Публикация архива эксплоитов АНБ вскрыла большой пласт старых уязвимостей

Хакерская группа Shadow Brokers открыла доступ к архиву с эксплоитами и инструментами для проведения атак, полученному в результате утечки информации из Агентства Национальной Безопасности США (АНБ). Активисты уже разобрали представленный архив и опубликовали структурированный вариант на GitHub. Несмотря на то, что в основном в архиве представлены достаточно старые эксплоиты, которым 10 и более лет, сам факт существования некоторых эксплоитов вызывает удивление.

Например, присутствует эксплоит для ранее неизвестной уязвимости в Postfix, который позволяет удалённо получить контроль за почтовым сервером. Эксплоит работает только с выпусками Postfix с 2.0.8 по 2.1.5, поставляемыми в 2002-2004 годах, но потенциально может быть адаптирован и для ветки 2.2.x. Изучение эксплоита показало, что он использует ошибку в реализации функции strip_address(), применяемой для разбора комментариев в заголовках сообщений. Ошибка была устранена более 11 лет назад в выпуске 2.2.11. В выпусках новее 2.2.11 уязвимость не проявляется.

Кроме Postfix особого внимания заслуживают эксплоиты для получения контроля за сервером через Apache httpd (атака направлена на версию 2.0.40-21 из состава Red Hat Linux 9.0), прокси-сервер Squid, mod_ssl из состава http-сервера Apache 2.x (эксплоит датирован 2008 годом и нацелен на SSLv2), rpc.statd (атака на Red Hat Linux 6.0/6.1/6.2) и bluetooth-стек. Так же в архиве присутствуют ранее неопубликованные эксплоиты для rsync, sendmail, samba, proftpd, wuftpd, 7zip, cPanel, phpBB (до 2.0.11), SquirrelMail (1.4.0-1.4.7), Avaya Media Server, Exim (3.22-3.35), pcnfsd, SSH1 (проблема устранена в 2001 году), Telnetd и Netscape httpd. Следует отметить, что большинство упоминаемых в архиве уязвимостей уже давно устранены, но не исключено, что отдельные уязвимости могут оставаться неисправленными.

Отдельно можно выделить серию удалённо эксплуатируемых уязвимостей в Solaris, которые использовались для взлома достаточно большого списка хостов в сети. Например, примечательна удалённая root-уязвимость в rpc-механизме, проявляющаяся вплоть до Solaris 9 на системах SPARC и Intel. Также отмечены удалённые root-уязвимости в rpc.cmsd, snmpXdmid (Solaris 2.6-2.9), Sun snmpd, dtspcd (SunOS 5), Tooltalk (DEC, IRIX, Solaris 2.6) и ttsession (Solaris 2.6-2.9). В архиве также отмечены атаки на системы, работающие под управлением FreeBSD 5.3-9.0, в том числе упоминаются успешные атаки на поддомены в зонах gov.ru, minatom.ru, int.ru, snz.ru, vniitf.ru.

The Shadow Brokers

Похоже, в истории группировки The Shadow Brokers, которая летом минувшего года сумела похитить хакерские инструменты американских спецслужб, поставлена точка. Напомню, что в последний раз хакеры выходили на связь в конце ноября 2016 года. Тогда группировка сообщила, что аукцион по продаже эксплоитов АНБ, объявленный ранее, отменяется. Вместо этого The Shadow Brokers предложили своего рода краудфандинг: хакеры пообещали обнародовать оставшиеся эксплоиты АНБ в открытом доступе, как только сетевая общественность совместными усилиями соберет 10 000 биткоинов (порядка 6,3 млн долларов по текущему курсу).

По всей видимости, идея с краудфанндингом тоже себя не оправдала. В декабре 2016 года пользователи обнаружили, что группировка пытается реализовать хакерские инструменты спецслужб поштучно, через сайт на базе ZeroNet — это платформа для распределенного хостинга сайтов, использующая в работе блокчейн и BitTorrent.  Длинный список инструментов, опубликованный на сайте, был разделен на категории (эксплоиты, трояны, импланты), а рядом с каждым «лотом» указана цена. Стоимость эксплоитов варьировалась от 1 до 100 биткоинов, а также можно приобрести весь набор сразу, по фиксированной цене 1000 битинов.

 Чуть позже, в начале января 2017 года, ZeroNet-сайт был переработан, теперь хакеры предлагали приобрести пакет инструментов, озаглавленный Windows Warez, чью суммарную стоимость они оценили в 750 биткоинов. Также можно было приобрести как отдельные эксплоиты, так и более маленькие «тематические наборы», к примеру, эксплоит для 0-day уязвимости протоколе SMB (Server Message Block), RCE-эксплоиты для IIS серверов, RDP, RPC и SMB, эксплоиты для фреймворков и так далее.
12 января 2017 года The Shadow Brokers отчаялись окончательно. На сайте появилось прощальное сообщение группы, в котором хакеры признали, что их главной целью всегда были деньги, но именно заработать на продаже украденных данных не удается.
“”””«Счастливо, люди, прощайте. The Shadow Brokers уходят в тень и сходят со сцены. Продолжение чревато большими рисками и другой хренью, но не принесет много биткоинов. The Shadow Brokers удаляют все аккаунты и движутся дальше, так что не пытайтесь связаться. Вопреки всем теориями, для The Shadow Brokers дело всегда было в биткоинах. Бесплатные дампы и дурацкие политические разговоры были только для привлечения внимания рынка. Но бесплатными дампами и раздачами биткоинов не заработаешь. Вы разочарованы? Никто не разочарован больше, чем сами The Shadow Brokers», — пишут хакеры.”””””

Хотя хакеры признают, что дело в деньгах и обещают опубликовать все оставшиеся инструменты, если когда-нибудь все же соберут 10 000 биткоинов, на прощание The Shadow Brokers сделали небольшой подарок сообществу. Группировка обнародовала еще несколько инструментов АНБ совершенно бесплатно.

К прощальному посланию приложен 61 файл в формате бинарников Windows, в том числе динамические библиотеки, драйверы, исполняемые файлы. ИБ-специалисты уже начали анализировать новый дамп. Судя по всему, часть инструментов была описана исследователями «Лаборатории Касперского» еще в 2015 году, в материалах посвященных работе Equation Group. Впрочем, сами The Shadow Brokers тоже упоминают о том, что антивирусные решения «Лаборатории Касперского» обнаруживают большую часть опубликованной малвари. Однако исследователи пишут, что продукты «Лаборатории Касперского» реагируют далеко не на все представленные инструменты, к тому же по данным Virus Total, у других вендоров дела обстоят значительно хуже.

Ну и причем здесь Россия?

Еще в августе 2016 года, когда The Shadow Brokers заявили о своем намерении продать инструменты для слежки кибергруппы, связанной с АНБ, бывший сотрудник агентства Эдвард Сноуден заявил, что косвенные улики указывают на причастность России к действиям The Shadow Brokers.

o

 

Сноуден посчитал, что утечка является предупреждением о том, что кто-то может доказать ответственность США в использовании вируса Stuxnet, который в 2010 году нанес урон иранской ядерной программе.

В этот раз бывший сотрудник ЦРУ и Агентства национальной безопасности США Эдвард Сноуден в своем твиттере разместил ссылку на сами эксплойты,  на обращение хакерской группировки Shadowbrokers и обвинил АНБ в полной потере контроля над своими секретными инструментами.

o

Теперь The Shadow Brokers немного изменили тактику, не став требовать вознаграждение и придав своим требованиям политический окрас.

Даже если эти заявления абсолютно голословны, звучат они довольно дерзко: «Уважаемый президент Трамп. Какого черта вы делаете? TheShadowBrokers голосовали за вас. TheShadowBrokers поддерживают вас. TheShadowBrokers теряют веру в вас», – говорится в заявлении  The Shadow Brokers с medium.com.

«Вы думаете, у вас получится снова сделать Америку великой без поддержки ваших союзников? У TheShadowBrokers есть предложение. Может быть, вы запишете видео и объясните своему электорату, что вы не хотели его подвести. Вы заключили сделку с гражданами, пообещав полную прозрачность своих действий. Но о какой сделке может идти речь, если это привело к использованию химического оружия на территории Сирии и ее бомбардировкам?» — спрашивают хакеры у Трампа.

Текст, написанный на английском языке с незначительными ошибками, а также тот факт, что The Shadow Brokers исчезли из виду незадолго до инаугурации Дональда Трампа и вернулись сразу после авиаударов США по Сирии, укрепили зарубежные СМИ в предположении, что группировка имеет прямое отношение к России.

Однако The Shadow Brokers, как и в 2016 году, отрицают свою связь с Кремлем. В своем заявлении хакеры отметили, что не являются поклонниками России или Владимира Путина, но придерживаются концепции «враг моего врага — мой друг».

Ну а кому очень интересно и хочется уже посмотреть сам код, то вот вам ссылка:

https://github.com/x0rz/EQGRP