Взлом Equation Group: файлы создателей Stuxnet, Duqu и Flame

Неизвестные выложили в открытый доступ часть наработок state sponsored APT группы Equation (Five Eyes/Tilded Team), ответственной за проведение масштабных и технологически сложных кибератак, таких как Stuxnet, Duqu, Flame, Duqu2. Основная часть похищенных в ходе взлома файлов будет продана на специализированном аукционе.

Equation Group начала работать в 1996 году. Атаке подверглись несколько десятков тысяч различных структур: правительственные органы, информационные и аэрокосмические агентства, энергетические и военные компании, финансовые органы, различные мусульманские деятели. Основной ущерб был причинен таким странам, как Иран, Россия, Пакистан, Афганистан, Индия, Китай и Сирия. Великобритания, Германия и Франция также подвергались кибератакам.

За прошедшие несколько дней, нам удалось изучить опубликованный в свободном доступе архив, а также собрать доверенные источники, подтверждающие достоверность информации группы хакеров Shadow Brokers. Размер самого архива с доступными для доступа данными составляет около 300МБ, в нем насчитывается более 3,5 тыс. файлов. Расшифрованная публичная часть архива, которая уже упоминалась нами ранее, содержит в себе различные скрипты установки, файлы конфигурации, информацию о работе с управляющими C&C-серверами, работающие эксплойты для популярных роутеров и брандмауэров.

Для ознакомления предоставлен небольшой дамп данных. Полный архив получит отправивший наибольшую ставку в Bitcoin. Причем лица, выложившие архив, предполагают что представители Equation Group тоже примут участие в аукционе и ставки будут довольно высоки. Содержимое архива не указывается, что создает большую интригу.

Бесплатный архив для ознакомления:

» magnet:?xt=urn:btih:40a5f1514514fb67943f137f7fde0a7b5e991f76&tr=http://diftracker.i2p/announce.php
» https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU
» https://app.box.com/s/amgkpu1d9ttijyeyw2m4lso3egb4sola
» https://www.dropbox.com/s/g8kvfl4xtj2vr24/EQGRP-Auction-Files.zip
» https://ln.sync.com/dl/5bd1916d0#eet5ufvg-tjijei4j-vtadjk6b-imyg2qkd
» https://yadi.sk/d/QY6smCgTtoNz6

Free Files (Proof): eqgrp-free-file.tar.xz.gpg
sha256sum = b5961eee7cb3eca209b92436ed7bdd74e025bf615b90c408829156d128c7a169
gpg —decrypt —output eqgrp-free-file.tar.xz eqgrp-free-file.tar.xz.gpg
Password = theequationgroup

Расшифровки некоторых аббревиатур эксплойтов были опубликованы security-ресерчером Matt Suiche.

  • EGBL = EGREGIOUS BLUNDER (Fortigate Firewall + HTTPD exploit (apparently 2006 CVE )
  • ELBA = ELIGIBLE BACHELOR
  • ELBO = ELIGIBLE BOMBSHELL (Chinese TOPSEC firewall versions 3.3.005.057.1 to 3.3.010.024.1)
  • ELCA = ELIGIBLE CANDIDATE
  • ELCO = ELIGIBLE CONTESTANT
  • EPBA = EPIC BANANA
  • ESPL = ESCALATE PLOWMAN
  • EXBA = EXTRA BACON (Cisco Adaptive Security Appliance v8.0 to v8.4)

Таким образом, эксплойты направлены на обход брандмауэров устройств Cisco PIX & ASA, Juniper Netscreen, Fortigate и др. Ниже даны описания имплантов, которые также были взяты из каталога NSA ANT.

Стоит отметить, что сами названия директорий и файлов не представляют из себя доверенный источник принадлежности данных к Equation Group. Однако, сами эксплойты оказались рабочими, а один из бывших специалистов NSA TAO (Tailored Access Operations) подтвердил принадлежность опубликованных данных NSA. TAO уже упоминалась нами в посте, посвященном недавно вышедшему фильму Zero Days как подразделение в составе NSA, ответственное за проведение хакерских атак и кибернаступательных операций по всему миру.

В вышеупомянутом посте автор демонстрирует успешность работы эксплойта EXTRA BACON на одном из устройств Cisco ASA. Эксплойт используется для запрещения аутентификации на роутере, что позволяет атакующим удаленно подключиться к нему по Telnet или SSH и выполнять необходимые команды. Следующий скрипт из архива и команда используется для запуска эксплойта.

python extrabacon_1.1.0.1.py exec -t 10.1.1.250 -c pubString —mode pass-disable

Equation Group имеет отношение к созданию самых успешных видов кибероружия: Stuxnet, Duqu, Regin, Flame, EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Grayfish, Fanny.

О ситуации у себя в Twitter подобно высказался Эдвард Сноуден. А эксперты «Лаборатории Касперского», тем временем, проанализировали доступную часть дампа и сообщили, что опубликованные файлы действительно связаны с группой Equation Group.

Но пока в сети обсуждают последствия действий The Shadow Brokers и их возможные мотивы, эксперты по информационной безопасности изучают опубликованные хакерами материалы. Напомню, что The Shadow Brokers обнародовали два защищенных архива с данными, к одному из которых был приложен пароль. Эту часть дампа хакеры предъявили общественности в качестве доказательства взлома.

Эксперты «Лаборатории Касперского» пишут, что доступный архив содержит около 300 МБ данных, среди которых присутствуют эксплоиты для брандмауэров, различные инструменты и скрипты, под кодовыми названиями BANANAUSURPER, BLATSTING, BUZZDIRECTION и так далее. Возраст большинства файлов – три года, последние изменения датированы октябрем 2013 года.

Специалисты «Лаборатории Касперского» отмечают, что имплементация алгоритма RC5/6, которую применяла Equation Group, была очень характерной и ее сложно с чем-либо перепутать. В опубликованных The Shadow Brokers файлах эксперты обнаружили именно эту имплементацию, что, по их мнению, вряд ли может быть простым совпадением.