Однако, спустя полтора года инфосек сообщество получило подтверждение принадлежности EquationАНБ и это подтверждение вышло очень громким.
13 августа 2016 года в только что зарегистрированной учетке Твиттера shadowbrokers появилось несколько записей, в которых объявлялось о начале аукциона по продаже кибероружия группы Equation, а также приводились ссылки на GitHub и Pastebin, где содержалось обращение хакерской группы Shadow Brokers и примеры украденных данных. В обращении хакеры утверждали, что Equation являются авторами таких вредоносов как Stuxnet, Duqu и Flame.
В течение пяти сливов с августа 2016 по 14 апреля 2017 Shadow Brokers выкинули в паблик большое количество данных об Equation, самыми разрушительными из которых стала информация последнего слива, который хакеры назвали Lost In Translation и который содержал ряд эксплойтов неизвестных до момента вброса уязвимостей.
Спустя месяц, 12 мая 2017 года, весь мир накрыла волна ransomware WannaCry, использующего принадлежащие Equation эксплойт EternalBlue и бэкдор DoublePulsar, содержавшиеся в Lost In Translation (автором WannaCry считается северокорейская APT Lazarus). По всему миру было заражено более 150 тыс. хостов, а ущерб от атаки оценивается в сумму до 4 млрд. долларов.
Интересно, что Microsoft объявили о закрытии уязвимости, эксплуатируемой EternalBlue, на месяц раньше слива Shadow Brockers (как будто заранее что-то знали), но многие забили на своевременный апдейт своих операционных систем.
Но еще более интересно то, что данные АНБ, похоже, утекли к Shadow Brokers еще в 2013 году. То есть более 4 лет существовал ряд неизвестных инфосек индустрии уязвимостей, которые активно использовали Equation. И опять же, может быть два варианта – либо хакеры АНБ настолько гениальны, что скопом находят дырки, которые годами не могут найти другие эксперты, либо эти уязвимости закладываются в ПО на стадии разработки. И почему-то нам кажется более вероятным второе.
И, как вишенка на торте, приблизительно тогда же, в марте 2017 года произошла утечка данных Vault 7, организованная WikiLeaks, в которой содержались сведения про другую американскую хакерскую группу Longhorn aka Lambert, курируемую ЦРУ. И в числе прочего в слитых документах было найдено онлайн-обсуждение, организованное хакерами ЦРУ через два дня после доклада Лаборатории Касперского на SAS, в котором американцы рассуждали о том, что АНБ сделала неправильно и как ЦРУ избежать подобного раскрытия своей хакерской деятельности. После этого стало окончательно ясно, что Equation – это Управление по организации спецдоступа АНБ (ТАО NSA).
После своего громкого разоблачения Equation ушли в тину. Нет, они не перестали работать, но поменяли свои методики и инструменты, так что четких следов их операций на данный момент нет.
Итак, резюмируем. APT Equation – это подразделение (либо его большая часть) АНБ, которое сейчас переименовалось и называется Управление по компьютерным сетевым операциям (CNO). Хакерская группа функционирует, как минимум, с начала 2000-х, а скорее – с середины 90-х годов. Использует в своей деятельности большое количество аппаратных и программных уязвимостей, часть из которых, как мы полагаем, закладывается при участии АНБ на стадии проектирования. Проводит не только взломы в интересах АНБ, но и сбор разведывательных данных о работе других хакерских групп. И делится своими инструментами и наработками с союзными хакерами из стран Five Eyes и Израиля.
И, напоследок, интересное наблюдение – в своих последних наездах на Huawei американцы продемонстрировали знание некоторых технических подробностей, которые не могли быть получены без глубокого проникновения в китайские сети. Наверняка, Equation сыграла в этом не последнюю роль.
Однако, спустя полтора года инфосек сообщество получило подтверждение принадлежности EquationАНБ и это подтверждение вышло очень громким.
13 августа 2016 года в только что зарегистрированной учетке Твиттера shadowbrokers появилось несколько записей, в которых объявлялось о начале аукциона по продаже кибероружия группы Equation, а также приводились ссылки на GitHub и Pastebin, где содержалось обращение хакерской группы Shadow Brokers и примеры украденных данных. В обращении хакеры утверждали, что Equation являются авторами таких вредоносов как Stuxnet, Duqu и Flame.
В течение пяти сливов с августа 2016 по 14 апреля 2017 Shadow Brokers выкинули в паблик большое количество данных об Equation, самыми разрушительными из которых стала информация последнего слива, который хакеры назвали Lost In Translation и который содержал ряд эксплойтов неизвестных до момента вброса уязвимостей.
Спустя месяц, 12 мая 2017 года, весь мир накрыла волна ransomware WannaCry, использующего принадлежащие Equation эксплойт EternalBlue и бэкдор DoublePulsar, содержавшиеся в Lost In Translation (автором WannaCry считается северокорейская APT Lazarus). По всему миру было заражено более 150 тыс. хостов, а ущерб от атаки оценивается в сумму до 4 млрд. долларов.
Интересно, что Microsoft объявили о закрытии уязвимости, эксплуатируемой EternalBlue, на месяц раньше слива Shadow Brockers (как будто заранее что-то знали), но многие забили на своевременный апдейт своих операционных систем.
Но еще более интересно то, что данные АНБ, похоже, утекли к Shadow Brokers еще в 2013 году. То есть более 4 лет существовал ряд неизвестных инфосек индустрии уязвимостей, которые активно использовали Equation. И опять же, может быть два варианта – либо хакеры АНБ настолько гениальны, что скопом находят дырки, которые годами не могут найти другие эксперты, либо эти уязвимости закладываются в ПО на стадии разработки. И почему-то нам кажется более вероятным второе.
И, как вишенка на торте, приблизительно тогда же, в марте 2017 года произошла утечка данных Vault 7, организованная WikiLeaks, в которой содержались сведения про другую американскую хакерскую группу Longhorn aka Lambert, курируемую ЦРУ. И в числе прочего в слитых документах было найдено онлайн-обсуждение, организованное хакерами ЦРУ через два дня после доклада Лаборатории Касперского на SAS, в котором американцы рассуждали о том, что АНБ сделала неправильно и как ЦРУ избежать подобного раскрытия своей хакерской деятельности. После этого стало окончательно ясно, что Equation – это Управление по организации спецдоступа АНБ (ТАО NSA).
После своего громкого разоблачения Equation ушли в тину. Нет, они не перестали работать, но поменяли свои методики и инструменты, так что четких следов их операций на данный момент нет.
Итак, резюмируем. APT Equation – это подразделение (либо его большая часть) АНБ, которое сейчас переименовалось и называется Управление по компьютерным сетевым операциям (CNO). Хакерская группа функционирует, как минимум, с начала 2000-х, а скорее – с середины 90-х годов. Использует в своей деятельности большое количество аппаратных и программных уязвимостей, часть из которых, как мы полагаем, закладывается при участии АНБ на стадии проектирования. Проводит не только взломы в интересах АНБ, но и сбор разведывательных данных о работе других хакерских групп. И делится своими инструментами и наработками с союзными хакерами из стран Five Eyes и Израиля.
И, напоследок, интересное наблюдение – в своих последних наездах на Huawei американцы продемонстрировали знание некоторых технических подробностей, которые не могли быть получены без глубокого проникновения в китайские сети. Наверняка, Equation сыграла в этом не последнюю роль.
#APT #Equation
BY SecAtor
Warning: Undefined variable $i in /var/www/group-telegram/post.php on line 260
Soloviev also promoted the channel in a post he shared on his own Telegram, which has 580,000 followers. The post recommended his viewers subscribe to "War on Fakes" in a time of fake news. Ukrainian forces successfully attacked Russian vehicles in the capital city of Kyiv thanks to a public tip made through the encrypted messaging app Telegram, Ukraine's top law-enforcement agency said on Tuesday. The regulator said it had received information that messages containing stock tips and other investment advice with respect to selected listed companies are being widely circulated through websites and social media platforms such as Telegram, Facebook, WhatsApp and Instagram. Russian President Vladimir Putin launched Russia's invasion of Ukraine in the early-morning hours of February 24, targeting several key cities with military strikes. Lastly, the web previews of t.me links have been given a new look, adding chat backgrounds and design elements from the fully-features Telegram Web client.
from us
