Tras el ciberataque a Telefónica del pasado viernes, las alertas se generalizaron y se supo de otros casos como el del Sistema Nacional de Salud de Reino Unido. Y mientras el ransomware responsable "WannaCry" aún da que hablar, ahora son The Shadow Brokers lo que se asoman aprovechando de todo esto para anunciar un servicio de suscripción de sus servicios, es decir, recibir exploits e "información comprometida" de ciertas organizaciones.
Este grupo de hackers es de cuna relativamente reciente, pero probablemente nos suenen porque hicieron su "estelar" aparición el pasado verano, cuando aseguraron haber sido los primeros en acceder a la Agencia de Seguridad Nacional de los Estados Unidos (NSA). Ahora vuelven a salir a la luz haciendo un repaso de su trayectoria y anunciando este nuevo y peculiar servicio, pero ¿quiénes son The Shadow Brokers? Repasamos su perfil tras casi un año de actividad pública.
Dándose a conocer por la puerta grande
Para ponernos en antecedentes, en 2015 los expertos en seguridad de Kaspersky Lab revelaban que la NSA había logrado instalar un spyware en los discos duros de los principales fabricantes. Con esto se relacionó a la agencia con Equation Group, un grupo de hackers cuyos ataques de ciberespionaje se consideraron de los más sofisticados del mundo.
Algo más de un año después saltaba la noticia del hackeo a la NSA y fue entonces cuando The Shadow Brokers se daba a conocer proclamando la autoría. Según afirmaron en un primer momento, habían logrado acceder a las bases de datos de la NSA y extraer una gran cantidad de información, especificando que habían conseguido romper la seguridad de Equation Group. Es decir, el hacker hackeado.
El grupo, además de ser desconocido hasta ese momento (su cuenta de Twitter existe desde agosto de 2016), procedió de manera un tanto particular: publicaron toda la información en un Tumblr (que retiraron) donde mostraban parte de los archivos extraídos y sus peticiones y abrieron una subasta para que el mejor postor se llevase dichos archivos.
Ante la duda, un FAQ
Esta manera de proceder, tanto por la comunicación como por recurrir a la subasta, era además de particular bastante sospechoso y sin demostrar que lo que decían era cierto. Y con tal de ganar confianza publicaron un FAQ para aclarar dudas, detallando además parte del proceso por el que habían obtenido la información, hablando ahí del acceso a los ordenadores de Equation Group.
En el FAQ (que tampoco existe ya) vimos que se especificaban aspectos como que el dinero de las pujas no se recuperaría, pero que aquellos que no ganasen la subasta recibirían "un premio de consolación" (sin aclarar cuál). La subasta no parecía irles bien, dado que esperaban recaudar 1 millón de bitcoins y 24 horas después de iniciarla tenían un 0,093% de esta cantidad (1,9 bitcoins, unos 937,15 dólares en ese momento), aunque no podía descartarse que hubiese pujas por canales ocultos.
Las dudas se mantenían y era complicado saber si todo esto era real, pero en The Intercept apuntaban a la veracidad del acceso a la agencia a partir de una información de Edward Snowden. Además, otro viejo conocido entró a escena, dado que Wikileaks aseguraba haber conseguido esta misma información y que la publicarían más adelante (lo que sí que publicaron fueron (las herramientas de espionaje de la CIA)[https://www.xataka.com/seguridad/la-mayor-filtracion-de-wikileaks-sobre-la-cia-casi-9-000-documentos-sobre-espionaje-con-smart-tvs-smartphones-y-otros].
We had already obtained the archive of NSA cyber weapons released earlier today and will release our own pristine copy in due course.
— WikiLeaks (@wikileaks) 16 de agosto de 2016
¿Y qué información tenían los archivos extraídos de la NSA? Según lo que publicaron The Shadow Brokers en su momento había información sobre programas de espionaje dirigidos a productos de Cisco, Juniper, Fortigate y Topsec, además de sofisticadas herramientas como el gusano informático Stuxnet (usado para atacar las instalaciones de enriquecimiento de uranio de Irán).
La vuelta: acabando el año vendiendo por unidades
El pasado mes de diciembre salió a la luz una web en ZeroNet (una plataforma de hosting web que usa BitTorret y blockchain como sus tecnologías principales), atribuida a The Shadow Brokers, por la cual estaban intentando vender exploits de uno en uno y de manera directa (nada de subastas). En la web se veía una lista de los exploits a la venta, con precios que iban entre 1 y 100 bitcoins (entre 745 y 74.500 euros en el momento) y un precio especial para el lote de 1.000 bitcoins (más de 745.000 euros).
Un mes después sabíamos por The Hacker News que el grupo de hackers volvía a intentar hacer negocio con un paquete de software llamado "Equation Group Windows Warez", el cual en teoría servía para aprovechar exploits de Windows y saltarse los antivirus. El paquete pertenecía supuestamente a la NSA y en Genbeta detallaron las herramientas que incluía, además de su precio, en este caso de 750 bitcoins.
Así, el grupo seguía intentado sacar beneficio económico de su supuesto logro, aunque no todas sus acciones han buscado la compensación económica. El pasado mes de abril liberaron un set de herramientas para comprometer la seguridad de Windows, además de documentación que explica cómo atacar sistemas bancarios disponible en GitHub, según ellos "para ayudar a la gente".
Su último intento y sus señas de identidad
Tras haber entrado por la puerta grande a la historia del hackeo con el supuesto acceso a la NSA, Shadow Brokers ha ido apareciendo puntualmente como hemos visto de manera más o menos discreta. En algunas ocasiones sus intentos de venta o de compartir archivos han ido acompañados de un comunicado, siempre usando un inglés con bastantes faltas ortográficas y gramaticales que en ocasiones pone bastante difícil entenderles.
lol 6 months now they shutting off, all #shadowbrokers original messages with links on #steemit https://t.co/XduLeJsjnN pic.twitter.com/LDQ4oPNbhQ
— theshadowbrokers (@shadowbrokerss) 10 de abril de 2017
Esta expresión es ya casi una de sus marcas de la casa, y es la que impera también en el último comunicado que han publicado. En él repasan su trayectoria pública a colación de lo que llaman el Windows dump (algo así como "el vaciado de datos de Windows", refiriéndose a la publicación de exploits), declarándose responsables del mismo y recordando la subasta de los datos de Equation Group.
Explican que ni Equation Group, ni empresas como Microsoft o Cisco, ni ningún gobierno o país pujaron por la información, y que la subasta se cerró en diciembre para empezar a ofrecer ventas directas, y que tampoco ninguno de éstos había comprado los exploits. También cuentan que Microsoft lanzó parches para las vulnerabilidades detectadas y que la empresa ha firmado contratos millonarios con Equation Group (que son "mejores amigos"). Intentamos transcribirlo de la manera más entendible posible:
Microsoft y Equation Group han firmado una gran cantidad de contratos millonarios cada año. Equation Group tiene espías dentro de Microsoft y otras empresas tecnológicas estadounidenses [...], tiene antiguos empleados trabajando en puestos de seguridad en estas empresas. [...] Pensamos que en el Project Zero de Google hay algún ex-miembro de Equation Group. Recientemente han lanzado un parche para Microsoft llamado "Wormable Zero-Day" en tiempo récord. ¿Sabían qué era lo que venía? ¿Coincidencia?
Sobre el asunto "WannaCry", se supo que el exploit usado es "EternalBlue", el cual estaba entre los filtrados por Shadow Brokers. Pero ellos expresan que no tuvieron nada que ver directamente, finalizando el comunicado con el servicio "TheShadowBrokers Data Dump of the Month". Una manera de obtener los materiales que dicen tener con un modelo de suscripción, enumerando todo lo que los paquetes enviados podrían contener:
- Herramientas y exploits para navegador web y router
- Determinados elementos de nuevos "Ops Disks", incluyendo nuevos exploits para Windows 10
- Datos comprometidos de las redes de bancos centrales y proveedores SWIFT
- Datos comprometidos de las redes de los programas de misiles de Rusia, China, Irán y Corea del Norte
Los hackers dicen no buscar enriquecerse, vender material a "mafiosos" o dárselo a las empresas, sino que lo hacen por el reconocimiento de haber superado a sus rivales de Equation Group: "Es siempre sobre Shadow Brokers versus Equation Group". Veremos de qué más nos vamos enterando de las acciones de este grupo que, tras proclamar el sonado acceso a la agencia sigue activo y, aunque según ellos no sea su principal fin, sacar bitcoins de sus recursos.