Beveiligingsonderzoeker 'The Grugq' heeft een analyse uitgevoerd van een nieuwe publicatie van de Shadowbrokers. Zij publiceerden eerder werkende NSA-exploits voor verschillende firewalls. Volgens de onderzoeker bevat de nieuwe publicatie een uitgebreide verzameling tools.
The Grugq schrijft dat de gegevens meerdere hacktools bevatten, naast exploits en implants. Volgens de onderzoeker was de eerste publicatie van de Shadowbrokers een gespecialiseerde verzameling tools om firewalls te omzeilen. De huidige publicatie bevat echter een grote diversiteit aan uitgebreide tools, waardoor de mogelijkheid bestaat dat het om zogenaamde 'high side'-gegevens gaat. Dat zijn gegevens die op geheime en beschermde NSA-systemen staan.
De tools zijn voorzien van veel documentatie en richten zich op een groot aantal systemen. Zo zijn er honderden voorgecompileerde implants, die geschikt zijn voor uiteenlopende besturingssystemen. Het beveiligingsbedrijf Hacker House merkt in een eigen analyse op dat een opvallend groot deel van de gepubliceerde exploits zich op Solaris-systemen richt. Een van de tools, genaamd 'Ebbisland', zou geschikt zijn om elke Solaris-server met toegankelijke rpc-diensten binnen te dringen. Volgens The Grugq zijn de tools echter allemaal vrij oud.
Desalniettemin zou de publicatie een 'stomp in de maag' voor de NSA zijn. De onderzoeker schat in dat de gegevens niet door een fout het netwerk van de NSA hebben verlaten, omdat zij daarvoor te uitgebreid zijn. Geen enkele medewerker zou zodanig onachtzaam zijn dat hij dergelijke tools per ongeluk vrij zou geven.
De data wordt door de Shadowbrokers te koop aangeboden op een site op het gedecentraliseerde ZeroNet. Eerder waren de gegevens via een veiling te koop, maar daarmee hadden de Shadowbrokers geen succes. De losse gegevens, waaronder de exploits,
De Shadowbrokers publiceerden in augustus een aantal bestanden zonder om betaling te vragen. Later bleek dat de database werkende exploits voor firewalls van onder andere Cisco en Fortinet bevatte.
Bron: Tweakers.net