image

Shadow Brokers onthult NSA-exploits voor Windows en Swift

vrijdag 14 april 2017, 14:06 door Redactie, 1 reacties
Laatst bijgewerkt: 14-04-2017, 17:24

De groep hackers die zichzelf Shadow Brokers noemt heeft opnieuw exploits en documenten van de Amerikaanse inlichtingendienst NSA online gezet. Vorige week publiceerde de groep ook al een verzameling NSA-hacktools. De nieuwste verzameling exploits is voor Windows en Swift, het platform waarmee banken transacties uitvoeren, zo blijkt uit de beschrijving op Steemit.

Beveiligingsonderzoeker Kevin Beaumont analyseert de verzameling tools en geeft via Twitter en Medium realtime updates. Uit zijn voorlopige analyse blijkt dat de eerste exploits niet eerder via VirusTotal zijn getest of door virusscanners worden gedetecteerd. Daarnaast denkt de onderzoeker ook een zerodaylek voor Windows XP en Server 2003 te hebben gevonden, maar dit is nog niet bevestigd. Wel maakt hij melding van een remote smb-exploit voor Windows XP en Server 2003 die Stuxnet-achtige malware achterlaat. Ook een andere onderzoeker bevestigt dat de datadump Windows-exploits bevat. Een andere exploit die Beaumont via VirusTotal liet testen werd door Avast als een Stuxnet-variant gedetecteerd. Verder meldt Beaumont dat er een IIS-exploit is die een backdoor opent.

In zijn analyse op Medium laat de onderzoeker weten dat de NSA banken hackt door gebruik te maken van vpn edge gateways, interne Cisco-firewalls om vervolgens de Swift-systemen over te nemen. Op Twitter adviseert Beaumont organisaties dan ook om hun Cisco- en vpn-apparaten te patchen. Onderzoeker Rik van Duijn meldt via Twitter dat de documenten er op lijken te wijzen dat de NSA toegang tot een bank heeft gekregen. Een andere onderzoeker genaamd Matt Suiche meldt dat hij 'hardcoded' wachtwoorden voor de EastNets Swift Service Bureau Interface in de datadump heeft gevonden en dat EastNets-kantoren in Dubai en de Verenigde Arabische Emiraten door de NSA zijn gehackt. EastNets is een aanbieder van compliance, betalings- en cloudoplossingen en -diensten en heeft een groot aantal banken als klant.

Het bedrijf biedt daarbij ook allerlei Swift-diensten aan. De Society for Worldwide Interbank Financial Telecommunication (Swift) is een internationale coöperatieve organisatie voor internationale banktransacties. Banken kunnen via het Swift-systeem transacties uitvoeren. Dat Swift-systemen van banken een doelwit van de NSA zijn meldt ook een onderzoeker met het alias x0rz. Hij vond naar eigen zeggen een NSA-script om Swift-gegevens op Oracle-servers te verzamelen.

Volgens de Shadow Brokers zijn de bestanden afkomstig van de Equation Group. Eerder bleek al uit documenten van klokkenluider Edward Snowden dat de Equation Group zeer sterke banden met de NSA heeft en de malware van deze groep naar de NSA is te herleiden. Shadow Brokers wist een verzameling malware en tools van de Equation Group te bemachtigen en bood die vorig jaar voor omgerekend 5,8 miljoen euro via een veiling te koop aan. Aangezien er geen reacties kwamen besloot de groep de veiling te stoppen.

Update

Beaumont waarschuwt voor twee zerodaylekken, één in Windows XP en Server 2003 en een SMB-exploit voor Windows Server 2008. Met name de RDP-exploit is volgens de onderzoeker gevaarlijk, aangezien er nog veel XP- en 2003-machines met RDP op internet zijn te vinden. Via RDP is het mogelijk om op afstand verbinding met een computer te maken. De exploit maakt misbruik van smartcard-authenticatie om zonder geldige inloggegevens toegang tot een systeem te krijgen.

Image

Reacties (1)
14-04-2017, 14:25 door Anoniem
... en de (nationale?) bank van Banglash was gehekt door Noord-Koreanen...

Geld voor BlackOps wordt gewoon van de bank gehaald;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.