NSA

Hackergruppe skal ha stjålet kybervåpen fra NSA. Nå er de til salgs

Men en stor smaksprøve tilbys gratis.

Fort Meade, hovedkontoret til blant annet NSA.
Fort Meade, hovedkontoret til blant annet NSA. Bilde: Patrick Semansky, AP, NTB Scanpix
Harald BrombachHarald BrombachNyhetsleder
16. aug. 2016 - 15:04

I løpet av helgen som var har en gruppe som kaller seg for The Shadow Brokers opprettet profiler hos en rekke tjenester, inkludert Tumblr, Reddit og Twitter, hvor de har de har promotert auksjonssalget av det som skal være en rekke hackerverktøy som skal stamme fra Equation Group, kallenavnet på en svært avansert hackeroperasjon har blitt assosiert med amerikanske NSA (National Security Agency).

Kunngjøringen

De fleste av kontoene som ble opprettet, er allerede stengt. Men informasjonen de henviser til, er fortsatt tilgjengelig hos Pastebin (en kopi finnes her).

Informasjonen er skrevet på litt gebrokkent engelsk: 

How much you pay for enemies cyber weapons? Not malware you find in networks. Both sides, RAT + LP, full state sponsor tool set? We find cyber weapons made by creators of stuxnet, duqu, flame. Kaspersky calls Equation Group. We follow Equation Group traffic. We find Equation Group source range. We hack Equation Group. We find many many Equation Group cyber weapons. You see pictures. We give you some Equation Group files free, you see. This is good proof no? You enjoy!!! You break many things. You find many intrusions. You write many words. But not all, we are auction the best files.

The Shadow Brokers har altså, etter eget utsagn, greid å forfølge trafikken til såkalte Equation Group tilbake til gruppen selv. Deretter har The Shadow Brokers angivelig hacket seg inn hos Equation Group, hvor det har blitt funnet mange kybervåpen. 

Disse har The Shadow Brokers selvfølgelig kopiert. Noen smakebiter har blitt lagt ut gratis, mens resten skal auksjoneres bort. 

«Smaksprøver»

Det er oppgitt flere vanlige nedlastingslenker til samlingen av verktøy, men ingen av dem fungere særlig godt. Det gjør derimot en magnet-lenke, som kan brukes i ulike torrentklienter:

Nedlastingen består av en zip-fil på drøy 230 megabyte. Denne inneholder to komprimerte og krypterte tar-filer, begge på godt over 100 megabyte. 

Noen av mappene og filene i &quot;smaksprøven&quot; The Shadow Brokers har utgitt. Noen av navnene skal være de samme som i materiale lekket av Edward Snowden. <i>Foto: The Shadow Brokers</i>
Noen av mappene og filene i "smaksprøven" The Shadow Brokers har utgitt. Noen av navnene skal være de samme som i materiale lekket av Edward Snowden. Foto: The Shadow Brokers

For å dekryptere filene behøver man for eksempel gpg, GNU-prosjektets implementering av OpenPGP-standarden, samt et passord. Passordet til smakebitene har nødvendigvis også blitt oppgitt. 

Ferdig utpakket sitter man igjen med en samling skriptfiler og kjlørbare binærfiler, noen for Windows, andre for Linux. Det meste ser ut til å være verktøy for å trenge gjennom brannmurer.

Passordet til resten av samlingen, som skal være kraftigere verktøy enn den man har fått gratis tilgang til, er i praksis det som er lagt ut på auksjonen. I utgangspunktet som byr mest innen auksjonen avsluttes, skal få passordet. 

Men det er ikke slik at man byr først og betaler når man har vunnet budrunden. Alle som byr, må umiddelbart betale i form av bitcoins, og ingen får pengene tilbake. Gulroten er at dersom auksjonen bringer inn mer enn 1 million bitcoins, vil The Shadow Brokers frigjøre flere av verktøyene til Equation Group til absolutt alle. 

Men 1 million bitcoin er ikke småpenger. Det tilsvarer mer enn 4,6 milliarder kroner.

Så langt har det bare kommet seks bud, det høyeste på 1,5 bitcoin.

Ekte vare?

The Daily Dot var blant avisene som først skrev om auksjonen, etter at den finske sikkerhetsforskeren Mikko Hypponen twitret om den

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

Mye tyder på at filene er noen år gamle, og det spekuleres på om det angivelige innbruddet kan ha skjedd allerede i 2013. Sikkerhetsekspertene The Daily Dot har snakket med er skeptiske, men ingen av dem avviser at det kan dreie seg om ekte saker. 

– Dersom ikke gratisfilene er legitime, er det ekstremt forseggjorte til å være svindel, sier Matt Tait, som leder Capital Alpha Security. Han legger dog til at innsatsen kan ha vært verdt dersom hensikten har vært å innhente donasjoner. 

Foreløpig er det nok få som har rukket å studere filene i detalj.

Masse spekulasjoner

Med så begrenset informasjon, vil det meste som fortelles være spekulasjoner. Dette handler både om hvem som står bak, hvor de angivelige verktøyene faktisk har blitt funnet og om hvordan de har blitt fremskaffet. 

Interessant nok opplyser WikiLeaks i dag at de allerede har en kopi av disse verktøyene, og at gruppen vil utgi en egen, uberørt kopi etter hvert.

Denne uttalelsen har fått flere til å spørre om smakebitene som The Shadow Brokers har utgitt, kan være infisert med skadevare. Men WikiLeaks har så langt ikke svart på dette.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra