Activity

  • Foster Justesen posted an update 6 years ago

    Acum câțiva ani, când grupul misterios de hacking "The Shadow Brokers" a aruncat o masivă masă de date sensibile furate de la agenția americană de informații NSA, toată lumea a început să caute instrumente de hacking secrete și explozii de zi zero.

    Un grup de cercetători de securitate maghiari din CrySyS Lab și Ukatemi a dezvăluit acum că depozitul NSA nu conține numai explozii de zi zero folosite pentru a prelua controlul asupra sistemelor vizate, ci include și o colecție de scripturi și instrumente de scanare pe care agenția le folosește pentru a urmări operațiunile hackerilor din alte țări.

    Potrivit unui raport publicat astăzi de Intercept, echipa specializată a NSA, cunoscută sub numele de Dispute Teritorială (TeDi), a elaborat câteva scripturi și instrumente de scanare care ajută agenția să detecteze alte hackeri de stat pe mașinile vizate pe care le infectează.

    Agenții hackeri NSA au folosit aceste instrumente pentru a scana sistemele vizate pentru "indicatori de compromis" (IoC) pentru a-și proteja propriile operațiuni de expunere, precum și pentru a afla ce furt actori străini fură și care tehnici de hacking pe care le folosesc.

    "Atunci când NSA hackes mașinile în Iran, Rusia, China și în alte părți, operatorii săi doresc să știe dacă spionii străini se află în aceleași mașini, deoarece acești hackeri pot să fure instrumentele NSA sau să spioneze activitatea NSA în mașini".

    "Dacă ceilalți hackeri sunt zgomotoși și nesăbuiați, ei pot provoca, de asemenea, ca operațiunile NSA să fie expuse. Deci, bazându-se pe cine altcineva se află pe o mașină, ANS ar putea decide să se retragă sau să procedeze cu precauție extraordinară".

    Echipa Spațiului Teritorial NSA menține o bază de date cu semnături digitale, cum ar fi amprentele digitale pentru fișiere și fragmente din diverse grupuri de hacking, pentru a urmări operațiile APT pentru atribuire.

    De asemenea, se pare că hackerii NSA au urmărit unele dintre instrumentele de la Hotel Dark în 2011 – cam cu 3 ani înainte de a comunității de

    securitate cibernetica mai largă a descoperit grupul de hacking.

    Dark Hotel este un grup sofisticat de spionaj cibernetic, considerat a fi din Coreea de Sud, cunoscut pentru faptul că vizează rețelele Wi-Fi ale hotelului pentru a spiona directori de nivel înalt la organizații din industria de producție, apărare, capital de investiții, private equity, industria automobilelor și alte industrii.

    Grupul de cercetatori a planuit sa isi lanseze constatarile despre scripturile NSA si instrumentele de scanare in aceasta saptamana la summit-ul Kaspersky Security din Cancun, care ar ajuta alti cercetatori sa sapata datele si sa identifice mai multe grupuri APT pe care NSA le vaneaza.

    Echipa spera, de asemenea, ca informatiile sa ajute comunitatea sa clasifice anumite eșantioane malware si semnaturi care au fost descoperite anterior de catre comunitatea de securitate, dar raman neatribuite unui grup specific de amenintari, deoarece cercetatorii nu stiu la ce grup de hacking avansat fac parte ". Interceptul spune.

    Cryptography and Security System (CrySyS Lab) este cel mai bine cunoscut pentru descoperirea unui instrument de spionaj israelian numit Duqu în 2011, despre care se credea că este dezvoltat de aceiași hackeri israelieni care au ajutat SUA să dezvolte infamul malware Stuxnet pentru sabotarea programului nuclear iranian.

Posted in