گروه Shadow Brokers یک ابزار تهاجم ویندوزی دیگر را که از آژانس امنیت ملی آمریکا دزدیده بود، منتشر کرد.

UNITEDRAKE

گروه Shadow Brokers گروهی بدنام هستند که چندین ابزار تهاجم را که از آژانس امنیت ملی آمریکا دزدیده بودند منتشر کردند[۱]. این گروه مجدداً در سرخط خبرها قرار گرفته است چراکه یک بهره‌بردار دیگر را که از آژانس امنیت ملی آمریکا دزدیده بودند منتشر کردند اما فقط برای مشترکینی که در سرویس ماهیانه dump ثبت‌نام کردند.

این ابزار که UNITEDRAKE نامیده شده است، یک نوع سیستم جمع‌آوری از راه دور کاملاً توسعه‌یافته است که با چندین افزونه همراه بوده و مهاجمان را قادر می‌سازد تا کنترل کامل کامپیوترهای دارای سیستم‌عامل ویندوز و مورد هدف را در دست گیرند.

در آخرین گزارشی که توسط این گروه منتشر شد[۲]، این گروه هکری چندین تغییر را در سرویس ماهیانه dump اعلام کردند و چندین فایل رمزگذاری شده را که مربوط به ماه قبل بود منتشر کردند[۳].

به‌طور مشخص، نسخه سرویس dump در ماه سپتامبر شامل یک فایل پی‌دی‌اف بدون رمزگذاری است[۴] که در حقیقت یک راهنمای کاربری برای بهره‌برداری از ابزار UNITEDRAKE یا United Rake است که توسط آژانس امنیت ملی آمریکا تولید شده است.

با توجه به راهنمای کاربر منتشرشده، UNITEDRAKE یک بدافزار مدولار و قابل تنظیم است که توانایی ضبط خروجی وب‌کم و میکروفون، ضبط کلیدهای فشرده‌شده روی صفحه‌کلید، دسترسی به درایوهای خارجی و موارد دیگر را به‌منظور جاسوسی بر روی هدف‌های موردنظر دارد.

Shadow Brokers

این ابزار شامل پنج جز است: سرور (Listening Post)، رابط مدیریت سیستم (SMI)، پایگاه داده (برای ذخیره و مدیریت اطلاعات سرقت شده)، ماژول‌های پلاگین (اجازه می‌دهد تا قابلیت‌های سیستم گسترش یابد) و مشتری (ایمپلنت).

در افشاگری Snowden نیز به UNITEDRAKE اشاره شده بود.

UNITEDRAKE ابتدا در سال ۲۰۱۴ به‌عنوان بخشی از اسناد طبقه‌بندی‌شده آژانس امنیت ملی آمریکا که توسط کارمند سابق خود، ادوارد اسنودن، منتشر شده بود، به نمایش گذاشته شد[۵].

اسناد اسنودن افشا کرده است که این آژانس از این بدافزار به همراه دیگر بدافزارهایی ازجملهCAPTIVATEDAUDIENCE ،GUMFISH ، FOGGYBOTTOM ،GROK و SALVAGERABBIT استفاده کرده است تا میلیون‌ها کامپیوتر در سراسر جهان را آلوده کند.

ابزار CAPTIVATEDAUDIENCE برای ضبط مکالمات از طریق میکروفون در کامپیوتر آلوده شده است.
ابزار GUMFISH برای در دست گرفتن کنترل وب‌کم رایانه آلوده شده به‌طور مخفیانه و گرفتن عکس و فیلم است.
ابزار FOGGYBOTTOM برای جمع‌آوری کردن اطلاعات اینترنت مانند سابقه، جزئیات ورود و کلمه عبور است.
ابزار GROK یک تروجان Keylogger برای ضبط کلیدهای فشرده‌شده بر روی صفحه‌کلید است.
ابزار SALVAGERABBIT برای دسترسی به داده‌ها در درایوهای قابل جابجایی فلش است که به کامپیوتر آلوده متصل می‌شوند.

شرایط جدید برای سرویس ماهیانه Dump که توسط گروه Shadow Brokers ارائه می‌شود.

گروه Shadow Brokers در حال حاضر تنها پرداخت‌هایی که از طریق ZCash یا همان ZEC پرداخت شود را به جای Monero از مشترکین ماهیانه‌اش قبول می‌کند، زیرا این سیستم پرداخت به‌منظور پیام تحویل از یک پست الکترونیک بدون متن استفاده می‌کند. همچنین این گروه نرخ فروش بهره‌بردارها را افزایش داده است و مبلغی نزدیک به ۴ میلیون دلار را درخواست کرده است.

این گروه در هنگامی‌که سرویس dump را در ماه ژوئن ۲۰۱۷ راه‌اندازی کردند[۶] تقاضای ۱۰۰ ZEC برای تمامی ابزارهای آژانس امنیت ملی آمریکا کردند اما در حال حاضر آن‌ها تقاضای ۱۶٫۰۰۰ ZEC کردند که معادل ۳٫۹۱۴٫۰۸۰ دلار می‌شود. هر واحد Zcash در حال حاضر ۲۴۸ دلار مبادله می‌شود.

کسانی که می‌خواهند فقط به سرویس dump ماه سپتامبر که شامل فایل‌های مخرب و جدید آژانس امنیت ملی آمریکا می‌باشد، دسترسی پیدا کنند باید مبلغ ۵۰۰ ZEC را پرداخت کنند.

گروه Shadow Brokers پس از افشای بهره‌بردار روز صفرِ SMB، که Eternalblue نامیده شد[۷]، محبوبیت خود را به دست آوردند، که موجب شد حمله باج‌گیر افزار Wannacry در ماه می ۲۰۱۷ سازمان‌ها و افراد زیادی را در سراسر جهان تحت تأثیر قرار دهد[۸].

پس‌ازاین افشاسازی، این گروه هکری مرموز یک سرویس ماهیانه به نام dump معرفی کردند برای کسانی که نیاز به دسترسی اختصاصی به ابزارهای دزدیده‌شده از آژانس امنیت ملی آمریکا را دارند.