Найдена еще одна APT-группа в деле об утечке АНБ и Shadow Brokers

Дата: 27.04.2020. Автор: CISOCLUB. Категории: Новости по информационной безопасности
Найдена еще одна APT-группа в деле об утечке АНБ и Shadow Brokers

Эксперт в сфере интернет-безопасности обнаружил упоминание еще одной APT-группы в резонансном деле трехлетней давности. Хакеры из группировки Shadow Brokers в 2017 г. представила публике инструменты для взлома, что привело вызвало в IT-пространстве большую шумиху. Shadow Brokers – хакерская группировка, получившая известность в 2016 г. Она занималась взломами информационных систем АНБ, после чего продавала и публиковала в открытый доступ найденные данные. Всего отмечается 5 утечек, которые были последовательно опубликованы в 2017 г. хакерской группой.

Набор был назван Lost in Translation. В него было включено несколько десятков инструментов для взлома и эксплойтов, которые были украдены хакерами из Shadow Brokers у американского Агентства национальной безопасности. Эксперты со всего мира логично предполагают, что американские власти применяли их, что взламывать ресурсы и официальные сервисы других стран. После публикации набора инструментов хакерами наиболее внимание было приковано к эксплойту ETERNALBLUE, который был основной для вредоносных атак NotPetya и WannaCry.

Только спустя три года эксперты обнаружили не менее интересный файл, который был найден в наборе от Shadow Brokers. Предполагается, что файл под названием «sigs.py» является важнейшим элементом сферы кибершпионажа. По мнению экспертов, найденный файл представлен в виде стандартного вредоносного сканера, который использовался американским Агентством национальной безопасности, чтобы идентифицировать сторонние ATP-группы во взломанных сетях.

В файле – 44 сигнатуры для обнаружения инструментов, используемых крупными мировыми группировки, работающими в области киберпреступности. По состоянию на апрель 2020 г. только 3 сигнатуры до сих пор не опознали – специалисты пока не поняли, к какому хакерскому инструменту их можно приписать.

Не так давно, во время конференции OPCDE, один из участников смог определить сигнатуру под порядковым номером 37. После небольшого исправления специалист отнес найденный код к деятельности группировки Iron Tiger из Китая. Этим участником был Хуан Адрес Герреро, ранее работавший в Google и «Лаборатории Касперского». На этой неделе специалист опубликует детали по своему открытию в отчете.

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *