Kaspersky, 2015 yılında yayınladığı bir raporda sofistike yeteneklere sahip olan Equation Group ile dünya kamuoyunu bilgilendirmişti. Bu grubun en önemli özelliklerinden biri Stuxnet ve Flame adlı virüsler ile bağlantısı ve kendi geliştirdikleri malware sayesinde Windows ve Mac Os işletim sistemlerinde geçerli HDD firmware’i programlayarak kalıcılığı sağlamalarıydı.
Aradan bir yıl geçtikten sonra Equation Group karşımıza “The Shadow Brokers” adı ile çıktı.
Grup, ABD’nin en çok istihbarat toplayan teşkilatı NSA‘in kullandığı hacking araçlarının bir kısmını kamuoyuna açarak insanların arşiv dosyasını indirmelerini sağladı. Klasörlerin arasında birde en özel şeylerin bulunduğu dosyaları şifreleyerek karşılığında ise 1 Milyon Bitcoins (yaklaşık 568 Milyon Dolar) talep ettiğini duyurdu.
Grubun, NSA’in kullandığı arşivin tamamı için ise 1 Milyon Bitcoins (yaklaşık 568 Milyon Dolar) dudak uçuklattı.
Edward Snowden’in NSA ile ilgili sunduğu belgelerde yer alan “BANANAGLEE” ve “EPICBANANA” adlı araçlarında sızdırılan araçlar içinde var olduğu gözlemlenmiştir.
Araçlarda, Amerikan ve Çin ülkelerine ait router, firewall gibi ürünlerine yönelik olduğu belirtilmiştir. O firmalardan bazıları ise Cisco, Juniper, Fortinet, WatchGuard, Topsec.
Beyaz şapkalı hackerların inceledikleri bazı araçlar ve içerikleri:
Solaris NSA Implant Magic Packet Values
Fortigate FW (best guess) “ifconfig” command injection exploit in Equation Group leak, used for download & exec.
NSA leak “./extrabacon_1.1.0.1.py exec -t <ip> -c public –mode pass-disable” ~ exploit Cisco ASA v8.x via SNMP to disable password checking
NSA leak exploits contain “default” username “pix” and empty password for SSH/Telnet Cisco ASA v7.x/v8.x & pix(all)
NSA Equation Group had poor tradecraft on Huaweii equipment, if you run Huawei gear check your syslog for intrusions
This Equation Group leak looks legit, fun (or someone had a *lot* of free time to fake it). C&C tool:
ELIGIBLEBACHELOR exploits whatever custom protocol this is (TCP port 4000) on Chinese TOPSEC firewalls.
EGREGIOUSBLUNDER exploits an overflow in the authentication cookie on FortiGate firewalls.
Equation Group’s ELIGIBLECANDIDATE exploits an RCE vulnerability in HTTP cookies in a TOPSEC firewall CGI script.
ESCALATEPLOWMAN is actually a privilege escalation exploit against WatchGuard firewalls. The hint is in the path.
Equation Group has a self-destructing exploitation payload called “Teflon Door”.
ADÜ-Yönetim Bilişim Sistemleri bölümünde okumaktayım. 8 yıllık bilişim geçmişimin son 5 yılında bilinçli olarak Siber Saldırı, Güvenlik, Network vs. kavramlarının içini dolduruyorum. Etik Heykırın el çantası Linux, Bash, Python vs ile haşır neşir olmaya çalışırım. Vakit buldukçada blogumdan paylaşımlar yaparım.
Yorum:*
Nickname*
E-mail*
Website
Time limit is exhausted. Please reload CAPTCHA. 8 × =
Konuyla ilgili yorumlara abone olmak için kutucuğu işaretleyiniz.
