{"id":191934,"date":"2017-07-01T22:54:07","date_gmt":"2017-07-01T20:54:07","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=191934"},"modified":"2023-09-02T10:14:00","modified_gmt":"2023-09-02T08:14:00","slug":"shadowbrokers-senden-juni-exploit-pack-an-abonnenten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/07\/01\/shadowbrokers-senden-juni-exploit-pack-an-abonnenten\/","title":{"rendered":"Shadow Brokers senden Juni Exploit Pack an Abonnenten"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"http:\/\/borncity.com\/win\/2017\/07\/02\/the-shadowbrokers-june-dump-with-exploits-delivered-to-subscribers-and-more\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Die Hackergruppe Shadow Brokers hat wohl das erste Paket an gesammelten Exploits an zahlende Abonnenten rausgeschickt. Zudem versucht man die Identit\u00e4t eines fr\u00fcheren NSA-Hackers zu l\u00fcften.<\/p>\n<p><!--more--><\/p>\n<h2>Lieferung f\u00fcr Zero-Day-Exploits Abonnenten<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/495b94b148134d63a91194cc72605ca5\" width=\"1\" height=\"1\"\/>Die Hackergruppe Shadow Brokers sitzt wohl auf einem gr\u00f6\u00dferen Fundus an gestohlenen NSA-Hacking-Tools und Informationen \u00fcber Zero-Day-Exploits. Im Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20210506025047\/https:\/\/borncity.com\/blog\/2016\/08\/20\/sicherheitsinfos-20-august-2016\/\">Sicherheitsinfos (20. August 2016)<\/a> hatte ich erstmals \u00fcber das Thema berichtet.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Shadow Broker\" alt=\"Shadow Broker\" src=\"https:\/\/web.archive.org\/web\/20230621045312\/https:\/\/prod01-cdn07.cdn.firstlook.org\/wp-uploads\/sites\/1\/2016\/08\/Screen-Shot-2016-08-18-at-1.23.39-AM-1000x485.png\" width=\"618\" height=\"300\"\/>  <\/p>\n<p>Urspr\u00fcnglich wollten die Shadow Brokers das Paket \u00fcber Untergrundforen f\u00fcr etwas mehr als 8,2 Millionen US Dollar verkaufen. Dieser Vorgang war aber gescheitert, weil niemand diese Summe zu zahlen bereit war (es kamen wohl nur 24.000 US % auf dem Bitcoin-Konto an).  <\/p>\n<p>Nachdem der Verkauf des Pakets gescheitert war, kam eine andere Strategie zum Tragen. Die Shadow Brokers ver\u00f6ffentlichten einige Teile aus dem erbeuteten Material, welches zu Malware-Kampagnen wie WannaCry oder NotPetya f\u00fchrte. Ich berichtete im Artikel <a href=\"https:\/\/borncity.com\/blog\/2017\/01\/14\/tschssikowski-shadow-browser-stellt-nsa-tools-online\/\">Tsch\u00fcssikowski: Shadow Broker stellt NSA-Tools online<\/a>. Mit h\u00e4ppchenweiser Ver\u00f6ffentlichung von Informationen hielten sich die Shadow Brokers im medialen Fokus und die Sicherheitsindustrie in Atem.  <\/p>\n<p>K\u00fcrzlich folgte die Ank\u00fcndigung, ab Juni 2017 neue Zero-Day-Exploits im Monats-Rhythmus zu ver\u00f6ffentlichen. Darunter sollen sich auch zahlreiche Windows 10-L\u00fccken befinden. Ich hatte das Thema im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/30\/shadow-brokers-starten-zero-day-abo-fr-21-000-us\/\">Shadow Brokers starten Zero-Day-Abo f\u00fcr 21.000 US $<\/a> thematisiert. F\u00fcr 21.000 US $ konnte man dabei sein, wenn die n\u00e4chste Tranche an Exploits freigegeben wird. Die Details f\u00fcr das 'Angebot' TheShadowBrokers Monthly Dump Service bekannt geworden.  <\/p>\n<ul>\n<li>#1 \u2013 Between 06\/01\/2017 and 06\/30\/2017 send 100 ZEC (Zcash) to this z_address:  <\/li>\n<li>zcaWeZ9j4DdBfZXQgHpBkyauHBtYKF7LnZvaYc4p86G7jGnVUq14KSxsnGmUp7<br \/>Kh1Pgivcew1qZ64iEeG6vobt8wV2siJiq  <\/li>\n<li>#2 \u2013 Include a \"delivery email address\" in the \"encrypted memo field\" when sending Zcash payment  <\/li>\n<li>#3 \u2013 If #1 and #2 then a confirmation email will be sent to the \"delivery email address\" provided  <\/li>\n<li>#4 \u2013 Between 07\/01\/2017 and 07\/17\/2017 a \"mass email\" will be send to the \"delivery email address\" of all \"confirmed subscribers\" (#1, #2, #3)  <\/li>\n<li>#5 \u2013 The \"mass email\" will contain a link and a password for the June 2017 dump<\/li>\n<\/ul>\n<p>Diesem <a href=\"https:\/\/web.archive.org\/web\/20220811213419\/https:\/\/securityaffairs.co\/wordpress\/60525\/hacking\/shadow-brokers-june-dump.html\" target=\"_blank\" rel=\"noopener noreferrer\">securityaffairs.co-Blog-Beitrag<\/a> entnehme ich, dass die Shadow Brokers letzten Mittwoch die 'Juni-Aussendung' des NSA-Dumps ank\u00fcndigten und nun im Juli 2017 geliefert haben. Die Original-Ank\u00fcndigung vor 4 Tagen l\u00e4sst sich <a href=\"https:\/\/web.archive.org\/web\/20190530104421\/https:\/\/steemit.com\/shadowbrokers\/@theshadowbrokers\/theshadowbrokers-monthly-dump-service-july-2017\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> nachlesen.  <\/p>\n<blockquote>\n<p>Another global cyber attack is fitting end for first month of theshadowbrokers dump service. There is much theshadowbrokers can be saying about this but what is point and having not already being said? So to business! Time is still being left to make subscribe and getting June dump. Don't be let company fall victim to next cyber attack, maybe losing big bonus or maybe price on stock options be going down after attack. June dump service is being great success for theshadowbrokers, many many subscribers, so in July theshadowbrokers is raising price.<\/p>\n<\/blockquote>\n<p>Damals war ja noch Juni und die Hacker spielen wohl in der Nachricht auf WannaCry und NotPetya an. Gleichzeitig wird geteased, dass 'man noch am Juni-Abo teilnehmen k\u00f6nne'. Was man in diesem Paket, auf Grund vorheriger Ank\u00fcndigungen erwarten kann:  <\/p>\n<ul>\n<li><em>Hinweise auf L\u00fccken in Web Browsern, Routern, Smartphone Exploits und Tools<\/em>  <\/li>\n<li><em>Ausgew\u00e4hlte Teile aus neueren 'Ops Disks' (inklusive neueren Windows 10-Exploits) <\/em> <\/li>\n<li><em>Kompromittierte Netzwerkdaten von SWIFT-Providern und Zentralbanken<\/em>  <\/li>\n<li><em><\/em><em>Kompromittierte Netzwerkdaten <\/em>von russischen, chinesischen, iranischen oder nordkoreanischen (Atom-)Bomben und Raketenprogrammen<\/li>\n<\/ul>\n<p>Die Hackergruppe behauptet (gem\u00e4\u00df obigem Text), viele Abonnenten zu haben, was auf Grund der Vorank\u00fcndigungen kein Wunder ist. Es d\u00fcrfte demn\u00e4chst wohl die n\u00e4chsten Ransomware-Wellen geben.  <\/p>\n<h2>Juli-Abo-Angebot teurer \u2026<\/h2>\n<\/p>\n<p>Gleichzeitig wurde den bisherigen Abonnenten das Juli-Dump-Abo (welches im August ausgeliefert wird) angeboten. Dabei haben die Hacker die Preise, wegen gro\u00dfer Nachfrage (<a href=\"https:\/\/web.archive.org\/web\/20190530104421\/https:\/\/steemit.com\/shadowbrokers\/@theshadowbrokers\/theshadowbrokers-monthly-dump-service-july-2017\" target=\"_blank\" rel=\"noopener noreferrer\">siehe<\/a>), erh\u00f6ht. Es sind jetzt 200 ZEC oder 1,000 XMR (Monero) f\u00e4llig (entspricht 46.504 Euro, siehe), wenn jemand auf den n\u00e4chsten Batch f\u00fcr Juli zugreifen m\u00f6chte. Teuflisches Spiel, was die Hacker dort treiben \u2013 und ich gehe davon aus, dass die Erfolg haben, falls die Juni-Dumps halten, was in den Ank\u00fcndigungen versprochen wurde.  <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"Shadow brokers tools\" src=\"https:\/\/i0.wp.com\/securityaffairs.co\/wordpress\/wp-content\/uploads\/2017\/06\/Shadow-brokers-tools.jpg?resize=1575%2C882\" width=\"630\" height=\"353\"\/><br \/>(<em>TheShadowBrokers July dump is 200 ZEC or 1000 XMR. Using same addresses as June same instructions.\"<\/em>)<\/p>\n<blockquote>\n<p>Es gab mal die Idee von Sicherheitsforschern, einen Monatsbetrag per Crowd-Funding einzusammeln, den Dump nach Erhalt zu ver\u00f6ffentlichen, um auf Sicherheitsl\u00fccken hinzuweisen. Der Ansatz wurde aber wegen rechtlicher Bedenken fallen gelassen. <\/p>\n<\/blockquote>\n<h2>\u2026 und VIP-Service angek\u00fcndigt<\/h2>\n<p>Weiterhin haben die Shadow Brokers einen \"VIP Service\" f\u00fcr Abonnenten angek\u00fcndigt. Laut Eigenaussage werden die Hacker von Leuten 'gefragt', ob man dieses oder jenes im Angebot habe. Darauf reagiert man nun. Der 'VIP-Dienst' richtet sich an Leute, die Interesse an spezifischen Sicherheitsl\u00fccken oder wertvollen Informationen zu bestimmten Organisationen haben (der <a href=\"https:\/\/web.archive.org\/web\/20220811213419\/https:\/\/securityaffairs.co\/wordpress\/60525\/hacking\/shadow-brokers-june-dump.html\" target=\"_blank\" rel=\"noopener noreferrer\">Blog-Beitrag<\/a> spricht von 'intel on a certain organization', was f\u00fcr 'information of military or political value' also Information von milit\u00e4rischen oder politischem Nutzen steht). Der VIP Service wird f\u00fcr eine Einmalzahlung von 400 ZEC (entspricht ca. 93.000 Euro) angeboten. Damit erkauft sich der Interessent die Option, dass die Hacker \u00fcberhaupt auf seine spezifischen Anfragen reagieren. Die Zahler haben aber keine Garantie, dass da \u00fcberhaupt was geliefert wird \u2013 und wenn was geliefert wird, soll der Preis individuell ausgehandelt werden. Die Hacker haben verlautbaren lassen, dass es bereits Mitglieder in diesem 'exklusiven Club' gebe.  <\/p>\n<h2>Drohung an NSA-Hacker<\/h2>\n<\/p>\n<p>Gleichzeitig adressieren die Shadow Brokers eine Nachricht an eine Person, die unter dem Alias \"doctor\" auf Twitter aktiv ist. Die Hacker glauben, dass es sich um einen Ex-NSA-Mitarbeiter\/Hacker der Equation Group handele. Der folgende Text richtet sich an diese Person.  <\/p>\n<blockquote>\n<p><em>\"TheShadowBrokers is having special invitation message for \"doctor\" person theshadowbrokers is meeting on Twitter. \"Doctor\" person is writing ugly tweets to theshadowbrokers not unusual but \"doctor\" person is living in Hawaii and is sounding knowledgeable about theequationgroup. Then \"doctor\" person is deleting ugly tweets, maybe too much drinking and tweeting? Is very strange, so theshadowbrokers is doing some digging.<\/em>  <\/p>\n<p><em>TheShadowBrokers is thinking \"doctor\" person is former EquationGroup developer who built many tools and hacked organization in China. TheShadowBrokers is thinking \"doctor\" person is co-founder of new security company and is having much venture capital. TheShadowBrokers is hoping \"doctor\" person is deciding to subscribe to dump service in July. <\/em> <\/p>\n<p><em>If theshadowbrokers is not seeing subscription payment with corporate email address of doctor@newsecuritycompany.com then theshadowbrokers might be taking tweets personally and dumping data of \"doctor\" persons hacks of China with real id and security company name. TheShadowBrokers is thinking this outcome may be having negative financial impact on new security companies international sales, so hoping \"doctor\" person and security company is making smart choice and subscribe. But is being \"doctor\" persons choice. Is not being smart choice to be making ugly tweets with enough personal information to DOX self AND being former equation group AND being co-founder of security company.<\/em> <\/p>\n<\/blockquote>\n<p>Die Hacker glauben, dass die betreffende Person ein Sicherheitsunternehmen mit begr\u00fcndet habe und fordern ihn auf, das Juli-Abo zu zeichnen. Andernfalls werde man seine Daten offen legen. Inzwischen hat sich jemand mit dem Twitter-Namen @drwolff geoutet, bestreitet aber die obigen Angaben.  <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">To protect the innocent and prevent further false accusations, I will dox myself tomorrow. Nobody makes me bleed my own blood except me 4\/4<\/p>\n<p>\u2014 Daniel R. Wolfford (@drwolfff) 28. Juni 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">I'm here to say now that all of you are wrong. I do not have a security startup. I'm not even in United States. My name is not Mark. 3\/n<\/p>\n<p>\u2014 Daniel R. Wolfford (@drwolfff) 28. Juni 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Man muss jetzt sehen, was sich dort weiteres tut \u2013 die Antwort der Hacker findet sich <a href=\"https:\/\/web.archive.org\/web\/20180101162405\/https:\/\/steemit.com\/shadowbrokers\/@theshadowbrokers\/response-to-response-to-doxing\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>. Gleichzeitig lassen die Hacker verlauten, dass sie wohl kleinere Zahlungen \u00fcber hidden URLs erhalten haben. Es wird vermutet, dass da das FBI dahinter stecken k\u00f6nnte, um die Shadow Brokers zu identifizieren.  <\/p>\n<p>Insgesamt eine spannende, aber auch sehr erschreckende Geschichte, die da zur Zeit abgeht. Ich f\u00fcrchte, wir gehen st\u00fcrmischen Zeiten entgegen \u2013 und das Fabulieren so mancher Manager \u00fcber Industrie 4.0, IoT und Digitalisierung wird Firmen und Gesellschaft in eine technologische Sackgasse mit unkalkulierbaren Sicherheitsrisiken f\u00fchren. Die M\u00e4r, dass man nur seine Anstrengungen erh\u00f6hen und alles 'sicher planen m\u00fcsse' wird sich als Fata Morgana entpuppen \u2013 denn irgend eine Sicherheitsl\u00fccke findet sich immer \u2013 und wenn ein gefeuerter Mitarbeiter die Schwachstelle ist.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die Hackergruppe Shadow Brokers hat wohl das erste Paket an gesammelten Exploits an zahlende Abonnenten rausgeschickt. Zudem versucht man die Identit\u00e4t eines fr\u00fcheren NSA-Hackers zu l\u00fcften.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[6324,4328],"class_list":["post-191934","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-shadow-brokers","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191934","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191934"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191934\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191934"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191934"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}