Kaspersky: Krypterings-konstant underbygger påstand om NSA-hack

Shadow Brokers påstår at have kompromitteret infrastruktur, som er linket til NSA. Og der er nok noget om snakken, peger sikkerhedsanalyse på.

Forleden kunne en hackergruppe, der kalder sig Shadow Brokers, fremvise malware på nettet, der angiveligt skulle stamme fra kompromitteringen af en anden hackergruppe kaldet Equation-gruppen.

Og denne gruppe menes at være knyttet til den amerikanske efterretningstjeneste, National Security Agency (NSA).

Men i cyberspace kan enhver jo i udgangspunktet påstå, at de har hacket hvem som helst. I dette tilfælde er der alligevel kodesammenfald, der kan indikere, at det faktisk er den NSA-tilknyttede hackergruppe, der er blevet kompromitteret.

Det fortæller The Register, blandt andet på baggrund af en analyse fra den russiske it-sikkerhedsvirksomhed Kaspersky Lab.

Shadow Brokers har frigivet mere end 300 filer, der demonstrerer en vifte af exploits mod firmaer som Cisco og Fortinet, samt værktøjer, der ifølge The Register er kendt for at være en del af NSA's arsenal.

Sidste år kunne Kaspersky Lab afsløre, at Equation Group med stor sikkerhed var en statsstøttet aktør. Og på baggrund af en analyse af gruppens aktiviteter konkluderede Kaspersky Lab, at der med stor sandsynlighed var tale om en del af NSA.

Equation-gruppen havde indtil februar sidste år udført globale og sofistikerede hacker-kampagner, herunder overskrivning af firmwaren i harddiske med ondsindet software, der ikke umiddelbart kan slettes.

Læs også: Harddisken skal smadres fysisk: Udødelig malware kan også florere i Danmark

Gruppens angreb skulle være gået upåagtet hen i hele 14 år.

De Kaspersky-analytikere, der i sin tid var med til at blotlægge Equation-gruppens aktiviteter, mener nu, at det er denne gruppe, der er blevet kompromitteret af Shadow Brokers.

»Kode-ligheden får os til at tro med stor sikkerhed, at værktøjerne fra Shadow Brokers læk er relateret til malware fra Equation-gruppen,« oplyser Kaspersky-analytikerne i et indlæg.

RC5 og RC6

Udsagnet bygger analytikerne på den måde, hvorpå krypteringsaltoritmerne RC5 og RC6 er implementeret.

Både i de filer, Shadow Brokers har lækket, og i filer fra Equation-gruppen bliver konstanten ‘0x61C88647’ anvendt i forbindelse med implementeringen af RC5 og RC6.

I de fleste offentligt tilgængelige implementeringer af RC5 og RC6 er konstanten ifølge Kaspersky-indlægget ‘0x9E3779B9’.

På udvikler-forummet Stackoverflow bemærker en bruger, at '0x61c88647'-konstanten dog også bliver anvendt i Java-kode i JDK 8.

»De dumpede filer indeholder mere end 20 forskellige kompilerede versioner af RC5/RC6-koden i Equation-gruppens malware,« fortæller Kaspersky-analytikerne.

Selv om Kaspersky-analysen er korrekt, betyder det dog ikke - bemærker The Register - at NSA er blevet hacket eller kompromitteret i traditionel forstand.

Der er ifølge mediet snarere tale om en kompromittering af en Command and Control-server tilbage i 2013, som de netop lækkede exploits og værktøjer har ligget på.

Denne pointe skulle være bekræftet af analyser af timestamps fra filerne. Kaspersky-indlægget oplyser, at de fleste filer er tre år gamle, og den seneste ændring er foretaget i oktober 2013.

Snowden flygtede i 2013

Den tidligere NSA-analytiker Edward Snowden flygtede ifølge Wikipedia fra USA til Hongkong i maj 2013, hvorefter NSA-afsløringerne begyndte at tage fart i juni. Snowden selv har i en stribe Twitter-indlæg kommenteret Shadow Brokers' offentliggørelse.

Her peger han blandt andet på, at den offentliggørelse, han stod bag, kan have fået NSA til at skifte rundt i deres servere. Og det har ifølge whistlebloweren sat en stopper for angribere, der havde fået foden indenfor i Equation-gruppens C&C-servere.

På Twitter er Snowden desuden inde på, at dumpet fra Shadow Brokers kan være tænkt som en advarsel fra russisk side mod, at NSA gør gengæld på baggrund af kompromitteringen af partiet Demokraternes netværk, som flere har peget på, at Rusland står bag.


Advarslen skulle ifølge Snowden bestå i, at folkene bag NSA-server-hacket fremover vil kunne koble den amerikanske efterretningstjeneste til operationer mod eksempelvis allierede.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere