Souhrn informací k případu úniku kybernástrojů NSA

  • Roman Šulc
  • 25.8.2016 09:33

Dne 13. srpna byla na fóru GitHub hackerem (nebo skupinou hackerů) pod přezdívkou Shadow Brokers publikována dvojice archivů kybernetického vybavení, údajně patřícího aktérům, známým v bezpečnostní komunitě jako Equation Group. Tato APT skupina, jíž je přisuzováno autorství nejelitnějších útočných prostředků včetně Stuxnetu, Duqu, a nově identifikované Strider/ProjectSauron, je zodpovědná za rozsáhlé špionážní kyberakce, které za desítky let jejího působení zasáhly do více než 30 zemí. Vzhledem k využívání vysoce nákladných řešení jako zranitelnosti nultého dne, a výběru cílů, byly aktivity Equation Group připisovány americké Národní bezpečnostní agentuře (NSA). Obsahem prvního archivu, který Shadow Brokers nabízejí zdarma ke stažení, jsou programátorské chyby, malware, a nástroje umožňující jejich použití. Tyto prostředky, jež zahrnovaly minimálně jednu dosud neobjevenou zranitelnost, jsou převážně designovány na síťové vybavení společností Cisco, Juniper, Fortinet a TOPSEC. Druhá složka, obsahující údajně nejhodnotnější soubory, má připadnout tomu, kdo formou slepé aukce učiní nejvyšší příhoz. Pakliže by příspěvky dražitelů dosáhly výše jednoho milionu bitcoinů (circa 580 milionů dolarů), je přislíbeno také její veřejné zpřístupnění. 

Pravost inkriminovaných položek coby nástrojů Equation Group potvrzuje šetření firmy Kaspersky, které u malwaru odhalilo strukturální spřízněnost se specifickou výbavou, již skupina v minulosti používala. Jejich autenticitu (a zároveň vazbu Equation Group na zpravodajskou komunitu USA) rovněž podpořilo vyjádření několika ex-příslušníků NSA, kteří dané prostředky identifikovali jako součást ofenzivního kybernetického programu uvedené agentury, realizovaného týmem Tailored Access Operations. Nabízené vybavení navíc obsahuje několik termínů, figurujících v materiálech uniklých během kauzy bývalého kontraktora NSA Edwarda Snowdena, včetně těch, které Snowden tisku v návaznosti na oznámení Shadow Brokers nově poskytl. Internetové stránky NSA zaznamenaly v období, kdy nabídka vešla ve známost, téměř jeden den trvající odluku, což hovoří ve prospěch hypotézy, že organizace v souvislosti s incidentem zahájila inspekci svých systémů.

Dosud není znám způsob odcizení nástrojů, ani motiv jejich zveřejnění. Verze, podporovaná twitterovým vyjádřením samotného Snowdena, je, že se jedná o akci Ruské federace, jež má limitovat možnosti zásahů Spojených států proti praktikám ostatních zemí. Například odezva USA na ruský hackerský útok vůči DNC prostřednictvím strategie oficiálních obvinění a sankcí použitých proti Číně by se při doložení obdobných "prohřešků" americké strany opodstatňovala obtížně. Současné napětí, které v kyberprostoru mezi oběma zeměmi panuje, by vypuštění materiálů, datovaných k roku 2013, mohlo vysvětlovat. Podle alternativní domněnky (jež však intervenci Ruska nevylučuje), šlo o práci dalšího insidera z řad NSA. Tomu by napovídal provedený lingvistický rozbor, přisuzující autorství zpráv Shadow Brokers jedné anglicky mluvící osobě, která se záměrnými chybami v textu snaží vydávat za cizince. Podezřelá forma pokusu o zpeněžení uvedených produktů, která se jeví spíše jako záminka k přilákání pozornosti, je v souladu s oběma prezentovanými teoriemi. Aukce o zbytek souborů nicméně příhozy zaznamenává. Některé z nich byly realizovány prostřednictvím bitcoinové peněženky portálu Silk Road, nacházející se od roku 2013 v rukou FBI, což vede ke spekulacím, že se orgány USA touto cestou pokoušejí získat zbývající položky. NSA případ doposud nekomentovala.

O autorovi: Roman Šulc

Partneři

Tento web používá k analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace