Há alguns anos, quando o misterioso grupo de hackers ' The Shadow Brokers ' descartou uma enorme quantidade de dados sensíveis roubados da agência de inteligência norte-americana NSA, todos começaram a procurar ferramentas de hacking secretas e explorações de zero-dia .
Um grupo de pesquisadores húngaros de segurança da CrySyS Lab e Ukatemi já revelou que o despejo da NSA não contém apenas explorações de dia zero usadas para assumir o controle de sistemas direcionados , mas também incluem uma coleção de scripts e ferramentas de digitalização que a agência usa para rastrear operações de hackers de outros países.
De acordo com um relatório publicado hoje pela Intercept, a equipe especializada da NSA conhecida como Disputa Territorial (TeDi) desenvolveu alguns scripts e ferramentas de digitalização que ajudam a agência a detectar outros hackers do estado-nação nas máquinas direcionadas que infecta.
Os hackers da NSA usaram essas ferramentas para escanear sistemas direcionados para "indicadores de compromisso" (IoC) para proteger suas próprias operações de serem expostos, bem como para descobrir quais atores de ameaças estrangeiras estão roubando e quais técnicas de hacking estão usando.
"Quando a NSA persegue máquinas no Irã, na Rússia, na China e em outros lugares, seus operadores querem saber se os espiões estrangeiros estão nas mesmas máquinas porque esses hackers podem roubar ferramentas NSA ou espionar a atividade NSA nas máquinas", informa a publicação.
"Se os outros hackers são barulhentos e imprudentes, eles também podem fazer com que as próprias operações da NSA se exponham. Então, com base em quem mais está em uma máquina, a NSA pode decidir retirar ou proceder com cautela extra".A equipe de Disputas Territoriais da NSA mantém um banco de dados de assinaturas digitais, como impressões digitais para arquivos e fragmentos de vários grupos de hackers, para acompanhar operações de APT para atribuição.
De acordo com os pesquisadores, quando os Shadow Brokers conseguiram piratear as redes NSA e roubaram uma coleção de arquivos sensíveis em 2013, a agência estava rastreando pelo menos 45 diferentes grupos de APT patrocinados pelo estado.
Parece também que os hackers da NSA estavam rastreando algumas das ferramentas do Dark Hotel em 2011 - cerca de 3 anos antes da comunidade de segurança mais ampla descobriu o grupo de hackers.
Dark Hotel é um sofisticado grupo de espionagem cibernética que se acredita ser da Coréia do Sul, bem conhecido por ter alvejado redes Wi-Fi do hotel para espionar executivos de nível superior em organizações na área de fabricação, defesa, capital de investimento, private equity, automotivo e outras indústrias.
O grupo de pesquisadores planejou divulgar suas descobertas dos scripts NSA e ferramentas de digitalização nesta semana na Kaspersky Security Summit em Cancun, o que ajudaria outros pesquisadores a escavar os dados e a identificar mais grupos da APT que a NSA está caçando.
"A equipe também espera que a informação ajude a comunidade a classificar algumas amostras de malware e assinaturas que já foram descobertas pela comunidade de segurança, mas ainda não foram atribuídas a um grupo específico de ameaças porque os pesquisadores não sabem a qual grupo de hacking avançado eles pertencem", o Intercept diz.Criptografia e segurança do sistema (CrySyS Lab) é mais conhecida por descobrir uma ferramenta de espionagem israelense chamada Duqu em 2011, que se acreditava ser desenvolvida pelos mesmos hackers israelenses que tomaram a ajuda dos EUA para desenvolver o infame malware Stuxnet por sabotar o programa nuclear iraniano.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário