A BME-n működő magyar Crysys Lab kutatói elemezték az amerikai NSA hírszerző ügynökségtől korábban kiszivárgott kémeszközöket. Találtak olyan kódot, amellyel más államok hekkereit derítette fel az NSA, és egy eddig ismeretlen állami hekkercsapatot is azonosítottak – írja a SecurityWeek.
Az NSA eszközei az ügynökséghez köthető Equation Group nevű hekkercsapattól származnak. Az Equation Group tevékenységére még 2015 elején derült fény, akkor ebben a cikkben írtunk róluk részletesebben. Aztán viszont akasztották a hóhért: valaki meghekkelte az NSA szuperhekkereit, és 2016 nyarán egy titokzatos csoport, a Shadow Brokers nyilvánosságra hozta az Equation Group több eszközét is, majd később több alkalommal is új kódokat szivárogtattak ki. Ebből azóta több galiba is származott, például a tavaly májusi nagy zsarolóvírus-fertőzési hullámot, a WannaCry-támadást is az NSA által saját célra felfedezett sebezhetőség, illetve a tőlük ellopott és kiszivárogtatott eszközök tették lehetővé.
A magyar kutatók most a tavaly kiadott Lost in Translation nevű csomagot vizsgálták át. Ebben olyan eszközöket fedeztek fel, amelyeket nem támadásra használtak: a Territorial Dispute (területi vita) nevű modullal
az NSA célja nem a kémkedés volt, hanem a konkurens állami hekkerek felderítése.
A Crysys kutatói szerint viszonylag egyszerű eszközökről van szó, amelyek a megfertőzött gépen olyan fájlokat, adatbázis-bejegyzéseket és hasonlókat kerestek, amelyek jellemzően ismert hekkereszközök jelenlétére utalnak. Ez a modul kifejezetten más állami hekkerek jelenlétét volt hivatott felderíteni, a kutatók szerint feltehetően azért, hogy az NSA elkerülhesse a konfliktust baráti államokkal, illetve hogy minimalizálja annak az esélyét, hogy a saját eszközeit is felderíti egy másik fél.
A modul érdekessége, hogy bár ilyen, hekkerek jelenlétére utaló indikátorból (IOC-ból) több száz olyat ismerni, amelyek állami hekkerekre utalnak, az NSA csak egy-öt indikátort használt. A szakértők szerint ennek az lehet a magyarázata, hogy az ügynökség mintegy önkorlátozásként el akarta kerülni, hogy az egyes operátorai túl sokat tudjanak meg egy-egy támadásról.
A Crysys kutatói próbálták az összes felfedezett indikátort ismert hekkercsoportokhoz, illetve kártevőkhöz kötni, és találtak is olyan jól ismert szereplőket, mint a Fancy Bear, Turla, Duqu, Stuxnet, Flame vagy TeamSpy. Volt viszont olyan minta, amelyet semmilyen ismert támadáshoz nem sikerült társítani. Ez arra utal, hogy
a magyar kutatók egy eddig ismeretlen támadó nyomait fedezték fel.
A SIG32 jelű minta indikátorai ugyan köthetők egy a Trend Micro biztonsági cég által 2010-ben azonosított kártevőhöz, de arra eddig semmi nem utalt, hogy ezt állami hekkerek (is) használták volna.
A magyar Crysys Lab már jó pár éve nemzetközileg is elismert biztonsági kutatócsapatnak számít, kulcsszerepük volt például a hírhedt Stuxnet kistestvére, a Duqu 2011-es felfedezésében, illetve 2015-ben a Duke azonosításában is.
Bencsát Boldizsár, a Crysys egyik kutatója a mexiói Cancunban a Kaspersky Lab által pénteken megrendezett Security Analyst Summit (SAS) eseményen részletezi a felfedezéseiket.