Группировка The Shadow Brokers рассылает новые эксплоиты и угрожает бывшему сотруднику АНБ
Еще в мае 2017 года группа The Shadow Brokers, ранее опубликовавшая в открытом доступе хакерский инструментарий АНБ, заявила, что в ее распоряжении имеется еще немало ценной информации и эксплоитов. После шумихи, поднятой WannaCry, злоумышленники вновь попытались монетизировать попавшие в их руки данные и предложили всем желающим подписаться на новый сервис «Ежемесячный дамп The Shadow Brokers», чье название говорит само за себя.
Для оформления «подписки» нужно было перевести 100 Zcash (около 22 000 долларов на тот момент) на определенный кошелек и указав email-адрес для доставки контента. Группировка обещала, что каждый месяц будет публиковать новые эксплоиты для своих подписчиков, в том числе эксплоиты для роутеров, браузеров, мобильных устройств, Windows 10, а также скомпрометированные данные из сетей провайдеров SWIFT и банков и скомпрометированные данные о ядерных и ракетных программах России, Китая, Ирана и Северной Кореи.
Теперь, в свете массовых атак Petya, группировка сообщила, что с июньской «рассылкой» все прошло отлично, и набралось «много-много подписчиков», но в июле цены вырастут до 200 ZEC (Zcash) или 1000 XMR (Monero), то есть 46 000 — 64 000 долларов по текущему курсу. Также злоумышленники сообщили, что постараются предоставить своим «клиентам» VIP-сервис: эксплоит для любой специфической уязвимости на заказ за 400 ZEC (в настоящий момент это примерно 130 000 долларов). По информации The Shadow Brokers, их VIP-сервисом уже кто-то воспользовался, однако никаких гарантий группировка не дает. Ведь в распоряжении хакеров может попросту не оказаться нужного эксплоита.
Также в своем новом послании группа обращается к человеку, которого называет doctor. Хакеры верят, что этот человек является бывшим сотрудником Equation Group (группа, которую обокрали The Shadow Brokers, чья связь с АНБ давно доказана). The Shadow Brokers пишут, что некогда doctor создал множество хакерских инструментов, взламывал компании в Китае, а теперь стал главой собственной ИБ-компании, привлекшей хорошие инвестиции. Судя по всему, в твиттере Doctor писал крайне нелестные послания в адрес The Shadow Brokers, после чего удалял их. Теперь злоумышленники угрожают раскрыть его настоящую личность, если он не «оформит подписку» на июльский дамп группы с адреса doctor@имя-компании.com.
С журналистами издания Bleeping Computer связался пользователь, известный в твиттере как Drwolfff. Он сообщил, что под именем doctor хакеры подразумевают именно его. Drwolfff рассказал, что никогда не был сотрудником Equation Group и не имеет собственного ИБ-стартапа, однако ранее он действительно разрабатывал различные решения для АНБ. Также он признал, что потешался над фальшивым «акцентом» The Shadow Brokers (все послания группы написаны на нарочито ломанном английском языке).
Apparently @shadowbrokerss threatened me in his new post. 1) don't feed trolls. 2) I was never equationgroup. 3) let's meet in vegas
— Daniel R. Wolfford (@drwolfff) June 28, 2017
Drwolfff пишет, что он не опасается за себя и свои данные, и не собирается подписываться на сервис злоумышленников, однако он подозревает, что хакеры ошиблись и могли связать с его аккаунтом какого-то другого, совершенно постороннего человека. Drwolfff пишет, что теперь ему, возможно, придется устроить доксинг самому себе, чтобы защитить невинных людей. Учитывая, что в данный момент в профиле Drwolfff появилось настоящее имя (Daniel R. Wolfford) и страна проживания (Абу-Даби), свое обещание он уже выполнил.
To protect the innocent and prevent further false accusations, I will dox myself tomorrow. Nobody makes me bleed my own blood except me 4/4
— Daniel R. Wolfford (@drwolfff) June 28, 2017