije Edvard Snouden.

Intercept je potvrdio da ono do čega su došli hakeri grupe Shadow Brokers jeste autentičan softver NSA, deo velikog arsenala alata koje NSA koristi za infekciju računara u celom svetu.

Poreklo koda bilo je prošle nedelje predmet žestoke rasprave među stručnjacima. Ostalo je nejasno kako su hakeri došli do ovih alata, ali jedna stvar je sigurna: oni pripadaju NSA.

Snoudenovi dokumenti su interna uputstva NSA koja opisuju kako se CNE (Computer Network Exploitation) alati koriste.

Dokaz koji povezuje fajlove koje su objavili hakeri nalazi se u uputstvu za primenu malvera. Uputstvo nalaže operaterima NSA da prate korišćenje malvera pomoću niza od 16 karaktera - “ace02468bdf13579”. Isti niz se pojavljuje u kodu koji su objavili hakeri.

Dokument koji je Intercept dobio od Snoudena ali koji nikada nije objavljen opisuje sistem za hakovanje nazvan BADDECISION. Ovaj sistem se između ostalog sastoji od FOXACID servera, SECONDDATE exploita i BLINDDATE softvera.

SECONDDATE igra posebnu ulogu u kompleksnom sistemu koji američke vlasti koriste za infekciju i špijuniranje miliona računara u svetu.

SECONDDATE exploit je alat koji presreće web zahteve i preusmerava browsere napadnutih računara ka FOXACID serveru, gde se računari inficiraju malverom. Prema procedurama koje se navode u dokumentu, zaposleni u NSA moraju da koriste ID da bi označili žrtve usmerene ka FOXACID serveru preko različitih exploita.

Iz drugih dokumenata se vidi da NSA koristi BLINDDATE za automatizovanje SECONDDATE napada protiv korisnika na Wi-Fi mreže. BLINDDATE je softver koji može da pokrene MitM (man in the middle) napade pomoću SECONDDATE, HAPPY HOUR, NITESTAND i drugih exploita.

Prema Snoudenovim dokumentima, BLINDDATE je korišćen za špijuniranje pakistanske Nacionalne telekomunikacijske korporacije (NTC) i velikih internet provajdera u Libanu. Na ovaj način NSA je dolazila do informacija o pakistanskom rukovodstvu, kako civilnom tako i vojnom, i aktivnostima Jedince 1800 Hezbolaha.

Pre Intercepta, tvrdnje Shadow Brokersa da u rukama imaju sajber oružje NSA potvrdila je kompanija Kaspersky Lab čiji su stručnjaci povezali procurele fajlove sa alatima koje koristi grupa Equation koju je Kaspersky Lab razotkrio početkom prošle godine, i za koju se veruje da je povezana sa NSA.




Izvor: informacija.rs