De Amerikaanse geheime dienst NSA blijkt jarenlang andere hackers te hebben gemonitord op systemen die het zelf had gehackt. Dat melden onderzoekers van CrySyS Lab aan de hand van onderzoek naar scripts die vorig jaar door de hackersgroep Shadow Brokers openbaar werden gemaakt.
De Shadow Brokers hadden allerlei bestanden van de NSA in handen gekregen, waaronder zeroday-lekken, documenten, tools en scripts die de Amerikaanse geheime dienst bij operaties gebruikte. De kwetsbaarheden en exploits waar de NSA over beschikte kregen de meeste aandacht, maar de tools en scripts zijn net zo interessant, aldus de onderzoekers die vrijdag tijdens een beveiligingsconferentie van Kaspersky Lab hun bevindingen zullen presenteren. Details zijn echter al met The Intercept gedeeld.
De scripts en tools laten zien dat de NSA in 2013 op z'n minst 45 verschillende Advanced Persistent Threats (APT's) volgde. APT's worden vaak omschreven als aanvallers die in opdracht van een staat hacken. Het monitoren van deze groepen door de NSA had verschillende redenen, zo laten functionarissen aan The Intercept weten. Zo moest het de eigen operaties van de NSA beschermen, maar kon de Amerikaanse geheime dienst ook zien wat andere hackers stalen en hoe ze dit deden. Daarnaast hielp het de NSA om waardevolle doelwitten te vinden in regio's waar het minder inzicht had in wat de beste machines waren.
Securitybedrijven geven APT's vaak namen of nummers, zoals Fancy Bear of APT28. De NSA werkte echter met andere afkortingen. De onderzoekers van CrySyS Lab hebben echter de APT-namen van securitybedrijven aan die van de NSA weten te koppelen. Zo blijkt dat de NSA verschillende groepen volgde met namen als Snake, Dark Hotel en Duqu. "Gebaseerd op de onderzoeksresultaten zullen sommige aanvallen, exemplaren of zelfs honderden exemplaren als onderdeel van een APT-aanval kunnen worden geïdentificeerd, die voorheen gedeeltelijk of geheel onbekend waren", aldus de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.