Cabecera blog ciberseguridad

The Shadow Brokers – Seguimiento de las acciones de TSB

The Shadow Brokers es un grupo de hackers que hizo su aparición publica en el verano del año 2016.  Dicha aparición no estuvo exenta de polémica puesto que este grupo afirmaba estar en posesión de un gran número de herramientas informáticas de hacking tales como “exploits” o “0-day” que permitirían el acceso a casi cualquier sistema informático.

La peculiaridad de estos exploits que el grupo afirmó tener, es su procedencia, puesto que publicitaron que el origen de los mismos era la NSA norteamericana, indicando que este grupo habría logrado acceder a los sistemas informáticos de la NSA obteniendo no sólo los exploits citados, sino también otra información de distinto tipo.

Shadow Brokers ofreció además la posibilidad de adquirir estas herramientas a cualquiera que estuviera dispuesto a pagar, para ello el interesado debía hacer efectivo un pago de 10.000 bitcoins, que independiente de las fluctuaciones del valor de la moneda, la cantidad solicitada superaría hoy los 25 millones de euros. Al parecer no hubo compradores y liberaron una parte de las herramientas, lo que provocó una verdadera revolución en el mundo de la ciberseguridad.

the shadow brokers

Sirva como dato que el famoso ransomware “Wannacry”, que en fecha 12 de mayo de 2017 hizo uso de una de las herramientas mencionadas. Analizando el éxito y el impacto social, político y económico que tuvo Wannacry, The Shadow Brokers amenazó con liberar cada mes, nuevas herramientas de la NSA.

Recopilando la información de este grupo en sus diversas intervenciones a través de sus métodos de contacto oficial (https://steemit.com/@theshadowbrokers), The Shadow Brokers no lista un conjunto exacto de herramientas, pero si cita tipos de archivos o vulnerabilidades que podemos encontrar:

  • Datos comprometidos de bancos y proveedores Swift
  • Exploits para sistemas operativos, incluido Windows 10
  • Exploits para navegadores web, routers y Smartphone
  • Información de red extraída de programas de misiles nucleares de Rusia, China, Irán y Corea del Norte.

The Shadow Brokers comercializan la información

El pasado día 1 de junio, Shadow Brokers volvieron a ser protagonistas en los medios de comunicación, ofreciendo un servicio de suscripción que daría acceso al resto de las herramientas supuestamente sustraídas a la NSA, para ello el interesado debería realizar un pago equivalente a 35.000 euros.

tsb toolsSegún el supuesto gran éxito alcanzado en el mes de junio, este grupo decidió además cobrar por un servicio VIP por el precio de 140 000€ en su momento. De esta forma, lo que conseguiría el cliente, es “llamar su atención”, y tendrían un trato preferencial.  Este servicio no garantiza ni la cesión de herramientas específicas, ni la elaboración de ataques a medida. Simplemente asegura tener al menos un contacto directo con el grupo de “The Shadow Brokers” de manera puntual. Puede parecer extraño, pero según sus fuentes, ya disponían de varios clientes con ese servicio contratado.

Fue en el mes de mayo, antes de anunciar su servicio de suscripción, cuando decidieron vaciar su billetera de Bitcoins y cambiar de método de pago.

Las nuevas monedas aceptadas fueron Monero y ZCash. El motivo que justifica dicho cambio, es que ambas monedas ofrecen privacidad y anonimato a la hora de realizar transacciones entre cuentas.

Servicio ZCash (ZEC) Monero (XMR) USD-ZCash* USD-Monero*
Dump mes de Junio 100 500 35.000$* 22.500$*
Dump mes de Julio 200 1000 70.000$* 45.000$*
Dump mes de Agosto 500 2000 90.000$* 100.000$*
Servicio VIP 400 135.000$*
*El valor en USD viene determinado por el precio de la moneda en el momento de compra del servicio, ya que, debido a la volatilidad de las criptomonedas, su valor fluctúa, llegando a reducirse hasta la mitad en sólo dos meses

Las direcciones de Zcash, también llamadas direcciones “T”, son muy similares a las direcciones de Bitcoin y pueden ser rastreados sus movimientos. Zcash proporciona además direcciones “Z” que se utilizan para enviar y recibir fondos privados, con transacciones criptográficamente protegidas y que resultan completamente anónimas e irrastreables.zcash the shadow brokers

Shadow Brokers utiliza un campo de datos que se envía en cada transacción, en el que solicita al remitente añadir su dirección de correo electrónico, siendo ésta la única forma de establecer contacto con el pagador de la transacción.

Monero, por su parte, funciona de manera similar. A diferencia de ZCash, añade un nuevo campo llamado ID de pago, un campo de transacción opcional que consta de 32 bytes (64 caracteres hexadecimales).

monero TSB

Es por este motivo, por lo que The Shadow Brokers solicita codificar la cuenta de correo electrónico en Hexadecimal, completarla con ceros, y enviarla como ID de pago, ya que es la única manera de que el destinatario reciba información del remitente.

mail hexadecimal shadow brokers

Filtraciones de herramientas de Junio de The Shadow Brokers

Como no podía ser de otra forma, a principios de Julio, el envío de las herramientas no estuvo exenta de polémica. En la primera semana de ese mes, recibieron los primeros archivos los suscriptores del servicio. Uno de ellos, el usuario fsyourmom (https://steemit.com/@fsyourmom), publicó en Steemit pruebas de la compra y recepción del envío. En su mensaje original, mostraba un claro descontento por el contenido del paquete, ya que tan sólo contenía una herramienta, muy lejos de obtener tan siquiera parte del contenido prometido por el grupo.

proof shadow brokers payment

Aunque el cometido real de esta herramienta se desconoce, este mensaje provocó que la credibilidad en el grupo cayese considerablemente. A pesar de ello, ShadowBrokers afirma que sus campañas fueron un éxito, aumentando el precio de su suscripción de agosto hasta los 100.000$.

Con el objeto de saber el número real de compradores, el usuario wh1sks (https://steemit.com/@wh1sks) examinó toda la blockchain de Monero, analizando cada una de las transacciones y decodificando su ID de pago con el objetivo de conseguir los usuarios que realizasen una transacción con el formato e importe indicado por The Shadow Brokers. De esta forma, obtuvo unos 3 correos electrónicos, un número bastante inferior a lo que se esperaba en un primer momento.

Monero blockchain The shadow brokersEstos tres compradores habrían enviado en total, unos 60.000$ en el mes de junio, muy lejos de lo que podríamos considerar, un “éxito”, teniendo en cuenta que alguno de ellos mostró públicamente su descontento, y mostrando pruebas de los archivos recibidos.

Lo que se ha publicado en los meses siguientes, o el número de compradores que sigues suscritos a este servicio, se desconoce en estos momentos. Esperemos que en los próximos días conozcamos nueva información acerca de los suscriptores y las herramientas enviadas en el mes de Julio para poder proteger nuestros sistemas informáticos, ya que los rumores indican que vienen nuevos 0day en camino.

Referencias:

https://motherboard.vice.com/en_us/article/53djj3/shadow-brokers-whine-that-nobody-is-buying-their-hacked-nsa-files

https://steemit.com/shadowbrokers/@theshadowbrokers/theshadowbrokers-monthly-dump-service-june-2017

https://steemit.com/shadowbrokers/@theshadowbrokers/theshadowbrokers-monthly-dump-service-june-2017-update

https://steemit.com/shadowbrokers/@theshadowbrokers/theshadowbrokers-monthly-dump-service-july-2017

https://steemit.com/shadowbrokers/@theshadowbrokers/theshadowbrokers-monthly-dump-service-august-2017

https://steemit.com/shadowbrokers/@wh1sks/theshadowbrokers-may-have-received-up-to-1500-monero-usd66-000-from-their-june-monthly-dump-service

https://steemit.com/shadowbrokers/@fsyourmoms/theshadowbrokers-are-not-making-america-great-again

https://steemit.com/shadowbrokers/@fsyourmoms/proof

Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/

En TarlogicTeo y en TarlogicMadrid.