TheShadowBrokers

En esta nueva entrada del blog os queremos traer esta noticia que ya tiene algún tiempo, pero que ha sido sin duda una de las más importantes del último año porque otorga más evidencias, si las que ya hay aún no son suficientes, de que la NSA (Agencia de Seguridad Nacional), que para los que tengan dudas es una agencia de inteligencia del gobierno de Estados Unidos encargada de la seguridad de la información, es capaz de espiarnos.

Un grupo de hackers que se autodenominan TheShadowBrokers, han sido capaces de obtener una serie de herramientas de seguridad, entre las que se encuentran exploits Zero-Day, pertenecientes a la NSA. Este grupo de hackers ha publicado varios mensajes en Internet tanto en su canal de twitter (@theshadowbrokerss) como en una Web que han creado para tal efecto:

https://bit.surf:43110/theshadowbrokers.bit/post/

Realizando una cronología de los mensajes publicados esperamos que el lector entienda todas esas preguntas que nos suelen inquietar cuando escuchamos una noticia como ésta: ¿Qué querían? ¿Cómo lo hicieron? ¿Qué tipo de herramientas robaron? ¿Estas herramientas han sido publicadas en algún sitio?

MESSAGE #1 EQUATION GROUP WAREZ AUCTION INVITATION

Este fue el primer mensaje que publicaron y tuvo lugar en Agosto de 2016. La primera frase del mensaje es muy descriptiva del asunto del mismo:

“Atención a los patrocinadores gubernamentales de la guerra cibernética y a los que se benefician de ella.”

Además, indican que han encontrado unas armas cibernéticas elaboradas por Equation Group, que son un grupo de hackers altamente sofisticado, creadores de herramientas malware tan importantes como stuxnet (gusano informático que afecta a equipos Windows), duqu (colección de malware descubierto en 2011 que se piensa que está relacionado con stuxnet y, por tanto, también ataca a sistemas Windows), flame (malware que ataca a ordenadores con sistema operativo Windows). Este grupo se denomina así (Equation Group) por la predilección que tiene por los métodos de cifrado y técnicas de ofuscación. Si tenéis interés por descubrir más información relativa a este grupo de hackers podéis leer el siguiente informe de Kaspersky con información tanto del grupo de hackers como del malware que ellos desarrollaron:

https://wikileaks.org/ciav7p1/cms/files/Equation_group_questions_and_answers.pdf

Este grupo de hackers se considera que está muy relacionado con la NSA, ya que los recursos con los que cuenta no serían posibles sin el apoyo y el respaldo de una agencia como la NSA.

En el mensaje después de explicar qué han conseguido obtener e indicar que van a subastar los mejores ficheros (¡no todos!) muestran algunas pruebas de ello enviado lo siguiente:

  • Algunas capturas de pantalla de las herramientas que han conseguido (http://imgur.com/a/sYpyn), como el que se muestra a continuación:

MSG1 - NKwE43m

  • Algunos ficheros de prueba comprimidos utilizando el formato XZ y cifrados utilizando PGP. De estos archivos han enviado la clave PGP para que pudieran ser descifrados y los interesados pudieran comprobar que realmente tienen las herramientas que indican. Estos ficheros están compuestos por una serie de herramientas y exploits para el hacking de firewalls.
  • Los ficheros que van a subastar comprimidos utilizando el formato XZ y cifrados utilizando PGP, pero en este caso sin la clave para descifrar los ficheros.

Seguidamente indican las instrucciones de subasta, que básicamente consiste en enviar dinero en bitcoins (BTC) al siguiente monedero:
MonederoBitCoins

https://blockchain.info/address/19BY2XCgbDe6WtTVbTyzM9eR3LYr6VitWK

En la imagen anterior se pueden ver todas las transacciones que han realizado a esa cuenta y el número total de bitcoins recibidos (10,48897217 BTC). Si en el momento de escribir este artículo el precio del bitcoin es 1 BTC = 1606,21 €, entonces habrían recaudado a día de hoy 16.847,5 €. Aunque esta cantidad para una persona puede parecer importante, la realidad es que no consiguieron todo lo esperado con la subasta.

Además, en este mensaje dejan unas preguntas frecuentes que pueden servir para aclarar todas las dudas acerca de la subasta. En este punto, indican que si estás interesado en los ficheros lo que tienes que hacer es enviar bitcoins. También explican que si no eres el ganador de la puja perderías todos los bitcoins enviados al monedero anterior, pero que habría un premio de consolación para los perdedores si la subasta total llega a 1.000.000 BTC, es decir, 1.606.210.000 €. Asimismo, también indican que la subasta no tiene un tiempo fijo, sino el tiempo que ellos consideren oportuno y que no ofrecen ningún tipo de garantía, pero que si te gustan las recompensas deberías arriesgarte.

Por último, introducen un mensaje donde hablan de las ÉLITES RICAS. Explican que las élites hacen leyes para protegerse a ellos mismos y a sus familias, que no van a la cárcel y que pueden saltarse las leyes que deseen porque ellos tienen el control. Al mismo tiempo, indican que es primordial que las élites conozcan la importancia de los datos electrónicos y las armas cibernéticas si quieren seguir teniendo el control. Por tanto, les animan a pujar para hacerse con estos ficheros.

MESSAGE #2 WHY IS EVERYONE SO FUCKING STUPID?

Este mensaje es de septiembre de 2016 y es sin duda el que más inglés coloquial utiliza y errores ortográficos tiene.

El título imaginamos que viene propiciado por las pocas transferencias que tuvieron en bitcoins al monedero que publicaron en el email anterior.

En la primera parte del mensaje vuelven a explicar los ficheros que publicaron en el mensaje anterior y el coste de cada uno de ellos:

  • Los archivos cifrados con PGP de los que dieron la contraseña son para mostrar una prueba de lo que tienen
  • Los ficheros cifrados de los que no pasaron la contraseña son los que se subastan, pero NO piden 1.000.000 BTC.
  • Tienen más ficheros y si el valor del monedero de bitcoins llega a 1.000.000 BTC entre todos (porque recordemos que no devolverán el dinero a la gente que pierda la subasta), liberarán más archivos.

La siguiente parte del mensaje es la que peor se entiende, pero indican que no van a enviar más cosas gratis y que dejan una semana más la subasta pública. De lo contrario, asumirán que no hay nadie interesado y empezarán a venderlas en la Deep Web. Se nota que están bastante enfadados porque en el momento de publicar el mensaje sólo habían conseguido 1,5 BTC.

MESSAGE #3 WHY YOU NO LIKE?

Este mensaje fue publicado en Octubre de 2016, varias semanas después que el anterior. En este mensaje quieren transmitir básicamente lo mismo que en el anterior, pero no utilizan un lenguaje tan agresivo.

En la primera parte del mensaje hacen referencia al mensaje anterior y comentan que la gente piensa que no es real la subasta porque la gente no lo entiende, pero que la subasta es totalmente real. Además indican que hay expertos que estiman el coste de las herramientas en subasta en 1 millón de dólares americanos. Por tanto, ellos quieren ese millón de dólares americanos por las herramientas que subastan.

Además, envían el siguiente enlace donde se puede consultar la descripción de todas las herramientas que regalaron en el primer mensaje donde en la parte gratuita había varias herramientas y exploits para firewalls:

https://musalbas.com/2016/08/16/equation-group-firewall-operations-catalogue.html

Seguidamente, apuntan que creen que existe un problema de comunicación y la gente no se fía de ellos. Por ello, hacen hincapié que ellos no están interesados en conseguir fama, sino únicamente en el dinero y la gente nunca volverá a oír hablar de ellos.

Por último incluyen una serie de preguntas que ellos mismos responden para que quede claro su mensaje. Primero explican que ellos quieren subastarlo y no venderlo en la Deep Web, porque creen que es el método de conseguir la mayor cantidad de dinero posible, es decir, cuánta más gente se entere de la subasta, a más dinero ascenderá la puja. Además, explican que no devuelven el dinero aunque no ganes la subasta porque la subasta es del tipo todos-pagan para que los que pujan no puedan inflar el valor o luego finalmente decidan no pagar:

https://es.wikipedia.org/wiki/Subasta_americana

Además, comentan que aunque no tiene un tiempo fijo la subasta, ésta finalizará cuando las ofertas empiecen a elevarse y las pujas paren, pero que ellos son los primeros que quieren que sea cuanto antes. Asimismo, indican que han utilizado bitcoin por su madurez, pero no por su privacidad. Además, vuelven a hacer hincapié en el 1.000.000 BTC para explicar que eligieron esta suma para el premio de consolación porque es ridícula, pero que nunca esperaban recibir esa cantidad. También vuelven a indicar los tipos de ficheros que subastan (herramientas y exploits de firewalls, exploits de escalado de privilegios, de persistencia, RATs, etc.). Por otra parte, indican que no pueden dividir las herramientas subastadas porque funcionan como un paquete completo, pero que 1.000.000$ no es mucha cantidad en lo relativo a negocios cibernéticos. Respecto a la legalidad de la venta, apuntan que no son abogados, pero que no se podría considerar robo si nade reclama la autoría de los ficheros. También comentan que no son oráculos para saber si Equation Group irá a por quién subaste o gane la subasta, pero que la única forma que hay de saber qué hace esta organización es ganar la subasta y poder analizar el funcionamiento de las herramientas y exploits. Por último, consideran que es mejor no dar entrevistas por el riesgo que supondría para ellos.

MESSAGE #4 YO, SWAG ME OUT!

Este mensaje fue publicado también en octubre de 2016 y consiste básicamente en una conversación en un avión privado entre Bill Clinton (ex presidente de Estados Unidos), y Lorreta Lynch (fiscal general de Estados Unidos entre abril de 2015 y enero de 2017). La fiscal general debía enviar a un Gran Jurado el caso que investigaba el FBI contra Hilary Clinton sobre el servidor de correo privado de Hilary, el cual utilizó para abordar asuntos confidenciales del gobierno de Estados Unidos. En la conversación que publican se deja entender que Hilary Clinton envió a su marido a hablar con la fiscal general, aunque no citan la fuente de donde han sacado la conversación. Por supuesto, en Internet no aparece publicada dicha conversación y tanto Lorreta Lynch como Bill Clinton han indicado que únicamente hablaron acerca de la familia, pero lo que sí consideramos es que nunca se debió haber producido.

Aunque la parte más interesante del mensaje es la explicación en lo referente a que están hartos de la subasta y que no habrá más subasta y que no habrá ganadores. Ellos liberarán la contraseña cuando reciban 10.000 BTC en el monedero publicado en el primer mensaje.

MESSAGE #5 TRICK OR TREAT FOR AMERIKANSKIS

Este mensaje fue publicado también en octubre de 2016 y consiste en un mensaje de contenido político, donde se preguntan por qué el gobierno de Obama (ya que las elecciones de Estados Unidos fueron en noviembre de 2016) amenaza con una ciberguerra contra Rusia utilizando la CIA. Ellos consideran a la CIA como un comando cibernético de segunda categoría y se preguntan por qué no se lo encargan a la NSA. Dicen que el partido demócrata siempre echa balones fuera y que la única manera de cortar el potencial de Equation Group es hackeado a este partido político. Y añaden que la prensa, que debería ser libre, tendría que informar de ello.

Además, como en este momento está muy cerca la elección a presidente de Estados Unidos, hablan acerca de la corrupción. Ellos creen que el sistema de elecciones está corrupto, porque la elección depende mucho de los votantes indecisos y para convencer a estos votantes es necesario invertir dinero en campañas electorales. Normalmente los ciudadanos que más invierten en estas campañas tienen unos intereses diferentes al ciudadano medio de Estados Unidos. Se preguntan si la mejor idea podría ser hackear las elecciones.

Seguidamente, publican un fichero con un listado de servidores hackeados por Equation Group con una arquitectura Sun Solaris y sistema operativo UNIX (según el investigador Matt Suiche, con 331 direcciones IP diferentes localizadas en países como Irán, Rusia, China, Pakistán, India, Japón, South Corea, Bosnia, etc.). Tras descifrar y descomprimir el fichero proporcionado nos encontramos 2 carpetas (Intonation y PitchImpair, que son las herramientas utilizadas para llevar a cabo el hackeo de los servidores anteriores). Se cree que este grupo utilizaba estos servidores para ocultar su localización real:

https://threatpost.com/shadowbrokers-dumps-lists-of-equation-group-hacked-servers/121670/

MESSAGE #6 BLACK FRIDAY / CYBER MONDAY SALE

Este mensaje fue publicado en diciembre de 2016 y se centra de nuevo en la subasta o venta del material del primer mensaje. TheShadowBrokers no entienden por qué la gente no le gusta la opción de la subasta y por qué tampoco le gusta el crowdfunding o financiación colectiva. Por tanto, ellos dan otra opción: la venta directa. Si hay alguien interesado les puede enviar un correo y ellos le enviarán una dirección en bitcoin para ingresar el dinero o si lo prefieren pueden utilizar algún market place dentro de la Deep Web.

Seguidamente, publican una serie de capturas de pantalla con todas las herramientas UNIX existentes en el fichero enviado en el primer mensaje, el cual desean subastar o vender.
Capturas-pantalla-herramientas-unix-liberadas

MESSAGE #7 EQUATION GROUP WINDOWS WAREZ NOW FOR SALE

Este mensaje fue publicado en enero de 2017. Si en el anterior mensaje publicaron una serie de capturas de pantalla con todas las herramientas UNIX existentes en el fichero que desean subastar o vender. En esta ocasión, adjuntan capturas de pantalla de las herramientas WINDOWS. En la siguiente Web aparecen las capturas de pantalla y además indican que el valor de estas herramientas Windows son 750 BTC (1.204.657,5 € en el momento de escribir esta entrada del blog).

https://bit.surf:43110/theshadowbrokers.bit/page/windows/

MSG7 - DanderSpritz

MSG7 - FuzzBunch

Además, también aparecen las herramientas firmadas y cifradas. Por supuesto, aún no proporcionan la clave para descifrarlo.

FINALE MESSAGE THESHADOWBROKERS CLOSED, GOING DARK

Este mensaje fue publicado también en enero de 2017. En este mensaje quieren transmitir que están arriesgando mucho y no están obteniendo muchos bitcoins. Así que, se van a esconder por un tiempo. Aun así, ellos van a dejar una puerta abierta, que será el monedero de bitcoins que publicaron en el primer mensaje. La oferta seguirá activa y no tendrá fecha de caducidad. Si ellos reciben 10.000 BTC a esa dirección saldrán de donde están escondidos y darán la contraseña tanto para las herramientas Linux como para las herramientas Windows.

Además, añaden un nuevo archivo con ficheros que el antivirus Karpesky identifica como Trojan.Win32.EquationDrug.

MESSAGE #DON’T FORGET YOUR BASE

Este es un mensaje publicado el 8 de abril de 2017, pero en este caso no fue publicado en la Web donde iban publicando los mensajes anteriores. Lo podemos encontrar en el siguiente enlace:

https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1

Este mensaje va dirigido al presidente de Estados Unidos Donald Trump, porque ellos le votaron pero ahora están perdiendo la fe en él. Como evidencias le indican 5 puntos negativos:

  • Goldman Sach y el gabinete de inteligencia industrial militar
  • El retroceso del programa Obamacare
  • Ataque contra la libertad en el Cáucaso
  • Eliminación de Bannon del Consejo de Seguridad Nacional de los Estados Unidos (NSC)
  • Incremento de la inversión en guerras extranjeras (golpe a Siria)

Ellos comentan que la gente que votó por él, votó en contra tanto del partido republicano como del partido demócrata y que sin esa gente no habría llegado a ser presidente. Además, le recuerdan cuando el partido demócrata de Obama se reía de él.

Además, explican que ellos le quieren ver triunfar y consiguiendo que Estados Unidos sea más grande de lo que es. También le recomiendan crear un vídeo en YouTube para explicar todo y poder convencer a sus votantes mostrando la mayor transparencia posible. Asimismo, creen que su política contra inmigrantes consigue empatizar con los padres que han perdido a algún hijo a manos de un inmigrante, pero explican que tragedias ocurren todos los días y las guerras (como la de Siria) ponen en peligro a todos los niños, no sólo a los sirios.

Por tanto, les gustaría realizarle algunas sugerencias:

  • Que no tenga en cuenta lo que se escribe en los periódicos, y que lo ignore.
  • Que Putin debería ser uno de sus grandes aliados.
  • Que celebre su elección como presidente y que no se preocupe si fue manipulada o no.
  • Que no se preocupe en intentar ser popular o simpático, que simplemente lo sea. Que Obama falló pensando que podría crear compromisos.
  • Que ponga interés en los problemas internos del país no en los problemas internacionales (como la guerra de Siria)
  • Que no se preocupe de la fe en Dios
  • Que apoye las ideologías políticas de Steve Bannon, la anti-globalización, el anti-socialismo, el nacionalismo y el aislacionismo.

Además, explican otros asuntos muy relacionados con los puntos anteriores:

  • Si la globalización es tan increíble, ¿por qué todo el mundo quiere ir a Estados Unidos si la globalización consiste en que cada uno se quede en su país y sea Estados Unidos quien exporte sus ideas, cultura, etc.? Eso es porque la cultura americana es la mejor. Pero es necesario llevar la cultura americana al mundo y no llevar a todo el mundo a Estados Unidos.
  • Si eres americano y buscas la supremacía de la raza negra, te recomiendan el programa “Obama ticket”: el gobierno de estados unidos reservará 1 millón de dólares de la reserva federal para pagar un viaje a África a cualquier residente de Estados Unidos, con la única condición de aceptar la revocación de la ciudadanía americana.
  •  Si por el contrario no te gusta África y te gusta el socialismo, entonces te pueden enviar al paraíso socialista de Corea del Norte.
  • Respecto a Rusia, quieren aclarar que no son rusos y que tampoco son fans de Putin o del gobierno ruso, pero que el enemigo de su enemigo es su amigo. Ellos consideran que tienen más en común con los rusos que con los chinos, los socialistas o los que apoyan la globalización. Rusia y Putin son nacionalistas y enemigos de la globalización.

Por todos estos motivos, ellos se ofrecen para ayudar al presidente Trump para proteger la constitución e incluso afirman que muchos de ellos han jurado la constitución estadounidense. Además, añaden que con buenos fondos podrán reclutar a los mejores hackers y desenmascarar a los enemigos de la constitución, como John McCain y otra mucha gente. Ellos no se explican por qué Trump no ha hecho nada contra New York Time, Washington Post, Goldman Sacks o Jeff Bezos, pero entienden que todas estas investigaciones y juicios consumen mucho tiempo.

Por tanto, ellos esperan que Trump se tome este mensaje como una crítica constructiva. Algunos estadounidenses consideran que TheShadowBrokers son unos traidores, pero no están de acuerdo. Además, ellos quieren mantener su juramento de proteger y defender la constitución estadounidense.

Por último, como la subasta fue todo un fracaso, como protesta por todo lo que han comentado a lo largo del mensaje, van a publicar la clave de los ficheros subastados: La contraseña del fichero EQGRP-Auction-Files es CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN

En este fichero podéis encontrar una serie de herramientas y exploits para Linux, los cuales han sido publicadas en GitHub:

https://github.com/x0rz/EQGRP

Antes de finalizar el mensaje indican que si hay alguien que quiera realizar alguna donación, lo puede hacer en el monedero de bitcoin publicado en el primer mensaje.

MESSAGE #LOST IN TRANSLATION

Este mensaje fue publicado el 14 de abril de 2017 (una semana después que el mensaje anterior), pero tampoco aparece en la Web donde publicaban los primeros mensajes:

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

En el mensaje indican que la semana anterior estaban pensando en ayudar a la gente, pero que ahora la quieren fastidiar. Además, publican más herramientas:

Carpeta Windows: Contiene exploits, payloads y herramientas para el sistema operativo Windows.

Carpeta Swift: Contiene notas de ataques bancarios utilizando el SWIFT.

Carpeta Oddjob: Contiene ficheros y documentación relacionada con la puerta trasera (backdoor) ODDJOB.

En los siguientes enlaces de GitHub podrás encontrar los ficheros y otros enlaces relacionados con ellos:

https://github.com/x0rz/EQGRP_Lost_in_Translation

https://gist.github.com/iam1980/0155d277b03ec535291a1b0a788b3812

La siguiente imagen muestra cuál es la funcionalidad de las herramientas publicadas, cuál es el objetivo y qué vulnerabilidad explotan:

Leak Lost In Translation

Por último, indican que es una pena que nadie haya querido pagar y los ficheros no hubieran sido publicados, en lugar de ahora hacer rico a McAfee. Y que quien sabe lo que podrán conseguir la próxima vez.

Dentro de las herramientas liberadas en este último mensaje se encuentra FuzzBunch, que es un framework que funciona sobre powershell y que se utiliza para lanzar diferentes exploits. Entre los cuales se encuentran EternalBlue (que se utiliza para aprovechar una vulnerabilidad del protocolo SMB para inyectar código de manera remota en la máquina) y DoublePulsar (que se utiliza para inyectar una dll en el proceso comprometido con el exploit anterior).

Uno de mis compañeros de RogueAxis ha subido a nuestro canal un vídeo muy interesante de cómo hacerte administrador de una máquina Windows 7 que presente esta vulnerabilidad:

Aunque el parche de Microsoft que arregla esta vulnerabilidad fue publicado el 14 de marzo de 2017 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), es decir, un mes antes de que TheShadowBroker liberara estas herramientas muchas empresas no tenían sus sistemas parcheados. Por este motivo, el malware WannaCry ha sido tan perjudicial dentro de muchas empresas, ya que una vez el virus se encontraba dentro de la red interna, éste podía aprovechar esta vulnerabilidad para moverse por toda la red, tener acceso a tantos equipos y poder cifrar tantos ficheros dentro de la compañía.

Bueno, con esto me despido hasta la próxima publicación, espero que hayan quedado claras todas esas cuestiones que se planteaban al inicio de la publicación y que a cualquiera le apetece conocer acerca de estas herramientas que la NSA tenía en su poder desde 2011.