Annonce

Réduire
Aucune annonce.

Retour sur la fuite des outils de The EquationGroup (NSA) par Shadow Brokers

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • News Retour sur la fuite des outils de The EquationGroup (NSA) par Shadow Brokers

    The EquationGroup et la National Security Agency






    I – Introduction

    Le 13 août dernier, deux archives chiffrées, contenant des outils de piratage qui appartiendraient à The Equation Group, une prétendue entité en relation avec la NSA, ont été rendues publiques via différentes plateformes comme GitHub, Tumblr, Twitter sur Internet.

    Le groupe de pirates qui a réussi cet exploit se nomme The Shadow Brokers. Il a dévoilé deux archives, une où le mot de passe a été rendu public et une autre, où celui-ci est gardé secret intentionnellement.

    Le motif pécuniaire de cette exposition publique est rapidement apparu. En effet, le groupe de pirates a fait savoir que d’autres fichiers, différents des archives déjà exposées, seront partagés publiquement si l’enchère atteint 1 Million de Bitcoins, ce qui représente au cours actuel de cette monnaie virtuelle, environ 1 demi-milliard de dollars.

    L’information est un choc dans le monde de la sécurité informatique, immédiatement les différents médias s’enflamment. Des questions émergent alors des différents Tweets et articles sur The Equation Group et le contenu partagé publiquement :
    • Qui est The Equation Group, est-il vraiment affilié à la NSA ?
    • Pourquoi ses archives sont-elles si intéressantes ?
    • Pourquoi associer ces fichiers avec The Equation Group et la NSA ?


    D’autres se questionnent à propos du groupe derrière cette publication:
    • Qui se cache derrière The Shadow Brokers ?
    • D’où viennent-ils ? Sont-ils vraiment russes ?
    • Est-ce un coup de la Russie ou juste une opération médiatique ?
    • Possèdent-ils encore d’autres fichiers ?
    • Pourquoi ce prix si exorbitant ?


    Enfin, que contiennent les archives partagées par The Shadow Brokers ?


    II – The Equation Group, une unité dissimulée de la NSA ?


    Selon Kaspersky, The Equation Group aurait commencé ses activités durant l’année 1996. Il aurait été sûrement créé par le GCHQ (Governement Communications Headquearters Britanic), mais nous ne disposons ni de certitudes ou d’information sur celui-ci, ni même sur la composition de cette équipe.
    Selon Kaspersky, ce groupe utilise des méthodes très sophistiquées d’implémentation du chiffrement (algorithmes RC5 et RC6) dans les programmes qu’il a conçus.

    https://securelist.com/files/2015/02...nd_answers.pdf


    Quelles sont leurs activités ?

    The Equation Group est connu par plusieurs outils sophistiqués comme le ver Fanny (https://securelist.com/blog/research...ather-stuxnet/ ) qui exploite deux 0Day du malware Stuxnet pour se propager en utilisant Stuxnet, LNK et les clés USB.

    Un autre outil puissant utilisé est le module connu sous le nom de : ‘nls_933w.dll’ permettant de reprogrammer le firmware des disques de plus d’une douzaine de marques telles que Seagate, Maxtor, IBM…

    Quelles sont les cibles visées ?

    Le groupe aurait infecté des dizaines de milliers d’ordinateurs, spécifiquement des contrôleurs de domaines, des datacenters et des hébergeurs. Ses victimes se situent à travers le monde : Afghanistan, Belgique, États-Unis, France, Russie, etc.
    Toutes ces infections ont été constatées dans des secteurs clés comme la recherche, les gouvernements, le militaire, les opérateurs de télécommunications, l’aérospatial et l’énergie.

    Cependant, nous ne pouvons fixer de chiffres car les outils utilisés possèdent des fonctions de camouflage et de remise en l''’état très perfectionnées. Cela laisse donc supposé que d’autres cibles ne sont pas encore répertoriées.


    III – Qui est The Shadow Brokers


    Un nom tiré d’un jeu vidéo ?

    Qui sont les chevaliers noirs dans l'ombre qui ont osé s’attaquer à la NSA ? Leur nom est tiré du jeu ‘'Mass Effect'. En effet, The Shadow Broker est le chef d’une organisation revendant des informations aux plus offrants. Le rapprochement est alors facile à faire entre les activités du groupe et le personnage du jeu vidéo.

    Il s’agit là d'une belle prouesse que d'avoir attaqué cette unité, mais surtout de compétences poussées dans le domaine et l’aide d’un état probablement. On suppose que cette attaque serait appuyée Russie. La méfiance reste de mise car à chaque cyberattaque contre les USA, la Russie a bon dos, sachant qu’e le groupe a signé son attaque en utilisant un anglais approximatif. S'agirait-il d’un stratagème pour éloigner les vrais coupables et en accuser d'autres ou bien est-ce des relents de guerre froide ?

    Selon James Bamford, un spécialiste américain, la Russie n’a jamais rendu publique cette attaque et qu'il faudrait peut-être chercher les coupables au sein même de la NSA parmi ses employés. L'agence serait-elle encore une fois victime d'une taupe ?

    Quoi qu'il en soit, l'identité de The Shadow Brokers reste encore une énigme.


    IV – Le Leak


    The Shadow Brokers a fourni des liens vers deux archives chiffrées.
    La première contient 300 Mo d’exploits de pare-feu, d’outils et de scripts avec des noms tels que BANANAUSURPER, BLATSTING et BUZZDIRECTION. Le mot de passe de celle-ci a été fourni.

    La deuxième archive quant à elle voit son mot de passe mis aux enchères. The Shadow Brokers demande un demi-milliard de dollars pour celui-ci. Ils le justifient par :
    ”Combien seriez-vous prêts à payer pour récupérer des armes ennemies ? Pas des logiciels malveillants comme on en trouve dans n’importe quel réseau… Nous avons mis la main sur des outils écrits par le groupe Equation, nous les avons piratés à la source. Et nous avons trouvé beaucoup, beaucoup de cyber armes.”


    Edit du 03/10/2016 :


    Un mois et demi après la fuite des outils de la NSA par les dénommés "Shadow Brokers" (CXA-2016-2696), le journal Reuters nous confirme l'origine de la fuite au travers d’un article. Il s'avère qu'il y a 3 ans de cela, après une opération de la NSA où ces fameux outils avaient été utilisés, un employé de l’agence aurait, par inadvertance, laissé les outils sur un serveur distant.

    Les logiciels auraient ensuite été découverts par des pirates d’origine russe.

    D’après les sources du journal, l’employé de la NSA ayant commis l’erreur aurait reconnu sa faute peu de temps après l’avoir commise.
    Cependant, l’agence aurait décidé de ne pas informer les entreprises en danger. Elle aurait sauté sur l’occasion pour étendre sa stratégie en matière de renseignement au profit d’enjeux politiques extérieurs au pays : se concentrer sur la surveillance du trafic, intercepter d’éventuelles utilisations de leurs outils par des pays rivaux, identifier leurs cibles et les aider à se défendre si cela leur est profitable.




    https://theintercept.com/2016/08/19/...ments-confirm/

    Auteurs: @gohy , L'OMBRE & @_47
    Dernière modification par _47, 04 octobre 2016, 07h14.
    Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

  • #2
    Les fichiers, mails et tools fuités ont été la plupart supprimer de Gît et hébergeur. J'en possède heureusement une copie complète, dont les img et pdf de certains fichiers

    Commentaire


    • #3
      Des choses réellement intéressante alors ou pas ?

      Commentaire


      • #4
        Yo ! Tu pourrais partager le fichier complet stp ?

        Commentaire


        • #5
          J'ai aussi récupéré l'archive, je la posterai demain soir DreAmuS (sauf si tu veux la partager avant). Tu pourra bien entendu la compléter si tu as d'autres pépites

          Article mis à jour avec les derniers rebondissements :

          Un mois et demi après la fuite des outils de la NSA par les dénommés "Shadow Brokers" (CXA-2016-2696), le journal Reuters nous confirme l'origine de la fuite au travers d’un article. Il s'avère qu'il y a 3 ans de cela, après une opération de la NSA où ces fameux outils avaient été utilisés, un employé de l’agence aurait, par inadvertance, laissé les outils sur un serveur distant. Les logiciels auraient ensuite été découverts par des pirates d’origine russe.

          D’après les sources du journal, l’employé de la NSA ayant commis l’erreur aurait reconnu sa faute peu de temps après l’avoir commise.
          Cependant, l’agence aurait décidé de ne pas informer les entreprises en danger. Elle aurait sauté sur l’occasion pour étendre sa stratégie en matière de renseignement au profit d’enjeux politiques extérieurs au pays : se concentrer sur la surveillance du trafic, intercepter d’éventuelles utilisations de leurs outils par des pays rivaux, identifier leurs cibles et les aider à se défendre si cela leur est profitable.



          Suivre Hackademics: Twitter, Google+, Facebook.

          Commentaire


          • #6
            "intercepter d'éventuelles utilisations de leurs outils par des pays rivaux", vous croyez qu'ils déduisent l'utilisation des outils après une surveillance du pays OU quand quelqu'un utilise un de leurs outils il devient "fiché" ? Dans le premier cas faites péter les outils, dans le deuxième c'est pas un peu risqué de les utiliser ?

            Commentaire


            • #7
              Les tools

              https://mega.nz/#!t0pHhQ7Z!KHngk2HBt...9QYcSuWN0ynYgM


              Suivre Hackademics: Twitter, Google+, Facebook.

              Commentaire


              • #8
                Sinon,

                On a des news d'eux
                C'est juste priceless :
                https://medium.com/@shadowbrokerss/t...481#.b817aodh9
                ​​​​​​​😎
                TheShadowBrokers Message #3

                — — -BEGIN PGP SIGNED MESSAGE — — -
                Hash: SHA1

                “Hello World!” TheShadowBrokers is sending message #2 weeks ago, http://pastebin.com/5R1SXJZp but media no make big story? TheShadowBrokers is calling this message, message #3. TheShadowBrokers is realizing peoples is not thinking auction is being real? This is just being typical “I’m the smartest guy” dumbass mentality of talking heads. “If I don’t understand it then it can’t be done and it isn’t real. I’m going to make up a more reasonable sounding but still fantasy story to sound smart and make myself feel better!” TheShadowBrokers EquationGroup Auction is sounding crazy but is being real. Expert peoples is saying Equation Group Firewall Tool Kit worth $1million. TheShadowBrokers is wanting that $1million. TheShadowBrokers is selling Equation Group Warez. TheShadowBrokers Equation Group Auction is being real. If you peoples is being easily confuse, you be stopping here. If you peoples be wanting to know more then keeping reading.

                Peoples is having interest in free files. https://musalbas.com/2016/08/16/equa...catalogue.html But people is no interest in #EQGRP_Auction. https://blockchain.info/address/19BY...M9eR3LYr6VitWK TheShadowBrokers is thinking this is information communication problem. You people be thinking as TheShadowBrokers. How you sell secrets? Making most money? Quickly? Least amount effort? Maintaining anonymity? You be making suggestion #EQGRP_Auction. TheShadowBrokers is not being interested in fame. TheShadowBrokers is selling to be making money and you peoples is never hearing from TheShadowBrokers again! TheShadowBrokers is being disappointed peoples no seeing novelty of auction solution. Auction is design for to make benefit TheShadowBrokers.

                Q: Why not selling on underground?

                A: Oh you right, theShadowBrokers is getting out phone book of reputable underground cyber arms dealers and make text and voicemail. You making sound so easy. Why theShadowBrokers not thinking of this?

                Q: Why auctioning?

                A: If selling million dollar collector art, you selling in garage sale on front lawn? No you sell at rich fuck auction house. TheShadowBrokers is wanting sell for most money. Is thinking auction making most money. Is thinking adversaries and victims of Equation Group make bids. Is thinking security companies and wealthy elites make bids. Is thinking peoples is having more balls, is taking bigger risks for to make advantage over adversaries. Equation Group is pwning you everyday, because you are giant fucking pussies.

                Q: Why public?

                A: Why not? If you making auction more people hear = more bidders. Are rules for such things?

                Q: Why “no refunds”?

                A: Convenience. TheShadowBrokers no wanting track and return all bids. Is called All-Pay auction, you look up wikipedia. Authenticity. No refunds = no bidders inflating price or not pay. Good for serious bidders. Bids are cumulative if use return op code. 1 + 10 + 100 = 111

                Q: Why no expiration?

                A: Holy fucking shit, so many fucking rules with you peoples. What is being benefit time constraint? Anticipate end when reasonable sum raised and bidding stops. TheShadowBrokers will be giving fair warning of end. TheShadowBrokers is wanting quick end too so be making fucking bids.

                Q: Why bitcoin?

                A: Not first choice for privacy. But mature and most popular. You prefer Monero, where spend it? Ether, fuckers will be rewriting code to take money. Dash? Dickfield pre-mined and control network. If using correctly cash in/out is private.

                Q: How will theShadowBrokers cash out large sums?

                A: Seriously? Is theShadowBrokers problem. You give large sum bitcoins, then theShadowBrokers is showing you.

                Q: Why saying “don’t trust us”?

                A: TheShadowBrokers is making comment on trust-less exchanges. TheShadowBrokers is thinking is no thing now as trust-less. “Don’t Trust” is not equal to “Is Scam”. TheShadowBrokers is thinking no way to exchange secrets (auction files) without one party trusting other. If seller trust buyer and buyer no pay, then no more secrets. If buyer trust seller and seller no deliver, the no more sales. TheShadowBrokers is having more things to sell. Reputation is being another benefit of public auction.

                Q: Why not use escrow?

                A: Now you are wanting add more peoples but same problem. Maybe working for traditional goods. Not working for secrets. If giving to escrow, now no more secret. Auto-Escrow, still trusting what giving to Auto-Escrow.

                Q: 1,000,000 BTC or $1,000,000? Dr Evil? 5% of all bitcoin? Are you crazy?

                A: Misinformation. Maybe manipulation. Is crazy, yes? Suggest reread theShadowBrokers first message. All is twisting by media to make re-writing for headlines business. TheShadowBrokers never expecting 1,000,000 BTC, this why choose ridiculous sum for consolation prize, third file dump. Three separate concepts. Three different files. #1 = Free File is free. #2 = Auction File is auction. #3 = Consolation Prize file is for loosing bidders if goal reached (goal not reached).

                Q: What are you auctioning?

                A: You seeing “Firewalls” toolkit, includes remote exploits, privilege escalations, persistence mechanisms, RATs, LPs, and post-exploit collection utilities. Complete package for to run own operations. TheShadowBrokers is having more EquationGroup tool kits for other platforms Windows, Unix/Linux, Routers, Databases, Mobile, Telecom. Newer revisions too. The auction file is toolkit for one of other platforms. Includes remote exploits, local exploits/privilege escalations, persistence mechanisms, RATs, LPs, post-exploit collection utilities. Value estimated in millions of euros/dollars.

                Q: Is it a lie, scam, or trick?

                A: TheShadowBrokers already be saying about trust. Why theShadowBrokers is pissing off, making big enemies for scam or ripoff? Free file is establishing authenticity.

                Q: Too expensive. Why not break up, sell in pieces?

                A: Million euro/dollars is nothing in cyber business. Budgets is being in billion. Breaking up is being more troubles for theShadowBrokers. Is make as package, is use as package, is sell as package.

                Q: Why files is being old?

                A: Really? Exploit is being like good pussy, what difference between 20yr old and 40yr old, if both getting job done? When you giving away shit for free, you giving new shit or old shit? $12 million is being pretty good free shit!

                Q: Is legal? Aren’t I buying stolen goods?

                A: TheShadowBrokers is not being lawyers. Maybe yes. Maybe no. TheShadowBokers bets no. How is being stolen goods if no one is claiming ownership? Where is proof of ownership? Copyright? License? Source code? Classification marking? Maybe theShadowBrokers is being original owner, but EquationGroup story is sounding better? Can be proving in court? Claiming = Liability.

                Q: Won’t the EquationGroup be coming after us?

                A: TheShadowBrokers is not being oracles. Maybe yes. Maybe no. TheShadowBrokers bets no. EquationGroup is not being law enforcement. Consider EquationGroup maybe hacking law enforcement. What is EquationGroup telling law enforcement? TheShadowBrokers is recommending best use case is being proof of concept. Maybe using Equation Group Warez for honey-hack, hack and see who shows up. Maybe using EquationGroup tools as distraction for real hack. Maybe making like Chinese, reverse engineer, develop identical looking, and calling it your own. Coming after you? , if you is being somebody then they is already owning you. You make bid on auction and be finding out how.

                Q: Will theShadowBrokers do interview?

                A: SB is interest in doing interview, but is being risky to theShadowBrokers, so is costing money. Post offers #EQGRP_Auction
                Dernière modification par L'OMBRE, 11 octobre 2016, 13h43.
                Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

                Commentaire


                • #9
                  Oué j'ai vu, ils sont en mode "hey les gars, on existe encore, regardez-nous !" Ahahaha


                  Suivre Hackademics: Twitter, Google+, Facebook.

                  Commentaire


                  • #10
                    C'est vraiment énorme, j'adore le passage sur "est ce que je ne suis pas en train d'acheter des données volées? Ptet bien qu'oui ptet bien que non, pour qu'il y ait du vol, il faut que quelqu'un réclame la propriété. On fait ça au tribunal?" Poilant!

                    Commentaire


                    • #11
                      Merci pour les outils agent 47 !
                      Un tuto pour tout bien installer pour un débutant comme moi est-il dispo ?
                      Sinon tant pis j'irai à l'aveuglette.
                      Encore merci, je suis crevé mais tellement curieux que je vais me pencher dessus dès maintenant !

                      Commentaire


                      • #12
                        Envoyé par Earthquake Voir le message
                        Merci pour les outils agent 47 !
                        Un tuto pour tout bien installer pour un débutant comme moi est-il dispo ?
                        Sinon tant pis j'irai à l'aveuglette.
                        Encore merci, je suis crevé mais tellement curieux que je vais me pencher dessus dès maintenant !
                        Salut,

                        Alors là, y aller sans précautions, tu es sûr de chopper une infection.
                        En effet, vu le contenu et le type d'outils, je partirai pour:
                        • Une VM sans autorisations de promiscuité
                        • Un réseau subnet
                        • Des comptes pourris du style test/test & Ess/Ess

                        Ensuite, si tu le peux, exécute tout cela sur un environnement neutre, un nouveau ou ancien PC bien formaté, je ne serai pas étonné s'il y a des logiciels malveillants cachés comme des VM-evading et autres joyeusetés de ce genre.

                        Bref, utiliser des documents dont l'’origine est douteuse, cela demande un minimum de précautions !
                        Dernière modification par L'OMBRE, 11 octobre 2016, 13h40.
                        Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

                        Commentaire


                        • #13
                          J'ai un ordinateur qui me sert exclusivement au pentesting, j'ai aucun mot de passe, je ne l'utilise pour rien d'autre. Je peux utiliser tout ça dessus ?

                          Commentaire


                          • #14
                            Envoyé par Earthquake Voir le message
                            J'ai un ordinateur qui me sert exclusivement au pentesting, j'ai aucun mot de passe, je ne l'utilise pour rien d'autre. Je peux utiliser tout ça dessus ?
                            Je vais te dire oui, mais avec réticence, fais une sauvegarde de celui-ci au cas-où !
                            Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

                            Commentaire


                            • #15
                              Merci ! Ce sera fait.
                              Et sinon niveau install ? Y'a 100000000 de fichiers je t'avoue être perdu dans tout ça ! J'imagine que c'est en fonction du firewall qu'il faut choisir tel ou tel fichier, mais... comment lancer l'outil ? Haha pardon

                              Commentaire

                              Chargement...
                              X