The Shadow Brokers

The Shadow Brokers (TSB) es un grupo de piratas informáticos que apareció por primera vez en el verano de 2016.^[1][2] Publicaron varias filtraciones que contenían herramientas de piratería, incluidas varias vulnerabilidades de día cero^[1], del "Equation Group", que se sospecha que es una rama de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos.^[3][4] Específicamente, estos exploits y vulnerabilidades^[5][6] se dirigieron a cortafuegos empresariales, software antivirus y productos de Microsoft.^[7] The Shadow Brokers originalmente atribuyó las filtraciones al actor de amenazas Equation Group, que ha estado vinculado a la Unidad de Operaciones de Acceso Personalizado de la NSA.^{[8][9][10][4]}

Nombre y alias

Varias fuentes de noticias señalaron que el nombre del grupo probablemente se refería a un personaje de la serie de videojuegos Mass Effect.^[11][12] El empresario y hacker Matt Suiche citó la siguiente descripción de ese personaje: "The Shadow Broker es un individuo a la cabeza de una organización expansiva que comercia con información, siempre vendiendo al mejor postor. The Shadow Broker parece ser muy competente en su oficio: todos los secretos que se compran y venden nunca permiten que un cliente del Broker obtenga una ventaja significativa, lo que obliga a los clientes a continuar intercambiando información para evitar quedar en desventaja, lo que permite que el Broker permanezca en negocio."^[13]

Historial de fugas

Primera filtración: "Subasta de armas cibernéticas de Equation Group - Invitación"

Si bien la fecha exacta no está clara, los informes sugieren que la preparación de la filtración comenzó al menos a principios de agosto^[14] y que la publicación inicial se produjo el 13 de agosto de 2016 con un tweet de una cuenta de Twitter "@shadowbrokerss". Esta cuenta anunciaba una página de Pastebin^[15] y un repositorio de GitHub que contiene referencias e instrucciones para obtener y descifrar el contenido de un archivo, el cual supuestamente contiene herramientas y exploits utilizados por Equation Group.

Publicación y especulación sobre la autenticidad.

El Pastebin^[15] presenta una sección titulada "Subasta de armas cibernéticas de Equation Group - Invitación", con el siguiente contenido:

Subasta de armas Cyber Chase de Equation Group - Invitación

- ------------------------------------------------

!!! Atención a los patrocinadores gubernamentales de la guerra cibernética y a quienes se benefician de ella. !!!!

¿Cuánto pagas por las armas cibernéticas de los enemigos? No el malware que encuentras en las redes. ¿Ambos lados, RAT + LP, conjunto de herramientas de patrocinador estatal completo? Encontramos armas cibernéticas hechas por creadores de stuxnet, duqu, flame. Kaspersky llama a Equation Group. Seguimos el tráfico de Equation Group. Encontramos el rango de fuente de Equation Group. Hackeamos Equation Group. Encontramos muchas muchas armas cibernéticas de Equation Group. Ves fotos. Te damos algunos archivos de Equation Group gratis, ya ves. Esta es una buena prueba no? Tú disfruta!!! Rompe muchas cosas. Encuentras muchas intrusiones. Escribes muchas palabras. Pero no todos, estamos subastando los mejores archivos.

El Pastebin incluye varias referencias para obtener el archivo, denominado "EQGRP-Auction-Files.zip". Este archivo zip contiene siete archivos, dos de los cuales son archivos cifrados con GPG "eqgrp-auction-file.tar.xz.gpg" y "eqgrp-free-file.tar.xz.gpg". La contraseña del archivo "eqgrp-free-file.tar.xz.gpg" se reveló en el Pastebin original como theequationgroup. La contraseña del archivo "eqgrp-auction-file.tar.xz" se reveló en una publicación posterior de Medium como CrDj"(;Va.*NdlnzB9M? @K2)#>deB7mN. El Pastebin continúa con las instrucciones para obtener la contraseña del archivo de subasta encriptado:

Instrucciones de subasta

- --------------------

Subastamos los mejores archivos al mejor postor. Archivos de subasta mejor que stuxnet. Los archivos de subasta son mejores que los archivos gratuitos que ya te damos. La parte que envía la mayoría de los bitcoins a la dirección: 19BY2XCgbDe6WtTVbTyzM9eR3LYr6VitWK antes de que se detenga la oferta es el ganador, le decimos cómo descifrar. Muy importante!!! Cuando envía bitcoin, agregas una salida adicional a la transacción. Agrega la salida OP_Return. En la salida Op_Return, ingresa tu información de contacto (postor). Sugerimos usar la dirección de correo electrónico bitmessage o I2P-bote. Ninguna otra información será divulgada públicamente por nosotros. No creas en mensajes sin firmar. Nos pondremos en contacto con el ganador con las instrucciones de descifrado. El ganador puede hacer lo que quiera con los archivos, no hacemos públicos los archivos.

La respuesta inicial a la publicación fue recibida con cierto escepticismo,^[16] en cuanto a si el contenido en realidad sería o no "... muchas muchas armas cibernéticas de Equation Group."^[15]

Segunda fuga: "Mensaje n.° 5: Truco o trato"

Esta publicación, realizada el 31 de octubre de 2016, contiene una lista de servidores supuestamente comprometidos por Equation Group, así como referencias a siete herramientas supuestamente no reveladas (DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK Y STOICSURGEON) también utilizadas por el actor de la amenaza.^[17]

Tercera filtración: "Mensaje n.° 6: OFERTA DE VIERNES NEGRO / LUNES CIBERNÉTICO"

El mensaje número 6 dice lo siguiente:

TheShadowBrokers está intentando una subasta. A la gente no le gusta. TheShadowBrokers está probando el crowdfunding. A la gente no es de su agrado. Ahora TheShadowBrokers está probando las ventas directas. Estáte revisando ListOfWarez. Si lo deseas, envía un correo electrónico a TheShadowBrokers con el nombre de Warez que desea realizar la compra. TheShadowBrokers te está respondiendo un correo electrónico con dirección de bitcoin. Haces el pago. TheShadowBrokers le envía un correo electrónico con el enlace y la contraseña de descifrado. Si no le gusta este método de transacción, encontrará TheShadowBrokers en mercados clandestinos y realizará transacciones con depósito en garantía. Los archivos como siempre están firmados.^[18]

Esta fuga^[19] contiene 60 carpetas nombradas de manera que sirvan como referencia a las herramientas que probablemente utilice Equation Group. La fuga no contiene archivos ejecutables, sino capturas de pantalla de la estructura de archivos de herramientas. Si bien la filtración podría ser falsa, la cohesión general entre las filtraciones y referencias anteriores y futuras, así como el trabajo requerido para falsificar tal fabricación, da credibilidad a la teoría de que las herramientas a las que se hace referencia son genuinas.

Cuarta filtración: "No olvides tu base"

El 8 de abril de 2017, la cuenta de Medium utilizada por The Shadow Brokers publicó una nueva actualización.^[20] La publicación reveló que la contraseña de los archivos cifrados publicados el año pasado era CrDj"(;Va.*NdlnzB9M? @K2)#>deB7mN. Esos archivos supuestamente revelan más herramientas de piratería de la NSA.^[21] Esta publicación declaró explícitamente que la publicación fue parcialmente en respuesta al ataque del presidente Trump contra un aeródromo sirio, que también fue utilizado por las fuerzas rusas.

El archivo descifrado, eqgrp-auction-file.tar.xz, contenía una colección de herramientas principalmente para comprometer entornos basados en Linux/Unix.^[22]

Quinta filtración: "Lost in Translation"

El 14 de abril de 2017, la cuenta de Twitter utilizada por The Shadow Brokers publicó un tuit con un enlace^[23] a la cadena de bloques de Steem. Adjunto, un mensaje con un enlace a los archivos filtrados, encriptado con la contraseña Reeeeeeeeeeeeeee.

El contenido general se basa en tres carpetas: "oddjob", "swift" y "windows".^[24] Se sugiere que la quinta filtración es "...la publicación más dañina hasta el momento"^[25] y CNN citó a Matthew Hickey diciendo: "Esto es posiblemente lo más dañino que he visto en los últimos años.^[26]

La filtración incluye, entre otras cosas, las herramientas y exploits con nombre en código: DANDERSPIRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE, EXPLODINGCAN y EWOKFRENZY.^[25][27][28]

Algunas de las vulnerabilidades dirigidas al sistema operativo Windows se parchearon en un Boletín de seguridad de Microsoft el 14 de marzo de 2017, un mes antes de que ocurriera la filtración.^[29][30] Algunos especularon que Microsoft podría haber recibido un aviso sobre el lanzamiento de las vulnerabilidades.^[31]

EternalBlue

Más de 200 000 máquinas se infectaron con herramientas de esta fuga en las primeras dos semanas,^[32] y en mayo de 2017, el principal ataque de ransomware WannaCry usó el exploit ETERNALBLUE en Server Message Block (SMB) para propagarse.^[33] El exploit también se usó para ayudar a llevar a cabo el ciberataque Petya de 2017 el 27 de junio de 2017.^[34]

ETERNALBLUE contiene código shell del núcleo para cargar la puerta trasera no persistente DoublePulsar.^[35] Esto permite la instalación de la carga útil PEDDLECHEAP a la que luego accedería el atacante utilizando el software DanderSpritz Listening Post (LP).^[36][37]

Especulaciones y teorías sobre el motivo y la identidad

Amenaza interna de la NSA

El escritor sobre la NSA James Bamford, junto con Matt Suiche, especularon^[38] que un infiltrado, "posiblemente alguien asignado a las operaciones de acceso personalizado [de la NSA] altamente sensibles", robó las herramientas de piratería.^[39][40] En octubre de 2016, The Washington Post informó que Harold T. Martin III, un excontratista de Booz Allen Hamilton acusado de robar aproximadamente 50 terabytes de datos de la Agencia de Seguridad Nacional (NSA), era el principal sospechoso. Shadow Brokers continuó publicando mensajes que fueron firmados criptográficamente y fueron entrevistados por los medios mientras Martin estaba detenido.^[41]

Teoría sobre los vínculos con Rusia

Edward Snowden declaró en Twitter el 16 de agosto de 2016 que "la evidencia circunstancial y la sabiduría convencional indican responsabilidad rusa"^[42] y que la filtración "probablemente sea una advertencia de que alguien puede probar responsabilidad de cualquier ataque que se haya originado en este servidor de malware"^[43] resumiendo que parece "alguien enviando un mensaje de que una escalada en el juego de atribución podría complicarse rápidamente".^[44][45]

The New York Times puso el incidente en el contexto de los ataques cibernéticos del Comité Nacional Demócrata y la piratería de los correos electrónicos de Podesta. Mientras las agencias de inteligencia de EE. UU. contemplaban contraataques, la publicación del código de Shadow Brokers debía verse como una advertencia: "Tome represalias por el DNC, y hay muchos más secretos, de los hackeos del Departamento de Estado, la Casa Blanca y el Pentágono, eso también podría derramarse. Un alto funcionario lo comparó con la escena de El padrino en la que se deja la cabeza de un caballo favorito en la cama, como advertencia."^[46]

En 2019, David Aitel, un científico informático anteriormente empleado por la NSA, resumió la situación así: "No sé si alguien más que los rusos lo sabe. Y ni siquiera sabemos si son los rusos. No sabemos en este punto; cualquier cosa puede ser verdad."^[47]

Referencias

1. Ghosh, Agamoni (9 de abril de 2017). «'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools». International Business Times UK (en inglés). Consultado el 1 de junio de 2022.
2. «'NSA malware' released by Shadow Brokers hacker group». BBC News (en inglés británico). 10 de abril de 2017. Consultado el 1 de junio de 2022.
3. Brewster, Thomas. «Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'». Forbes (en inglés). Consultado el 1 de junio de 2022.
4. BiddleAugust 19 2016, Sam BiddleSam. «The NSA Leak Is Real, Snowden Documents Confirm». The Intercept (en inglés). Consultado el 1 de junio de 2022.
5. Nakashima, Ellen (16 de agosto de 2016). «Powerful NSA hacking tools have been revealed online». Washington Post (en inglés estadounidense). ISSN 0190-8286. Consultado el 1 de junio de 2022.
6. «Equation Group - Cyber Weapons Auction - Pastebin.com». archive.ph. 15 de agosto de 2016. Archivado desde el original el 15 de agosto de 2016. Consultado el 1 de junio de 2022.
7. Goodin, Dan (13 de enero de 2017). «NSA-leaking Shadow Brokers lob Molotov cocktail before exiting world stage». Ars Technica (en inglés estadounidense). Consultado el 1 de junio de 2022.
8. Goodin, Dan (16 de agosto de 2016). «Confirmed: hacking tool leak came from “omnipotent” NSA-tied group». Ars Technica (en inglés estadounidense). Consultado el 1 de junio de 2022.
9. «The Equation giveaway». securelist.com. Consultado el 1 de junio de 2022.
10. Goodin, Dan (16 de agosto de 2016). «Group claims to hack NSA-tied hackers, posts exploits as proof». Ars Technica (en inglés estadounidense). Consultado el 1 de junio de 2022.
11. «The 'Shadow Brokers' NSA theft puts the Snowden leaks to shame - ExtremeTech». Extremetech. 19 de agosto de 2016.
12. «Shadow Brokers: Hackers Claim to have Breached NSA's Equation Group». The Daily Dot. 15 de agosto de 2016.
13. «Shadow Brokers: NSA Exploits of the Week». Medium.com. 15 de agosto de 2016.
14. «The Shadow Brokers: Lifting the Shadows of the NSA's Equation Group?». 15 de agosto de 2016. Archivado desde el original el 28 de junio de 2017. Consultado el 1 de junio de 2022.
15. «Equation Group - Cyber Weapons Auction - Pastebin.com». 16 de agosto de 2016. Archivado desde el original el 15 de agosto de 2016.
16. Rob Price (15 de agosto de 2016). «'Shadow Brokers' claim to have hacked an NSA-linked elite computer security unit». Business Insider. Consultado el 15 de abril de 2017.
17. «'Shadow Brokers' Reveal List Of Servers Hacked By The NSA; China, Japan, And Korea The Top 3 Targeted Countries; 49 Total Countries, Including: China, Japan, Germany, Korea, India, Italy, Mexico, Spain, Taiwan, & Russia». Fortuna's Corner. 1 de noviembre de 2016. Archivado desde el original el 16 de enero de 2017. Consultado el 14 de enero de 2017.
18. «MESSAGE #6 - BLACK FRIDAY / CYBER MONDAY SALE». bit.no.com. bit.no.com.
19. «unix_screenshots.zip». bit.no.com.
20. theshadowbrokers (8 de abril de 2017). «Don't Forget Your Base». Medium. Consultado el 9 de abril de 2017.
21. Cox, Joseph (8 de abril de 2017). «They're Back: The Shadow Brokers Release More Alleged Exploits». Motherboard (en inglés estadounidense). Vice Motherboard. Consultado el 8 de abril de 2017.
22. «GitHub - x0rz/EQGRP: Decrypted content of eqgrp-auction-file.tar.xz». GitHub. 26 de febrero de 2022.
23. «Lost in Translation». Steemit. 14 de abril de 2017. Consultado el 14 de abril de 2017.
24. «Share». Yandex.Disk (en inglés). Consultado el 15 de abril de 2017.
25. «NSA-leaking Shadow Brokers just dumped its most damaging release yet» (en inglés estadounidense). Consultado el 15 de abril de 2017.
26. Larson, Selena (14 de abril de 2017). «NSA's powerful Windows hacking tools leaked online». CNNMoney. Consultado el 15 de abril de 2017.
27. «Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows». Medium. 14 de abril de 2017. Consultado el 15 de abril de 2017.
28. «misterch0c». GitHub (en inglés). Consultado el 15 de abril de 2017.
29. «Microsoft says users are protected from alleged NSA malware» (en inglés estadounidense). Consultado el 15 de abril de 2017.
30. «Protecting customers and evaluating risk» (en inglés estadounidense). Consultado el 15 de abril de 2017.
31. «Microsoft says it already patched 'Shadow Brokers' NSA leaks». Engadget. Consultado el 15 de abril de 2017.
32. «Leaked NSA tools, now infecting over 200,000 machines, will be weaponized for years». CyberScoop. 24 de abril de 2017. Consultado el 24 de abril de 2017.
33. «An NSA-derived ransomware worm is shutting down computers worldwide». 12 de mayo de 2017.
34. Perlroth, Nicole (27 de junio de 2017). «Cyberattack Hits Ukraine Then Spreads Internationally». The New York Times. p. 1. Consultado el 27 de junio de 2017.
35. Sum, Zero (21 de abril de 2017). «zerosum0x0: DoublePulsar Initial SMB Backdoor Ring 0 Shellcode Analysis». zerosum0x0. Consultado el 15 de noviembre de 2017.
36. «Shining Light on The Shadow Brokers» (en inglés estadounidense). 18 de mayo de 2017. Consultado el 15 de noviembre de 2017.
37. «DanderSpritz/PeddleCheap Traffic Analysis» (en inglés estadounidense). 6 de febrero de 2018. Consultado el 7 de febrero de 2018.
38. «Shadow Brokers: The insider theory». 17 de agosto de 2016.
39. «Commentary: Evidence points to another Snowden at the NSA». 23 de agosto de 2016.
40. «Hints suggest an insider helped the NSA "Equation Group" hacking tools leak». 22 de agosto de 2016.
41. Cox, Joseph (12 de enero de 2017). «NSA Exploit Peddlers The Shadow Brokers Call It Quits» (en inglés estadounidense).
42. «Circumstantial evidence and conventional wisdom indicates Russian responsibility. Here's why that is significant». Twitter. 16 de agosto de 2016. Consultado el 22 de agosto de 2016.
43. «This leak is likely a warning that someone can prove US responsibility for any attacks that originated from this malware server». 16 de agosto de 2016. Consultado el 22 de agosto de 2016.
44. «TL;DR: This leak looks like a somebody sending a message that an escalation in the attribution game could get messy fast». twitter.com. Consultado el 22 de agosto de 2016.
45. Price, Rob (16 de agosto de 2016). «Edward Snowden: Russia might have leaked alleged NSA cyberweapons as a 'warning'». Business Insider. Consultado el 22 de agosto de 2016.
46. Eric Lipton, David E. Sanger and Scott Shane (13 de diciembre de 2016). «The Perfect Weapon: How Russian Cyberpower Invaded the U.S.». Consultado el 15 de abril de 2017.
47. Abdollah, Tami (6 de julio de 2019). «Mystery of NSA leak lingers as stolen document case winds up». Associated Press. Archivado desde el original el 6 de julio de 2019.

Enlaces externos

• Esta obra contiene una traducción derivada de «The Shadow Brokers» de Wikipedia en inglés, concretamente de esta versión, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

• Datos: Q27134643