De hackinggroep die zichzelf The Shadowbrokers noemt, heeft opnieuw een lading hackingtools vrijgegeven. Het gaat om dezelfde tools waarvoor de groep 10.000 bitcoin wilde zien, maar die hebben ze niet gekregen en ze geven de dataset nu weg.

In een post op Medium kondigt de groep het vrijgeven aan. Ze stellen in gebrekkig Engels dat de hackingtools nu geopenbaard worden omdat president Trump, op wie de groep zelf ook gestemd zou hebben, zich niet meer zou houden aan de beloftes die hij tijdens zijn verkiezingscampagne maakte. Dit wordt opgevolgd door meerdere lange alinea's met kritiek en suggesties over zijn beleid. Dit is opvallend, want eerder nog stelde de groep dat hun politieke uitingen er alleen maar toe dienden om aandacht te vragen.

Het wachtwoord CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN staat sinds zaterdag online en security-onderzoekers zijn veelal nog bezig met in kaart brengen hoe potent de tools precies zijn en waarop ze gericht kunnen worden. Volgens TechCrunch lijkt het vooral te gaan om oudere en weinig gebruikte systemen. Tot nog toe lijkt er niets aangetroffen te zijn dat beter zou zijn dan de geavanceerde Stuxnet-malware. The Shadowbrokers beweerden wel dat ze zoiets in handen zouden hebben.

Klokkenluider en ex-NSA-medewerker Edward Snowden zegt op Twitter echter dat het in de verste verte niet gaat om het volledige arsenaal aan hackingtools dat van de NSA gestolen zou zijn. "Het is echter wel meer dan genoeg voor de NSA om in een oogwenk vast te stellen waar de data vandaan komt en hoe ze het kwijt zijn geraakt", vult hij aan. Een voormalige NSA-medewerker staat ook voor de rechter omdat hij ervan verdacht wordt de tools te hebben gelekt.

Het Amerikaanse beveiligingsbedrijf RevBits analyseerde de gelekte bestanden en ontdekte verschillende exploits voor cPanel en Avaya Call Server, alsmede een exploit voor Postfix. Daarnaast heeft het bedrijf ook een lijst openbaar gemaakt van servers die mogelijk door de NSA zijn gehackt en gebruikt voor het aanvallen van verdere doelen. In totaal gaat het om zo'n 900 gehackte servers, waaronder verschillende Nederlandse servers. Het gaat echter om dezelfde Nederlandse domeinen die vorig jaar al in de NSA-bestanden werden ontdekt.

In augustus van 2016 lieten de Shadowbrokers voor het eerst iets van zich horen. Ze postten een kleine set met hackingtools op GitHub die afkomstig zijn van de Equation Group, een groep hackers die volgens Kaspersky 'op het gebied van complexiteit en kennis alles overtreft wat tot nu toe bekend is, en die al twintig jaar actief is'. De groep zou banden hebben met de NSA. The Shadowbrokers wilden aanvankelijk de volledige set hackingtools verkopen aan de hoogste bieder, maar dat plan mislukte. Een crowdfundingactie met bitcoin leverde ook niet het gewenste resultaat op. Vandaar dat de groep nu als protestactie alsnog de data online zet.

Bron: Tweakers.net & Security.nl