Die im Herbst 2016 mit einem Auktionsangebot von mutmaßlichen NSA-Hacking-Tools in Erscheinung getretene Gruppe „Shadowbroker“ haben nach einem kürzlich veröffentlichten erneuten Verkaufsangebot wenige Tage später ihre Auflösung bekannt gegeben. Das letzte Angebot wurde für 750 Bitcoins (ca. eine halbe Million Euro) angeboten und sollte unzählige Expoits für Windows-Systeme enthalten. Einschätzung von IT-Forensiker zufolge soll darunter auch mindestens ein Zero-Day-Exploit gewesen sein:
“Note that most of the tools have apparently been through multiple revisions, adding apparent legitimacy to the claim that these exploits are real,” Williams said. “Though another screenshot hints at a possible zero day SMB exploit, there’s no indication of which exploit names involve SMB (or any other target service).” (Q: Threatpost / lokale Kopie)
Anders als bei vorherigen Angeboten wurden diesmal jedoch keine Datei-Samples für die Verifikation der zum Verkauf stehenden Tools angeboten, sondern nur Screenshots. Darunter befindet sich auch der Verweis auf eine Software zum Manipulieren der System-Log-Daten eines Windows-Rechners. Eine solche Software – sofern sie echt ist – wird unter Experten als sehr hochentwickelt angesehen:
“While we understand that event logs can be cleared and event logging stopped, surgically editing event logs is usually considered to be a very advanced capability (if possible at all). We’ve seen rootkit code over the years (some was published on the now defunct rootkit.com) that supported this feature, but often made the system unstable in the process,” Williams said. “Knowing that some attackers apparently have the ability to edit event logs can be a game changer for an investigation. If Shadow Brokers release this code to the world (as they’ve done previously), it will undermine the reliability of event logs in forensic investigations.” (Q: Threatpost / lokale Kopie)
Die Authentizität der vorherigen Angebote gilt mittlerweile als bestätigt. Entgegen der Behauptung der Gruppe, diese Daten einer NSA-Einheit namens „Equation Group“ entwendet zu haben, gehen Fachkreise und Geheimdienste allerdings von einem Insider-Leak dieser Daten aus.
Wenige Tage nach dem Angebot der Exploits hat die Gruppe ihre Auflösung bekannt gegeben und Kommunikations- und Auktions-Accounts gelöscht, allerdings mit dem Hinweis, dass ein Angebot über weitere unzählige Windows- und Linux-Exploits nach wie vor gültig und über eine Zahlung an eine bestimmte Bitcoin-Adresse eingelöst werden könnte:
So long, farewell peoples. TheShadowBrokers is going dark, making exit. Continuing is being much risk and bullshit, not many bitcoins. TheShadowBrokers is deleting accounts and moving on so don’t be trying communications. Despite theories, it always being about bitcoins for TheShadowBrokers. Free dumps and bullshit political talk was being for marketing attention. There being no bitcoins in free dumps and giveaways. You are being disappointed? Nobody is being more disappointed than TheShadowBrokers. But TheShadowBrokers is leaving door open. (Q: bit.no.com / lokale Kopie).
Über die Identität der Gruppe ist – zumindestens offiziellen Angaben zufolge – nichts bekannt geworden, ebenso wenig wie über tatsächliche Verkäufe. Allerdings kann man davon ausgehen, dass interessierte Kreise sicher andere Wege als eine, für alle öffentlich einsehbare und nachvollziehbare Überweisung von Bitcoins in deren sog. Blockchain verfügen.
Alle Details können im aktualisieren Eintrag in der Datenbank relevanter Vorfälle nochmals nachgelesen werden.