Strumenti di hacking trapelati appartengono alla NSA, confermano i nuovi documenti di Snowden

I documenti di Snowden confermano che lo strumento di hacking della NSA è stato compromesso dal gruppo di hacker Shadow Brokers

Un misterioso gruppo chiamato “The Shadow Brokers” ha pubblicato online quello che sembrava essere alcuni degli strumenti di hacking della National Security Agency (NSA) lo scorso venerdì. Da allora, gli esperti hanno cercato di scoprire se alcuni degli potenti strumenti di hacking dell’agenzia di spionaggio degli Stati Uniti fossero stati effettivamente compromessi.

Secondo The Intercept, questi strumenti sono citati in documenti trapelati dal whistleblower della NSA Edward Snowden. Ieri, The Intercept ha riportato che i documenti recentemente rilasciati dal cache di documenti trapelati da Snowden sembrano ora confermare che l’archivio di 301MB di strumenti di hacking, exploit e dati della NSA è effettivamente autentico.

Gli strumenti di hacking provengono da quello che viene chiamato il “Gruppo Equation”, un altro gruppo di hacker a lungo ritenuto un ramo della NSA. Gli hacker che hanno trapelato gli strumenti di hacking della NSA hanno affermato di aver pubblicato solo alcuni degli strumenti che erano riusciti ad ottenere, e hanno richiesto milioni di dollari di riscatto per il resto.

Ecco la prova da The Intercept:

“Le prove che collegano il dump di ShadowBrokers alla NSA provengono da un manuale dell’agenzia per l’impianto di malware, classificato top secret, fornito da Snowden e non precedentemente disponibile al pubblico. Il manuale provvisorio istruisce gli operatori della NSA a tenere traccia dell’uso di un programma malware utilizzando una specifica stringa di 16 caratteri, ‘ace02468bdf13579’. Quella stessa stringa appare in tutto il leak di ShadowBrokers nel codice associato allo stesso programma, SECONDDATE.”

In altre parole, la stringa è apparsa anche in 14 file diversi trapelati come parte del dump di dati di ShadowBrokers, incluso un file etichettato SecondDate-3021.exe.

Lo strumento consente alla NSA di effettuare attacchi “man-in-the-middle” contro computer mirati per interrompere il traffico su una rete e reindirizzare le richieste web alla NSA, secondo una presentazione interna della NSA proveniente dal tesoro di Snowden.

Sebbene la NSA non abbia commentato le affermazioni di ShadowBrokers, produttori di software come Cisco Systems Inc. e Fortinet Inc. in annunci separati all’inizio di questa settimana, hanno affermato che alcuni dei codici trapelati di ShadowBrokers rappresentano una minaccia per i loro prodotti, conferendo credibilità all’idea che gli exploit della NSA rubati dagli hacker siano legittimi.

Non è ancora chiaro come siano stati trapelati i dati e chi esattamente li abbia trapelati. Tuttavia, molti esperti credono che la Russia possa essere dietro la violazione di alto profilo. Snowden ha speculato all’inizio di questa settimana che la fuga di notizie potrebbe essere un avvertimento dalla Russia, dicendo “l’hack di un server di staging malware della NSA non è senza precedenti, ma la pubblicazione del bottino sì.”

“Le prove circostanziali e la saggezza convenzionale indicano la responsabilità russa,” ha scritto Snowden in una serie di tweet il 16 agosto. “Questa fuga è probabilmente un avvertimento che qualcuno può fornire responsabilità statunitensi per eventuali attacchi originati dal server malware. Ciò potrebbe avere conseguenze significative per la politica estera. Soprattutto se alcune di quelle operazioni hanno preso di mira gli alleati degli Stati Uniti. Soprattutto se alcune di quelle operazioni hanno preso di mira le elezioni.”