Опубліковані дані елітної кибергруппировки Equation Group не виявилися жартом

Нещодавно ми писали про можливий витік конфіденційних даних відомої кибергруппы Equation Group (Five Eyes/Tilded Team). Опублікована інформація готувалася по гарячих слідах, а сам інцидент з публікацією даних розглядався як викликає сумніви. Однак, за минулі кілька днів, нам вдалося вивчити опублікований у вільному доступі архів, а також зібрати довірені джерела, підтверджують достовірність інформації групи хакерів Shadow Brokers. Розмір самого архіву з доступними для доступу даними становить близько 300МБ, в ньому налічується понад 3,5 тис. файлів. Розшифрована публічна частина архіву, яка вже згадувалася нами раніше, містить в собі різні скрипти установки, файли конфігурації, інформацію про роботу з керуючими C&C-серверами, працюють експлойти для популярних маршрутизаторів і брандмауерів.

Крім цього, назви файлів з архіву збігаються з ідентифікаторами імплантів NSA з відомого каталогу ANT.


Директорії з абревіатурами в каталозі Firewall\Exploits. Як видно з назви, в них містяться експлойти для різних мережевих брандмауерів.

Розшифровки деяких абревіатур експлойтів були опубликованы security-ресерчером Matt Suiche.

EGBL = EGREGIOUS BLUNDER (Fortigate Firewall + HTTPD exploit (apparently 2006 CVE )
ELBA = ELIGIBLE BACHELOR
ELBO = ELIGIBLE BOMBSHELL (Chinese TOPSEC firewall versions 3.3.005.057.1 to 3.3.010.024.1)
ELCA = ELIGIBLE CANDIDATE
ELCO = ELIGIBLE CONTESTANT
EPBA = EPIC BANANA
ESPL = ESCALATE PLOWMAN
EXBA = EXTRA BACON (Cisco Adaptive Security Appliance v8.0 to v8.4)
Описи деяких вищезазначених експлойтів (директорія Exploits) наведено нижче.

EGREGIOUSBLUNDER A remote code execution virus for Fortigate firewalls that exploits a HTTP cookie overflow vulnerability. It effects models 60, 60М, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600, and 3600A. The model of the firewall is detected by examining the ETag in the HTTP headers of the firewall.

ELIGIBLEBACHELOR An virus for TOPSEC firewalls running the TOS operation system, affecting versions 3.2.100.010, 3.3.001.050, 3.3.002.021 and 3.3.002.030. The attack vector is unknown but it has an XML-like payload that starts with <?tos length=«001e:%8.8 x»?>.

ELIGIBLEBOMBSHELL A remote code execution virus for TOPSEC firewalls that exploits a HTTP cookie command injection vulnerability, affecting versions 3.2.100.010.1pbc17iv3 to 3.3.005.066.1. Version detection by ETag examination.
Таким чином, експлойти спрямовані на обхід брандмауерів пристроїв Cisco PIX & ASA, Juniper Netscreen, Fortigate та ін. Нижче дано описи імплантів, які також були взяті з каталогу NSA ANT. Інформація була опублікована ще одним security-ресерчером здесь.

BANANAGLEE A non-persistent firewall software implant for Cisco ASA and PIX devices that is installed by writing the implant directly to memory. Also mentioned in the previously leaked NSA ANT catalogue.

BANANABALLOT A BIOS module associated with an implant (likely BANANAGLEE).

BEECHPONY A firewall implant that is a predecessor of BANANAGLEE.

JETPLOW A firmware persistence implant for Cisco ASA and PIX devices that persists BANANAGLEE. Also mentioned in the previously leaked NSA ANT catalogue.

Слайд каталогу NSA ANT в якому згадується імплант BANANAGLEE для пристроїв Cisco ASA. Директорія \eqgrp-free-file\Firewall\BANANAGLEE\.


Директорія з файлами шеллкода для різних версій пристроїв Cisco ASA.

Повний список файлів з публічно доступного архіву можна скачати тут. Для розшифровки самого архіву на Windows знадобиться інструмент gpg2 з пакету Gpg4win.

Як зазначає у своєму твіттері Hacker Fantastic, один із сценаріїв містить у собі команду на завантаження нового імпланта з використанням експлойта і специфічного набору команд.



Варто відзначити, що самі назви директорій і файлів не представляють з себе довірене джерело приналежності до Equation Group. Однак, самі експлойти виявилися рабочимиа один з колишніх фахівців NSA TAO (Tailored Access Operations) подтвердил приналежність опублікованих даних NSA. TAO вже згадувалася нами в пості, присвяченому нещодавно вийшов фільму Zero Days як підрозділ у складі NSA, відповідальна за проведення хакерських атак і кибернаступательных операцій по всьому світу.

У вищезгаданому пості автор демонструє успішність роботи експлойта EXTRA BACON на одному з пристроїв Cisco ASA. Експлойт використовується для заборони аутентифікації на роутері, що дозволяє атакуючим віддалено підключитися до нього по Telnet або SSH і виконувати необхідні команди. Наступний скрипт з архіву і команда використовується для запуску експлойта.

python extrabacon_1.1.0.1.py exec -t 10.1.1.250 -c pubString --mode pass-disable
Equation Group має відношення до створення найуспішніших видів кіберзброї.

  • Stuxnet
  • Duqu
  • Regin
  • Flame
  • EquationLaser
  • EquationDrug
  • DoubleFantasy
  • TripleFantasy
  • Grayfish
  • Fanny
» Відома кибергруппировка Equation Group могла піддатися масштабного злому | посилання
» Творці фільму Zero Days пролили світло на авторів Stuxnet | посилання
» NSA ANT catalog | посилання
» Tailored Access Operations | посилання
» Слайди NSA ANT | ref1 | посилання2
» Powerful NSA hacking tools have been revealed online | ссылка
» Список файлів free архіву | посилання
» EquationGroup Tool Leak – ExtraBacon Demo | посилання
» Shadow Brokers: NSA Exploits of the Week | ссылка
» JETPLOW: NSA Virus of the Day | посилання
» Equation Group Firewall Operations Catalogue | ссылка
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.