Shadow Brokers rò rỉ công cụ UNITEDRAKE của NSA cho phép kiểm soát hoàn toàn thiết bị

By | 5:10 pm | 08/09/2017

Shadow Brokers là nhóm hacker nổi tiếng vì đã tiết lộ thông tin độc quyền về các công cụ hacking và thủ thuật của Cơ quan An ninh Quốc gia – NSA (National Security Agency), đặc biệt sau rò rỉ khai thác ETERNALBLUE lợi dụng lỗ hổng trong giao thức Microsoft SMBv1 tấn công ransomware Wannacry vào tháng 5 vừa qua.

Trong lần rò rỉ mới nhất, họ đã cho ra mắt khai thác UNITEDRAKE cùng với hướng dẫn sử dụng của nó.

UNITEDRAKE là công cụ điều khiển và truy cập từ xa, cho phép điều khiển từ xa các hệ thống Windows để thu thập thông tin mong muốn và chuyển chúng tới máy chủ. UNITEDRAKE được mô tả như là một công cụ thu thập dữ liệu “mở rộng” (fully extensible) được phát triển đặc biệt cho các máy Windows để cho phép kẻ tấn công có cơ hội kiểm soát một thiết bị hoàn toàn.

UNITEDRAKE ảnh hưởng đến các hệ thống Microsoft Windows XP, Vista, 7, 8 đến Windows Server 2012.

UNITEDRAKE đã được :

  • CAPTIVATEDAUDIENCE – dùng để ghi âm các cuộc hội thoại qua microphone
  • GUMFISH – dùng để kiểm soát webcam và
  • FOGGYBOTTOM – để lọc dữ liệu Internet như lịch sử duyệt web, thông tin đăng nhập và mật khẩu
  • GROK- là một Trojan Keylogger để .
  • SALVAGERABBIT – để truy cập dữ liệu trên các ổ đĩa flash di động được kết nối với máy tính bị ảnh hưởng.

Khi công việc được hoàn thành, phần mềm độc hại có thể tự hủy. Có thể hiểu, NSA phát triển công cụ này để thực hiện giám sát hàng loạt và thực hiện các cuộc tấn công số lượng lớn.

c

Trên đây là sơ đồ hệ thống UNITEDRAKE bao gồm 5 thành phần:

  1. Server (một Listening Post): nhận kết nối từ các clients và quản lý tất cả các giao tiếp giữa các clients và subsystems.
  2. SMI: là một GUI cho phép kẻ tấn công review client status, command client, quản lý modules, và kiếm soát cấu hình client.
  3. Database: UNITEDRAKE sử dụng SQL Database để lưu trữ và quản lý các thông tin thu thập được.
  4. Plugins: là lõi của kiến trúc UNITEDRAKE và cho phép khả năng hệ thống được mở rộng.
  5. Clients: là các modules được thực thi trên máy mục tiêu.

Ngoài ra nhóm hacker cũng công bố những thay đổi trong dịch vụ Monthly Dump Service của mình và các tập tin mã hóa được dump từ những tháng trước.

new-nsa-data-dump-shadowbrokers-expose-unitedrake-malware-1

c