В одном из наших постов, который был посвящен скомпрометированным данным кибергруппировки Equation Group, указывалось, что достоверность этих данных смог подтвердить один из ex-сотрудников NSA TAO. Другим индикатором достоверности послужил факт присутствия в архиве с данными 0day эксплойта EXTRABACON для сетевых устройств Cisco и схема именования директорий в каталоге эксплойтов. Однако, журналисты издания The Intercept, которые ранее публиковали разоблачающие NSA документы Сноудена, приводят серию других неопровержимых доказательств того, что архив Shadow Brokers действительно содержит данные кибергруппировки, которая имеет прямое отношение к NSA и известна под названием Equation Group.
Речь идет о связи одной из вредоносных программ кибергруппы под названием SECONDDATE с теми исходными текстами, которые представлены в архиве хакеров Shadow Brokers. Ниже дано небольшое описание функций SECONDDATE, которое было взято из секретных, ранее не публиковавшихся документов Сноудена.
SECONDDATE is a tool designed to intercept web requests and redirect browsers on target computers to an NSA web server. That server, in turn, is designed to infect them with malware. SECONDDATE’s existence was first reported by The Intercept in 2014, as part of a look at a global computer exploitation effort code-named TURBINE. The malware server, known as FOXACID, has also been described in previously released Snowden documents.
Далее приводится скан самого секретного документа, в котором речь идет о специальной константе в коде SECONDDATE, фигурирующей в одной из вредоносных программ архива Shadow Brokers.
Константа представляет из себя специальную строку, которую надлежит использовать в качестве идентификатора MSGID. Строка может быть жестко зашита в теле вредоносной программы, что можно увидеть на примере 14 различных файлов из архива Shadow Brokers. Один из таких файлов имеет название SecondDate-3021.exe. Ниже на скриншоте можно увидеть эту строку в теле исполняемого файла.
В архиве можно обнаружить 47 различных файлов, которые имеют отношение к вредоносному ПО SECONDDATE, включая, различные версии его модулей, а также инструкции для его использования. Как отмечает The Intercept, SECONDDATE, на самом деле, является всего лишь компонентом более масштабного шпионского ПО NSA под названием BADDECISION. Ниже приведены слайды секретной презентации NSA, которые недавно были опубликованы изданием.
На втором слайде показано использование атакующими компонента SECONDDATE, который используется для перенаправления трафика в системе жертвы. BADDECISION использовался в кибероперациях США в Пакистане и Ливане.
Автор: ESET NOD32
