Det har hele tiden blitt hevdet at hackerverktøyene som ble lekket og lagt ut på auksjon tidligere i august, tilhører NSA. Men dette har ikke blitt bekreftet gjennom troverdige bevis. Før nå.
The Intercept offentliggjorde før helgen et ikke tidligere publisert dokument som NSA-varsleren Edward Snowden har skaffet til veie. Her vises en tydelig tilknytning mellom NSA og i alle fall ett av de lekkede verktøyene.
Avslørende kodestreng
I dokumentet, som skal være et utkast til en brukermanual, blir operatørene instruert til å spore bruken av et bestemt skadevareprogram ved å bruke en spesifikk streng, «ace02468bdf13579». Denne strengen går igjen i koden til i alle fall programfilen som heter SecondDate-3021.exe, som er en del av den åpne samlingen med verktøy som The Shadow Brokers har gjort tilgjengelige.
SecondDate, eller SECONDDATE som den ofte kalles, er et verktøy som The Intercept omtalte allerede i 2014, basert på en tidligere lekkasje. Med verktøyet skal man kunne avskjære webforespørsler og omdirigere dem til en NSA-kontrollert webserver, blant annet for å kunne spre skadevare.
I andre dokumenter som The Intercept nå har lekket, går det fram at SECONDDATE har blitt brukt mot Pakistan og Libanon.
NSA og Equation Group
Allerede få dager etter at lekkasjen av hackerverktøyene ble kjent, kunne russiske Kaspersky Lab rapportere at uvanlige metoder som er brukt i forbindelse med implementeringen av noen former for krypteringsteknologi, er funnet både i de lekkede verktøyene og i verktøy som stammer fra den beryktede hackergruppen Kaspersky Lab kaller for Equation Group. Det har tidligere blitt antatt at gruppen har forbindelser til NSA. Nå er disse antakelsene blitt betydelig styrket.
Men også The Shadow Brokers, den ukjente aktøren som har lekket verktøyene, henviste i betydelig grad til Equation Group i kunngjøringen om lekkasjen.
Avlyttet i et tiår
Ars Technica har for øvrig kommet med en egen sak om hvordan NSA har kunnet avlytte VPN-trafikken til brukere av eldre Cisco PIX-brannmurer, i minst et tiår. I tidligere lekkasjer har det blitt kjent at NSA har vært i stand til dette i stor skala, men til nå har det ikke vært kjent hvordan dette har kunnet gjøres.
Kort fortalt har NSA vært i stand til å hente ut krypteringsnøkler fra Cisco-brannmurene. Dette har gjort NSA i stand til ikke bare å avlytte trafikken, men også å få full tilgang til det sårbare nettverket.
Cisco omtaler sårbarhetene og angrepsverktøyet BENIGNCERTAIN på denne siden.
De aktuelle Cisco PIX-brannmurene skal ha vært i salg siden begynnelsen av forrige tiår. De har ikke blitt støttet av Cisco siden 2009. Det er kun enheter med PIX 6.0 og eldre som skal være sårbare. Men ifølge Ars Technica viser søk på nettet at mange tusen slike enheter fortsatt er i bruk, inkludert 150 i Norge.
