האקרים פרצו לקבוצת Equation, המקושרת ל-NSA

קבוצת האקרים טוענת כי פרצה לקבוצת האקרים אחרת, הקשורה לסוכנות לביטחון לאומי האמריקנית, והוציאה את כלי הנשק לסייבר של הנפרצת – למכירה ברשת.

בעבר, חוקרי קספרסקי (Kaspersky Lab) פרסמו דו"ח אודות קבוצת ריגול הסייבר Equation Group. החוקרים של ענקית אבטחת המידע הרוסית אמרו כי גורם האיום "עולה על כל דבר מוכר אחר מבחינת מורכבות ותחכום הטכניקות".

מערך הכלים של הקבוצה דומה לזה שמשמש סוכנויות ביון אמריקניות והוא כולל התקפה שיכולה לתכנת מחדש את הקושחה של הדיסק הקשיח. אנשי קספרסקי נמנעו מלהצביע במפורש על כך שה-NSA מקושרת לקבוצת Equation, אבל מקורות חדשותיים רבים וחוקרי אבטחה כן עשו זאת.

כעת, קבוצה המכונה Shadow Brokers טוענת כי פרצה לקבוצת Equation והעמידה את כלי הסייבר המקושרים ל-NSA – למכירה ברשת. מנגד, ציינו חלק ממומחי אבטחת מידע, שייתכן כי מדובר בזיוף. זאת, בין השאר בשל העובדה שההודעה באנגלית רצוצה נועדה להיראות כאילו התוקפים אינם משתמשים באנגלית כשפת האם שלהם.

מוציאים למכירה את הקבצים הטובים ביותר

כך כתבו ה-Shadow Brokers ב-GitHub: "כמה תשלמו עבור כלי נשק הסייבר של האויבים שלך? לא קוד זדוני שתמצא ברשתות. שני הצדדים, RAT +LP, מערך כלים במימון מדינה? אנו מוצאים כלי נשק סייבר, שנעשו על ידי היוצרים של Stuxnet ,Duku ,Flame. קספרסקי חושפת קבוצת Equation. אנו עוקבים אחר התעבורה של קבוצת Equation. אנו מוצאים את טווח המקור של קבוצת Equation. אנו פורצים קבוצת Equation. אנו מוצאים כלי נשק סייבר רבים רבים של קבוצת Equation. אתה רואה תמונות. אנו נותנים לכם חלק מהקבצים של קבוצת Equation בחינם, רואה. זו הוכחה טובה, לא? אתה תהנה!!! אתה תשבור דברים רבים. אתה תמצא הרבה חדירות. אתה תכתוב מילים רבות. אבל לא הכל, אנו מוציאים למכירה את הקבצים הטובים ביותר".

הפרסום המשיך: "אבל, על פי השאלות ותשובות המצורפות, אם אתה רוצה לשים יד על קבצים אלה, שלח ביטקוין. אם אתה רוצה מידע נוסף, שלח ביטקוין. אם אתה רוצה לדעת מה כל הקבצים הכלולים במכירה… זהו 'סוד'".

ה-Shadow Brokers טוענים כי מדובר בסוד, כיוון שקבוצת Equation אינה יודעת מה נגנב ממנה במהלך הפריצה. למעשה, הקבוצה מרמזת כי היא רוצה שקבוצת Equation תעביר לה הצעת מחיר כדי לגלות מה יש ל-Shadow Brokers. הצעת הקניה מציינת: "אתה מתמודד נגד קבוצת Equation, זכה ותגלה או תקפיץ את המחיר, תעצבן אותם, וכולם נהנים".

התרחיש נוטף מהונאה מתוחכמת

נראה כי אין תאריך סיום מוגדר למכרז, והוא יתרחש מתי שה-Shadow Brokers יחליטו. מי שיחליט להגיש הצעה והיא לא תהיה ההצעה הגבוהה, אז לרוע המזל, ה-Shadow Brokers ישמרו את כל כספי ההצעה.

חוקרי אבטחה ציינו כי "כל התרחיש נוטף מהונאה מתוחכמת", אבל עדיין אולי היא אמיתית, כפי שעולה מציוצי טוויטר (Twitter) של מומחי אבטחת מידע מסוימים הנוטים להאמין לו. מצד שני, לא נראה שרבים מאמינים מספיק כדי להעביר ביטקוין לידי הקבוצה.

האקרים אחרים טוענים כי המכרז מורכב מפרצות ישנות מאוד – הטענה מתבססת על הקבצים "החינמיים" שהוצעו על ידי Sharow Broker כהוכחה לפריצת Equation Group. או שזה יכול להיות שילוב, ישן וחדש, כדי לשמור על מצב מעורפל של חוסר ודאות. דבר משונה נוסף, שציין בציוץ Pwn All The Things, הוא שקבצי הדוגמית בחינם גדולים יותר מאשר הקבצים העומדים למכרז.

עם זאת, מומחה האבטחה מט סוויץ' בחן לעומק את הקבצים החינמיים, ואז אמר לאתר המדיה Medium כי "נראה שרוב הקוד הוא קוד batch וקוד Python הכתוב בצורה גרועה. עם זאת, נראה כי מדובר בקוד אמיתי".

סוויץ' אמר שנראה כי המטרה המרכזית של הקבצים שסקר היא  "פיירוולים של Fortigate ,TopSec, סיסקו (Cisco) וג'וניפר (Juniper Networks)". הוא תיאר פרצות מוכרות, שאחת מהן, אותה ציין כמעניינת במיוחד – מאפשרת חיבור להסבר מאחד הקטלוגים של ה-NSA מ-2014".

ה-Shadow Brokers כללו הודעת סיכום מוזרה במכרז, הפונה אל "אליטות עשירות", שהקבוצה טוענת כי הן צריכות להתעורר אל מול הסכנה של כלי סייבר.