De EternalBlue-exploit van de NSA die eerder door de WannaCry-ransomware en Adylkuzz-miner werd gebruikt wordt nu ook door aanvallers ingezet om servers met een backdoor te infecteren. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye.

De EternalBlue-exploit maakt gebruik van een SMB-lek in Windows. Zodra de nu waargenomen aanvallers via deze kwetsbaarheid toegang tot een machine hebben verkregen openen ze een shell om instructies in een VBScript-bestand te zetten. Dit bestand wordt uitgevoerd en downloadt de uiteindelijke lading van een andere server. Het gaat om de Gh0st RAT (remote acces trojan) en de Nitol-backdoor. Het exemplaar van de Gh0st RAT bleek met een geldig digitaal certificaat te zijn gesigneerd. Iets dat volgens de onderzoekers steeds vaker voorkomt.

De Amerikaan die ervan verdacht wordt geheimen van de inlichtingendienst NSA te hebben gestolen, heeft mogelijk 75 procent van de geavanceerde TAO-hacktools weggesluisd. De man werkte via Booz Allen Hamilton bij de TAO-afdeling van de NSA.

Het Openbaar Ministerie dient waarschijnlijk deze week de aanklacht in tegen Harold T. Martin III, schrijft The Washington Times. De man werd op 29 augustus gearresteerd en wordt ervan verdacht twintig jaar lang geheimen te hebben meegenomen van de verschillende overheidsdiensten waar hij werkte. Het zou om duizenden pagina's aan materiaal en zo'n vijftig terabyte aan data gaan.

Via de thuiscomputer van een onderaannemer zijn volgens de WSJ opnieuw geheime documenten van de Amerikaanse inlichtingendienst NSA ontvreemd. Het zou om details gaan over hoe de NSA netwerken binnendringt.

De hack van de thuiscomputer van de onderaannemer vond in 2015 plaats, maar zou pas in de lente van dit jaar ontdekt zijn. Bronnen van de WSJ meldden het incident aan de krant. Onder het gestolen materiaal zouden details zijn over hoe de NSA binnendringt in netwerken in het buitenland, welke code het gebruikt voor spionage en hoe het netwerken in de VS beschermt.