ShadowBrokers divulga mais informações roubadas

A Tecnologia como Arte

ShadowBrokers divulga mais informações roubadas

ShadowBrokers chocou o mundo de segurança novamente hoje lançando outro cache de explorações, arquivos e documentos operacionais supostamente roubados do Equation Group no verão passado. Como você pode se lembrar de nossas publicações anteriores , Equation Group é supostamente um clandestino grupo de hackers que tem sido associado com ferramentas de hacking NSA.

O despejo de informações lançado hoje contém um número de exploits e arquivos binários do Windows que não foram vistos com a coleção anterior de informações. Embora o arquivo “Leilão” possa conter explorações e informações obsoletas, esta nova versão parece conter dados muito mais recentes e atuais, incluindo explorações de 0 dia. Embora não tenhamos tido tempo para analisar completamente as informações, o usuário do Twitter HackerFantastic já relatou uma exploração bem sucedida de 0 dias no Windows 2008 Server.

HackerFantastic mostrando exploit contra o Windows 2008

 

NSA-FTS327 EUA Cordas EUA localizado

Um pouco de informação que já descobrimos são tags ‘Autor’ localizadas em alguns dos arquivos de documentos. Essas tags contêm referência a uma seqüência de caracteres: NSA-FTS327.Esta seqüência de caracteres aparece em um número de documentos organizacionais de NSA e parece estar relacionado com o gabinete de requisitos e segmentação. O Snowden Surveillance Archive identifica a designação de escritório de Requisitos e Segmentação como FTS327 e fornece um documento criado pelo escritório TAO, Requisitos e Segmentação do Texas da NSA sugerindo que a exploração da Rede de Computadores foi usada para explorar uma fraqueza do e-mail público do Presidente Felipe Calderon. O programa usou o nome de código ‘FlatLiquid’. Embora nenhuma menção dessa seqüência particular tenha sido neste despejo, se a seqüência Author encontrada nos documentos é exata,

 

Captura de tela do Snowden Surveillance Archive mostrando a designação FTS327.

Há muita informação para pesquisar neste despejo antes que os pesquisadores tenham uma idéia do escopo do lançamento, e pode levar vários dias para uma análise completa da informação ter sido concluída. Se houver ativos de 0-Dias, veremos software fabrica scramble para liberar remendos oportunos para ajudar a frustrar o uso quase certo deste código por atores maliciosos no negócio “residencial” de infecção por malware – como vimos com a Microsoft no início desta semana no que diz respeito Para o Escritório 0-Day que estava circulando via spam.

Estamos atualmente analisando os cerca de 1000 binários do Windows que foram incluídos e, se necessário, estará empurrando qualquer necessário atualizado antes de eu mesmo terminar a prova esta entrada de blog.1