[go: up one dir, main page]

Bước tới nội dung

The Shadow Brokers

Bách khoa toàn thư mở Wikipedia

The Shadow Brokers (TSB) là một nhóm hacker xuất hiện lần đầu tiên vào mùa hè năm 2016.[1][2] Họ công bố một số rò rỉ chứa các công cụ hacker từ Cơ quan An ninh Quốc gia Hoa Kỳ (NSA), bao gồm một số khai thác zero-day [1]. Cụ thể, các khai thác và lỗ hổng này [3][4] nhắm vào các tường lửa doanh nghiệp, các sản phẩm chống virus và các sản phẩm của Microsoft [5]. TSB ban đầu cho biết những rò rỉ là từ nhóm hoạt động đe dọa Equation Group, có liên kết với đơn vị Tailored Access Operations của NSA.[6][7][8][9]

Lịch sử rò rỉ

[sửa | sửa mã nguồn]

Lần rò rỉ đầu tiên: Lời mời đấu giá

[sửa | sửa mã nguồn]

Công bố đầu tiên xảy ra vào ngày 13 tháng 8 năm 2016 với một Tweet từ một tài khoản Twitter "@shadowbrokerss" thông báo một trang và một kho dữ liệu có chứa tham khảo và hướng dẫn để có được và cách giải mã nội dung của một tập tin được cho là chứa các công cụ và khai thác được sử dụng bởi nhóm Equation cũng như lời mời đấu giá.[10]

Lần rò rỉ 2.

[sửa | sửa mã nguồn]

Công bố này, được thực hiện vào ngày 31 tháng 10 năm 2016, chứa một danh sách các máy chủ, được cho là bị tổn thương bởi Equation Group cũng như các tài liệu tham khảo cho bảy công cụ của nhóm này được cho là chưa bị tiết lộ.[11]

Lần rò rỉ 3. Bán qua địa chỉ Bitcoin

[sửa | sửa mã nguồn]

Lần rò rỉ 3. bắt đầu bằng một lời rao bán qua địa chỉ Bitcoin, có chứa 60 thư mục được đặt tên theo một cách để phục vụ như là tham chiếu đến các công cụ có thể được sử dụng bởi Equation Group. Sự rò rỉ không chứa các tập tin thực thi, mà là ảnh chụp màn hình của cấu trúc tệp công cụ. Mặc dù sự rò rỉ có thể là giả mạo, mối liên kết chung giữa các rò rỉ và các tài liệu tham khảo cũng như các công việc cần thiết để giả mạo như vậy, cho thấy lý thuyết cho rằng, các công cụ được tham chiếu là chính xác, là đáng tin cậy.

Lần rò rỉ 4.

[sửa | sửa mã nguồn]

Ngày 8 tháng 4 năm 2017, The Shadow Brokers công bố thêm nữa nhiều công cụ hacking cho là của NSA và cả mật khẩu để mở.[12][13] Bài đăng nói rõ công bố này một phần là để trả lời lệnh tấn công tên lửa vào sân bay Shayrat, mà cũng được lực lượng không quân Nga sử dụng.

Lần rò rỉ 5.

[sửa | sửa mã nguồn]

Ngày 14 tháng 4 năm 2017, The Shadow Brokers đăng một tweet với link[14] tới những tập tin bị rò rỉ với cả mật khẩu. Những công cụ được cho là hiểm độc nhất so với những công bố trước đây.[15][16][17] Trong số đó có EternalBlue,[16][18][19] một khai thác hệ điều hành Windows, mà Microsoft đã cung cấp một hotfix vào ngày 14 tháng 3 năm 2017, một tháng trước khi vụ rò rỉ này xảy ra.[20][21]

EternalBlue

[sửa | sửa mã nguồn]

Hơn 200.000 máy đã bị nhiễm các công cụ từ vụ rò rỉ này trong vòng hai tuần đầu tiên [22] vào tháng 5 năm 2017, mã độc tống tiền WannaCry sử dụng EternalBlue mở cuộc tấn công vào Server Message Block (SMB), một giao thức mạng máy tính của Windows, để tự lây lan.[23]

Phỏng đoán về động cơ và danh tính

[sửa | sửa mã nguồn]

Nghi ngờ về mối quan hệ với Nga

[sửa | sửa mã nguồn]

Edward Snowden tuyên bố trên Twitter vào ngày 16 tháng 8 năm 2016 rằng, "những bằng chứng cụ thể và sự hiểu biết thông thường cho thấy trách nhiệm là của Nga" [24] và rằng, sự rò rỉ "có thể là một cảnh báo rằng, ai đó có thể chứng minh trách nhiệm của Hoa Kỳ đối với bất kỳ vụ tấn công nào có nguồn gốc từ máy chủ phần mềm độc hại này" [25], tóm tắt, có vẻ như "ai đó gửi tin nhắn rằng một sự leo thang trong trò chơi này có thể làm xáo trộn nhanh chóng".[26][27]

Tờ New York Times đưa ra sự kiện này trong bối cảnh các cuộc tấn công trên mạng tới Ủy ban Quốc gia Dân chủ và việc hacker lấy các email của Podesta. Khi các cơ quan tình báo Hoa Kỳ đang cân nhắc các cuộc phản công, việc phát hành mã của The Shadow Brokers được coi là một cảnh báo: "Cứ trả đũa cho DNC, thì sẽ có rất nhiều bí mật, từ vụ tấn công của Bộ Ngoại giao, Nhà Trắng và Pentagon bị lan tràn ra. Một quan chức cấp cao đã so sánh nó với cảnh trong phim Bố già, nơi đầu một con ngựa yêu thích bị bỏ lên giường, như một lời cảnh báo." [28]

Chú thích

[sửa | sửa mã nguồn]
  1. ^ a b Ghosh, Agamoni (ngày 9 tháng 4 năm 2017). 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools”. International Business Times UK. Truy cập ngày 10 tháng 4 năm 2017.
  2. ^ 'NSA malware' released by Shadow Brokers hacker group”. BBC News (bằng tiếng Anh). ngày 10 tháng 4 năm 2017. Truy cập ngày 10 tháng 4 năm 2017.
  3. ^ “Powerful NSA hacking tools have been revealed online”.
  4. ^ “Equation Group - Cyber Weapons Auction - Pastebin.com”. ngày 16 tháng 8 năm 2016. Bản gốc lưu trữ ngày 15 tháng 8 năm 2016. Truy cập ngày 22 tháng 5 năm 2017.
  5. ^ Dan Goodin (ngày 12 tháng 1 năm 2017). “NSA-leaking Shadow Brokers lob Molotov cocktail before exiting world stage”. Ars Technica. Truy cập ngày 14 tháng 1 năm 2017.
  6. ^ “Confirmed: hacking tool leak came from "omnipotent" NSA-tied group”. Ars Technica. Truy cập ngày 14 tháng 1 năm 2017.
  7. ^ “The Equation giveaway - Securelist”.
  8. ^ “Group claims to hack NSA-tied hackers, posts exploits as proof”.
  9. ^ Sam Biddle (ngày 19 tháng 8 năm 2017). “The NSA Leak is Real, Snowden Documents Confirm”. The Intercept. Truy cập ngày 15 tháng 4 năm 2017.
  10. ^ “The Shadow Brokers: Lifting the Shadows of the NSA's Equation Group?”. Bản gốc lưu trữ ngày 28 tháng 6 năm 2017. Truy cập ngày 22 tháng 5 năm 2017.
  11. ^ 'Shadow Brokers' Reveal List Of Servers Hacked By The NSA; China, Japan, And Korea The Top 3 Targeted Countries; 49 Total Countries, Including: China, Japan, Germany, Korea, India, Italy, Mexico, Spain, Taiwan, & Russia”. Fortuna's Corner. ngày 1 tháng 11 năm 2016. Bản gốc lưu trữ ngày 16 tháng 1 năm 2017. Truy cập ngày 14 tháng 1 năm 2017.
  12. ^ theshadowbrokers (ngày 8 tháng 4 năm 2017). “Don't Forget Your Base”. Medium. Truy cập ngày 9 tháng 4 năm 2017.
  13. ^ Cox, Joseph. “They're Back: The Shadow Brokers Release More Alleged Exploits”. Motherboard (bằng tiếng Anh). Vice Motherboard. Truy cập ngày 8 tháng 4 năm 2017.
  14. ^ “Lost in Translation”. Steemit. ngày 14 tháng 4 năm 2017. Truy cập ngày 14 tháng 4 năm 2017.
  15. ^ “Share”. Yandex.Disk (bằng tiếng Anh). Truy cập ngày 15 tháng 4 năm 2017.
  16. ^ a b “NSA-leaking Shadow Brokers just dumped its most damaging release yet”. Ars Technica (bằng tiếng Anh). Truy cập ngày 15 tháng 4 năm 2017.
  17. ^ Larson, Selena (ngày 14 tháng 4 năm 2017). “NSA's powerful Windows hacking tools leaked online”. CNNMoney. Truy cập ngày 15 tháng 4 năm 2017.
  18. ^ “Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows”. Medium. ngày 14 tháng 4 năm 2017. Truy cập ngày 15 tháng 4 năm 2017.
  19. ^ “misterch0c”. GitHub (bằng tiếng Anh). Truy cập ngày 15 tháng 4 năm 2017.
  20. ^ “Microsoft says users are protected from alleged NSA malware”. AP News (bằng tiếng Anh). Truy cập ngày 15 tháng 4 năm 2017.
  21. ^ “Protecting customers and evaluating risk”. MSRC (bằng tiếng Anh). Truy cập ngày 15 tháng 4 năm 2017.
  22. ^ “Leaked NSA tools, now infecting over 200,000 machines, will be weaponized for years”. CyberScoop. Truy cập ngày 24 tháng 4 năm 2017.
  23. ^ “An NSA-derived ransomware worm is shutting down computers worldwide”.
  24. ^ “Circumstantial evidence and conventional wisdom indicates Russian responsibility. Here's why that is significant”. Twitter. ngày 16 tháng 8 năm 2016. Truy cập ngày 22 tháng 8 năm 2016.
  25. ^ “This leak is likely a warning that someone can prove US responsibility for any attacks that originated from this malware server”. ngày 16 tháng 8 năm 2016. Truy cập ngày 22 tháng 8 năm 2016.
  26. ^ “TL;DR: This leak looks like a somebody sending a message that an escalation in the attribution game could get messy fast”. Truy cập ngày 22 tháng 8 năm 2016.
  27. ^ Price, Rob. “Edward Snowden: Russia might have leaked alleged NSA cyberweapons as a 'warning'. Business Insider. Bản gốc lưu trữ ngày 21 tháng 5 năm 2017. Truy cập ngày 22 tháng 8 năm 2016.
  28. ^ Eric Lipton, David E. Sanger and Scott Shane (ngày 13 tháng 12 năm 2016). “The Perfect Weapon: How Russian Cyberpower Invaded the U.S.”. New York Times. Truy cập ngày 15 tháng 4 năm 2017.Quản lý CS1: sử dụng tham số tác giả (liên kết)