I løpet av helgen som var har en gruppe som kaller seg for The Shadow Brokers opprettet profiler hos en rekke tjenester, inkludert Tumblr, Reddit og Twitter, hvor de har de har promotert auksjonssalget av det som skal være en rekke hackerverktøy som skal stamme fra Equation Group, kallenavnet på en svært avansert hackeroperasjon har blitt assosiert med amerikanske NSA (National Security Agency).
Kunngjøringen
De fleste av kontoene som ble opprettet, er allerede stengt. Men informasjonen de henviser til, er fortsatt tilgjengelig hos Pastebin (en kopi finnes her).
Informasjonen er skrevet på litt gebrokkent engelsk:
How much you pay for enemies cyber weapons? Not malware you find in networks. Both sides, RAT + LP, full state sponsor tool set? We find cyber weapons made by creators of stuxnet, duqu, flame. Kaspersky calls Equation Group. We follow Equation Group traffic. We find Equation Group source range. We hack Equation Group. We find many many Equation Group cyber weapons. You see pictures. We give you some Equation Group files free, you see. This is good proof no? You enjoy!!! You break many things. You find many intrusions. You write many words. But not all, we are auction the best files.
The Shadow Brokers har altså, etter eget utsagn, greid å forfølge trafikken til såkalte Equation Group tilbake til gruppen selv. Deretter har The Shadow Brokers angivelig hacket seg inn hos Equation Group, hvor det har blitt funnet mange kybervåpen.
Disse har The Shadow Brokers selvfølgelig kopiert. Noen smakebiter har blitt lagt ut gratis, mens resten skal auksjoneres bort.
«Smaksprøver»
Det er oppgitt flere vanlige nedlastingslenker til samlingen av verktøy, men ingen av dem fungere særlig godt. Det gjør derimot en magnet-lenke, som kan brukes i ulike torrentklienter:
Nedlastingen består av en zip-fil på drøy 230 megabyte. Denne inneholder to komprimerte og krypterte tar-filer, begge på godt over 100 megabyte.
For å dekryptere filene behøver man for eksempel gpg, GNU-prosjektets implementering av OpenPGP-standarden, samt et passord. Passordet til smakebitene har nødvendigvis også blitt oppgitt.
Ferdig utpakket sitter man igjen med en samling skriptfiler og kjlørbare binærfiler, noen for Windows, andre for Linux. Det meste ser ut til å være verktøy for å trenge gjennom brannmurer.
Passordet til resten av samlingen, som skal være kraftigere verktøy enn den man har fått gratis tilgang til, er i praksis det som er lagt ut på auksjonen. I utgangspunktet som byr mest innen auksjonen avsluttes, skal få passordet.
Men det er ikke slik at man byr først og betaler når man har vunnet budrunden. Alle som byr, må umiddelbart betale i form av bitcoins, og ingen får pengene tilbake. Gulroten er at dersom auksjonen bringer inn mer enn 1 million bitcoins, vil The Shadow Brokers frigjøre flere av verktøyene til Equation Group til absolutt alle.
Men 1 million bitcoin er ikke småpenger. Det tilsvarer mer enn 4,6 milliarder kroner.
Så langt har det bare kommet seks bud, det høyeste på 1,5 bitcoin.
Ekte vare?
The Daily Dot var blant avisene som først skrev om auksjonen, etter at den finske sikkerhetsforskeren Mikko Hypponen twitret om den.
Mye tyder på at filene er noen år gamle, og det spekuleres på om det angivelige innbruddet kan ha skjedd allerede i 2013. Sikkerhetsekspertene The Daily Dot har snakket med er skeptiske, men ingen av dem avviser at det kan dreie seg om ekte saker.
– Dersom ikke gratisfilene er legitime, er det ekstremt forseggjorte til å være svindel, sier Matt Tait, som leder Capital Alpha Security. Han legger dog til at innsatsen kan ha vært verdt dersom hensikten har vært å innhente donasjoner.
Foreløpig er det nok få som har rukket å studere filene i detalj.
Masse spekulasjoner
Med så begrenset informasjon, vil det meste som fortelles være spekulasjoner. Dette handler både om hvem som står bak, hvor de angivelige verktøyene faktisk har blitt funnet og om hvordan de har blitt fremskaffet.
Interessant nok opplyser WikiLeaks i dag at de allerede har en kopi av disse verktøyene, og at gruppen vil utgi en egen, uberørt kopi etter hvert.
Denne uttalelsen har fått flere til å spørre om smakebitene som The Shadow Brokers har utgitt, kan være infisert med skadevare. Men WikiLeaks har så langt ikke svart på dette.
