SIKKERHET

Stjal NSA-skadevaren som blir brukt i WannaCry. Nå kommer de med nye avsløringer

The Shadow Brokers  bryter tausheten.

The Shadow Broker har kommet med et kan forklare mye, dersom innholdet faktisk er sant.
The Shadow Broker har kommet med et kan forklare mye, dersom innholdet faktisk er sant. Bilde: Colourbox/Morozova Tatiana
Harald BrombachHarald BrombachNyhetsleder
16. mai 2017 - 15:24

Gruppen som kaller seg for The Shadow Brokers skal ha skrevet et langt blogginnlegg som tidligere i dag ble publisert på tjenesten Steemit. Dette har blitt fanget opp av blant annet The Telegraph og The Register

Publiseringen av blogginnlegget ble kunngjort på Twitter.

Innlegget er skrevet på et litt pussig språk, angivelig for gjøre det enklere å forstå for folk som bare ignorerte eller lo av gruppens første opptredener. 

«TheShadowBrokers is writing to audience reading level, thepeoples is having average reading level of 8th grade.»

Mislykket auksjon

Det var i august i fjor at The Shadow Brokers hevdet å ha stjålet en mengde kybervåpen fra The Equation Group, kallenavnet på en svært dyktig hackergruppe som antas å være tilknyttet amerikanske NSA. 

Samlingen ble lagt ut til auksjon, men verken myndigheter eller teknologiselskaper kom med seriøse bud, til tross for at gruppen la ved en nulldagssårbarhet i eldre Cisco-utstyr som en «vareprøve».

Les også: Knapt noen vil kjøpe lekkede «NSA-verktøy», trass i utnyttelse av ukjente sårbarheter

Avslørt gjennom skjermbilder

I januar skal The Shadow Brokers ha publisert skjermbilder hentet fra det som omtales som en «2013 Windows Ops Disk». Gruppen skal ha visst at dette ville resultere i at Microsoft ville bli varslet av The Equation Group om de aktuelle sårbarhetene, som deretter ville bli lappet. 

Ifølge The Shadow Brokers var dette årsaken til at Microsoft ikke kom med noen sikkerhetsoppdateringer i februar. Tilsynelatende skal Microsoft ha kastet alt det har hatt i hendene, inkludert sårbarheter selskapet visst ville bli offentliggjort, for å bruke alle ressurser på det som nå hadde havnet i fanger på dem. 

I mars kom Microsoft med en rekke sikkerhetsfikser, også til den SMB v1-sårbarheten som WannaCry har utnyttet de siste dagene. 

Les mer: Offentliggjorde Windows-sårbarhet som Microsoft trolig har utsatt å fjerne

«All your bases are belong to us»

Omtrent en måned senere begynte The Shadow Brokers å publisere noe av det gruppen betegner som USAs kyberarsenal, på et tidspunkt hvor det mest alvorlige ikke lenger kunne regnes som nulldagssårbarheter. Dette er det tydeligvis viktig for gruppen å understreke.

– Dette er The Shadow Brokers måte å fortelle The Equation Group at «all your bases are belong to us», skriver gruppen i blogginnlegget. 

Inkludert i dette var detaljene om Eternal-verktøyene, hvorav i alle fall det ene har dannet grunnlaget for spredningsmekanismen til WannaCry.

Lekkasjene i april: Skal allerede ha infisert titusenvis av datamaskiner med lekket NSA-skadevare

Spioner hos teknologigigantene

I blogginnlegget heter det også at The Equation Group har spioner hos både Microsoft og andre amerikanske teknologiselskaper. Men språket i denne delen av blogginnlegget er av en slik art at det er vanskelig å ta det seriøst.

– På tross av hva drittsekkadvokaten i Microsoft ønsker at folk skal tro, er Microsoft bestevenn med The Equation Group, heter det i blogginnlegget.

The Shadow Brokers mener dessuten at det må være tidligere medlemmer fra The Equation Group ansatt i Googles Project Zero, siden denne sikkerhetsavdelingen nylig gjorde Microsoft oppmerksom på en sårbarhet med orm-potensial i en sikkerhetsrelatert Windows-tjeneste. Microsoft fjernet denne sårbarheten på rekordtid, noe The Shadow Brokers mener er et tegn på at selskapet var klar over hva som ville komme. 

Leste du denne? Microsoft fjerner «verste Windows-sårbarhet i nyere tid»

Hvorfor hemmeligholdet?

Samtidig spørres det om hvorfor Microsoft ikke forteller hvem som varslet selskapet om SMB v1-sårbarheten. Selskapet har heller ikke fortalt hvorfor det utsatte å komme med sikkerhetsfiksene som var planlagt for februar. Mange trodde på dette tidspunktet at det kunne dreie seg om en feil i Microsofts Windows Update-infrastruktur, men hvorfor hemmeligholde det? 

Det antydes i blogginnlegget at The Equation Group betaler de amerikanske teknologiselskapene for ikke å gi ut sikkerhetsfikser før sårbarhetene blir offentlig kjent. Samtidig heter det at hackergruppen ikke betalte Microsoft for å holde igjen sikkerhetsfiksen til SMB-sårbarheten. 

– Microsoft tror de vet om alle sårbarhetene The Equation Group bruker og betaler for at ikke skal patches, skriver The Shadow Brokers. 

Bakgrunn: Microsoft vil ikke avsløre hvem som varslet dem om NSAs angrepsverktøy

WannaCry – rar «crimeware»

Deretter går man i blogginnlegget over til det som skjer nå og framtidsplanene.

«I mai, ingen dumping. The Shadow Brokers spiser popcorn og ser på «Your Fired» og WannaCry. Er ikke dette veldig rar adferd for «crimeware»? Nødbryter? «Crimeware» som bryr seg om mållandet? Oraklet forteller The Shadow Brokers at Nord-Korea er ansvarlig for det globale kyberangrepet WannaCry. Atomvåpen og kyberangrep, Amerika er nødt til å gå til krig, ingen andre valg! (Sarkasme). Ingen nye ZeroDays.»

Det er omtrent dette The Shadow Brokers skriver. Det er ikke alt som enkelt lar seg oversette.

Har mye mer på lager

Deretter fortelles det at The Shadow Brokers skal kunngjøre tjenesten «TheShadowBrokers Data Dump of the Month» i juni. Dette skal være en abonnementstjeneste hvor folk kan betale for å få en månedlig samling med informasjon om ytterligere kybervåpen og sårbarheter.

Det antydes at dette kan inkludere angrepsverktøy som utnytter sårbarheter i nettlesere, rutere og mobile enheter, nyere verktøy for å angripe Windows 10, kompromitterte nettverksdata fra flere SWIFT-leverandører og sentralbanker, i tillegg til kompromitterte nettverksdata fra russiske, kinesiske, iranske og nordkoreanske atomvåpen- og missilprogrammer.

Ukjente motiver?

Kanskje noen er interessert i å betale nå, etter at WannaCry har demonstrert hva som kan skje dersom holder de stjålne kybervåpnene hemmelig for de berørte leverandørene. Dette er tilsynelatende hovedbudskapet i innlegget. 

Samtidig understrekes det at The Shadow Brokers ikke er interessert i å stjele pensjonspengene til bestemødre. 

– Det har handler hele tiden om The Shadow Brokers mot The Equation Group, fastslås det i blogginnlegget.

Innlegget avsluttes med påstanden om at en ansvarlig aktør ville ha kjøpt tilbake alle de tapte dataene før de selges til «folket». Da ville ikke The Shadow Brokers lenger ha noe økonomisk incentiv til å fortsette å ta risikoer og vil forsvinne permanent.

Det høyst usikkert hvem The Shadow Brokers egentlig er, og om gruppen har andre motiver enn det økonomiske og å det å kunne utsette The Equation Group og/eller NSA for litt press. Det er fort gjort å tenke at russiske myndigheter har en finger med i spillet, tanker også Edward Snowden var tidlig ute med å publisere. Også enkelte senere analyser har pekt i samme retning.

Mer om The Equation Group: Aktiv trusselgruppe knyttes til spionvare som skapte sjokkbølger på 1990-tallet

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.