De verzameling exploits, malware en andere kwaadaardige software die deze week door iemand of een groep die zichzelf Shadow Brokers noemt online werd gezet is van de Amerikaanse inlichtingendienst NSA afkomstig, zo blijkt uit nieuw geopenbaarde documenten van NSA-klokkenluider Edward Snowden.
Volgens Shadow Brokers waren de bestanden van de Equation Group, een aan de NSA-gelieerde spionagegroep. Uit de documenten van Snowden blijkt nu dat de malware van de NSA afkomstig is. Het gaat om een handleiding van de inlichtingendienst voor het installeren van malware. Dit document is nu door Snowden openbaar gemaakt. In deze handleiding wordt beheerders uitgelegd dat ze hun malware via de specifieke karakterreeks "ace02468bdf13579" kunnen volgen. Deze karakterreeks komt ook voor in de datadump van Shadow Brokers in code die met hetzelfde programma genaamd "SECONDDATE" wordt geassocieerd. Dat heeft The Intercept bekendgemaakt.
SECONDDATE speelt volgens het medium een belangrijke rol bij een complex wereldwijd systeem van de NSA om besmette computers te monitoren. Volgens een NSA-document gaat het om miljoenen computers in allerlei landen. SECONDDATE is een tool ontworpen om webrequests te onderscheppen en browsers vervolgens naar een NSA-webserver door te sturen. Deze server probeert vervolgens de computer met malware te infecteren.
De ontdekking wijst volgens experts ook op het risico van zero day-lekken die door inlichtingendiensten geheim worden gehouden. Een van de gevonden exploits in de datadump van Shadow Brokers bevat namelijk een exploit voor een onbekend beveiligingslek in de netwerkapparatuur van Cisco. De NSA blijkt dus nu al jaren over deze ernstige kwetsbaarheid te beschikken, zonder Cisco, wat een Amerikaans netwerkbedrijf is, hierover te informeren zodat het klanten kan beschermen. Hieronder een screenshot van de NSA-handleiding en rechts een deel van de Shadow Brokers datadump.
Deze posting is gelocked. Reageren is niet meer mogelijk.