Labels

zaterdag 5 november 2016

Revenge of The Shadow Brokers

Revenge of The Shadow Brokers

Ik ga u vandaag wat vertellen over de meest veelbelovende groep hackers van dit moment. Op 27 augustus van dit jaar stond er een groep op die zichzelf ‘The Shadow Brokers’ noemt en die een zogenaamde ‘Equation Group Cyber Weapons Auction’ begon. De groep, die vanuit het niets verscheen, gaf direct een verzameling bestanden vrij waarvan ze zeggen dat dit wapens zijn van de zogenaamde ‘Equation Group’.

De ‘Equation Group’ is een breed geaccepteerde naam voor een malware-verzameling die naar het schijnt is ontwikkeld en ingezet door de Amerikaanse geheime dienst NSA. Miniscule binaire overeenkomsten verbinden deze malware, en een aantal net zo minuscule details, doelwitten en motieven doen vermoeden dat de NSA achter deze aanvallen zit. Het is in ieder geval onwaarschijnlijk dat er een andere groep dan de NSA achter deze malware kan zitten.

De naam The Shadow Brokers is afkomstig van de videogame ‘Mass Effect 2: Lair of the Shadow Broker’. In dit spel moet een ‘Elite human soldier’ op zoek naar ‘an information dealer known as the Shadow Broker’. Feitelijk is dit spel een exacte kopie van wat The Shadows Brokers beogen. Zij zijn namelijk een veiling gestart om deze geheime wapens (hacking tools) van de NSA te verhandelen, en om de veiling kracht bij te zetten hebben ze alvast een gedeelte van deze wapens direct voor iedereen ter download beschikbaar gesteld.

Uiteraard ben ik direct gaan grasduinen in deze informatie en was ik de eerste die kon bevestigen dat er een werkende zogenaamde 0-day tussen het materiaal zat. Een 0-day is een kwetsbaarheid in software die op dat moment nog niet verholpen is en dus altijd zal werken. Ik kan het systeem dus gegarandeerd hacken. Als ik persoonlijk deze 0-day in het bezit zou hebben, zou ik deze, kunnen verkopen voor een bedrag van minimaal 40.000 tot ruim 1 miljoen dollar. Achteraf bleek dat er meerdere 0-days in tussen deze bestanden van The Shadow Brokers zaten. Als de groep makkelijk geld wilde verdienen verkochten ze deze 0days dus in privé, maar dat deden ze. Ze willen de wereld laten weten dat ze deze tools hebben weten te bemachtigen, willen de NSA een publiekelijke klap uit delen. En zijn kennelijk voor de lange termijn ingestapt door beetje bij beetje iets los te laten.

Dat The Shadow Brokers ingestapt zijn voor de lange termijn blijkt ook uit het feit dat ze al hun berichten signen met een eigen key. Dit houdt in dat het voor de lezers mogelijk is om wiskundig vast te stellen dat het volgende bericht afkomstig is van dezelfde personen als degene die het eerdere bericht heeft getypt. Men hecht dus veel waarde aan het in stand houden van het betrouwbare imago dat ze hebben opgebouwd.

Op 5 oktober werd de 51-jarige Harold Thomas Martin III gearresteerd in Maryland. Zoals dat in Amerika gaat werd direct de jacht geopend op de persoon achter The Shadow Brokers. De FBI vermoedde dat dit Harold Thomas Martin III was. Deze bleek 50 terabyte aan data in bezit te hebben en hij bleek een echte verzamelaar van vanalles. Dat bleek vooral uit de rommel in zijn huis. Direct na zijn arrestatie viel het ook even stil rondom The Shadow Brokers. Was de case closed?

Maar afgelopen maandag waren The Shadow Brokers terug. En opnieuw met een schat aan geheime informatie. Ditmaal betrof het servers die door de NSA zijn ingezet om te dienen als een soort tussenserver. We moeten hierbij op de woorden van The Shadow Brokers zelf afgaan, maar dat ze geloofwaardig zijn, hebben ze inmiddels bewezen. Naar het schijnt zijn vanaf deze NSA-servers aanvallen uitgevoerd op andere NSA targets. Bij de data zaten drie Nederlandse servers: één bij de Universiteit van Amsterdam, één bij een hosting partij en één bij de OPCW, een lobbygroep tegen Chemische oorlogsvoering. Wat we in ieder geval zeker weten is dat de NSA in het verleden deze servers gehackt heeft en vanaf hier waarschijnlijk andere aanvallen heeft opgezet.

Maar wat belangrijker is, is dat Harold Thomas Martin III dus niet de persoon is die de gegevens online lekte. Hij was ‘slechts’ een persoon die in het bezit was van geheim materiaal, net als Edward Snowden. Wat dit duidelijk maakt is dat extreem kostbare 0-days en geheime informatie van de NSA in handen van diverse personen kunnen komen en overal kunnen opduiken.

Edward Snowden gaf de wereld in 2013 al inzage in de operaties van de NSA. The Shadow Brokers gaan een stap verder: zij maken de operaties en wapens van de NSA kapot. Daarnaast hebben ze aangekondigd zich met de Amerikaanse verkiezingen te bemoeien.

Wie er precies achter The Shadow Brokers zit, is moeilijk te zeggen. Maar feit blijft dat deze groep de gehele actie niet eventjes heeft opgezet maar hier de nodige planning voor heeft gedaan. Daarnaast zijn de risico's extreem groot, want men weet dat er een witch hunt tegen hen zal komen. En om nog even terug te komen op het spel ‘Mass Effect 2: Liar of the Shadow Broker’: dat zou de favoriete videogame van NSA-medewerkers zijn. Maar zoiets zou Poetin nooit kunnen weten, toch?