Группировка решила «подарить» хакерам инструменты для взлома в знак протеста против политики Трампа.
В субботу, 8 апреля, хакерская группировка The Shadow Brokers опубликовала оставшуюся порцию инструментов для взлома, разработанных элитным хакерским подразделением Агентства национальной безопасности США Equation Group.
Напомним, в августе прошлого года неизвестная ранее группировка The Shadow Brokers заявила об успешном взломе серверов Equation Group. Изначально хакеры опубликовали два набора файлов. Первый был бесплатным, что дало ИБ-экспертам возможность подтвердить подлинность инструментов. Второй набор защищен шифрованием, а ключ для дешифровки был выставлен на online-аукцион.
Аукцион продвигался слабо, и The Shadow Brokers начали постепенно распродавать похищенные файлы. Товар также не пользовался спросом, и в январе текущего года хакеры заявили о намерении «уйти в тень». Тем не менее, сейчас группировка снова вернулась в строй. The Shadow Brokers объяснила свое решение вернуться недовольством политикой президента США Дональда Трампа. В своем блоге хакеры по пунктам перечислили вызвавшие у них гнев поступки Трампа и опубликовали пароль для дешифровки оставшихся файлов Equation Group.
Первый набор файлов (бесплатный) содержал эксплоиты для уязвимостей нулевого дня, для обхода межсетевых экранов (Cisco, Fortinet, Juniper и TOPSEC), набор средств для получения ключей VPN, бэкдоры для Linux и ряд эксплоитов для Windows. Теперь опубликован второй набор, содержащий новые файлы, однако у исследователей пока не было достаточно времени для их анализа.
Как известно на настоящий момент, во второй набор файлов входят:
Список университетов и компаний по всему миру, взломанных АНБ и используемых в качестве плацдарма для осуществления кибератак;
Тот же список, только с IP-адресами;
Имена пользователей и пароли для инструментов и скрытых учетных записей;
Фреймворк TOAST, используемый АНБ для удаления логов сервера и сокрытия следов своего присутствия;
Инструменты для взлома UNIX-подобных систем, в особенности Solaris;
Новый инструмент ELECTRICSLIDE, замаскированный под китайский браузер с поддельным заголовком Accept-Language;
Новый инструмент PITCHIMPAIR для взлома серверов;