Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties

De Shadowbrokers, de groepering die eerder werkende NSA-exploits voor firewalls van Cisco en Fortinet publiceerde, heeft nieuwe gegevens gepubliceerd. Daarvan zeggen zij dat dit servers zijn die door de NSA werden gebruikt.

In een bericht op de site Medium schrijven de Shadowbrokers dat 'veel NSA-missies vanuit de ip-adressen in de publicatie werden of worden uitgevoerd'. Tussen de gegevens zitten zowel Nederlandse als Belgische adressen, waaronder newin.int.rtbf.be, debby.vub.ac.be, vnet3.vub.ac.be, logos.uba.uva.nl, nl37.yourname.nl en opcwdns.opcw.nl. De lijsten dragen de namen 'Pitchimpair' en 'Intonation'. The Register schrijft dat deze verwijzen naar NSA-programma's.

De Shadowbrokers schrijven verder dat de gegevens die zij momenteel proberen te verkopen, 'een verbinding mogelijk maakten met deze pitchimpairs'. Beveiligingsonderzoeker Matthew Hickey legt aan Forbes uit dat de maandag gepubliceerde bestanden waarschijnlijk bewijs moeten vormen dat de nog te verkopen bestanden exploits of implants voor Solaris-servers bevatten. Het overgrote deel van de servers in de lijst draait dit systeem. Hij voegt daaraan toe dat de lijst zelf mogelijk zogenaamde 'staging servers' bevat, van waaruit de NSA missies uitvoerde.

Beveiligingsonderzoeker Kevin Beaumont is kritisch over de publicatie en zegt dat de lijst ongeveer negen jaar oud is en dat de servers inmiddels opnieuw zijn geïnstalleerd of niet meer werken. Hij acht de actie van de Shadowbrokers daarom een manier om publiciteit en geld te verkrijgen.

In augustus publiceerden de Shadowbrokers een aantal bestanden, waarvan later bleek dat deze werkende NSA-exploits bevatten voor onder andere firewalls van Cisco en Fortinet. De groepering houdt nog een aantal bestanden achter de hand, die deze voor de prijs van tienduizend bitcoin aanbiedt. Eerder schreef de New York Times op basis van anonieme bronnen dat de FBI de gegevens die eerder door de Shadowbrokers waren gepubliceerd, heeft aangetroffen in het huis van de ex-NSA-medewerker Harold Martin. Vooralsnog is het onduidelijk hoe de gegevens via Martin naar buiten zijn gekomen.

Moderatie-faq Wijzig weergave

Reacties (27)

Opmerkelijk is wel dat twee domeinnamen toebehoren aan een Nederlandse (Universiteit van Amsterdam) en een Belgische (Vrije Universiteit Brussel). Een andere interessante is het domeinnaam van de OPCW (Organisation for the Prohibition of Chemical Weapons). Ik ben wel benieuwd waarom de Amerikaanse overheid voor deze domeinen heeft gekozen.
Misschien om te doen voorkomen alsof hackpogingen vanaf die domeinen het werk van studenten is?
Het zal eerder iets anders bedoeld zijn, scholen en universiteiten zijn vaak (schrikbarend) makkelijke doelwitten, een willekeurige sjaak die een paar dagen op een hacking forum heeft rondgeklikt komt waarschijnlijk wel binnen bij de meeste scholen/universiteiten.

Dus dan is het meer een soort vermomming, NSA doet zich door gebruik van zulke servers voor als 'doorsnee hacker' (danwel 'scriptkiddie') ipv als een groep studenten (die weten vaak net hoe ze ondanks de verschillende policys een programma kunnen installeren)
Vergeet ook niet de bandbreedte die dat soort scholen bezitten. Ik las zelfs dat er Chinese servers tussen zitten. Lekker makkelijk ook. Vanuit China je eigen mensen hacken en dan breeduit gaan roepen dat Chinese overheden de US aant hacken zijn.

En uiteraard ook heel makkelijk, want zo omzeilen ze de US wetgeving die strenger is voor hun eigen bevolking dan degene daarbuiten.

Vies gluiperige instantie is het.
Haha, ja dat waren dus al die nieuws berichten, rusland nee noord korea nee t waren toch de chinezen. Oh w8 ze waren t zelf...
Ja, dat bedoel ik ook. :P Die domeinen waren al gehackt, dus van daar uit werden dan nieuwe "activiteiten" opgestart.

[Reactie gewijzigd door Atomsk op 31 oktober 2016 18:46]

Ik ben wel benieuwd waarom de Amerikaanse overheid voor deze domeinen heeft gekozen.
Waarschijnlijk om dezelfde reden dat een fietsendief jouw fiets heeft meegenomen; het was de eerste de beste die open stond.

Ik kan me voorstellen dat ze ook nog de voorkeur hebben voor snelle servers die op snelle netwerken zijn aangesloten maar niet extreem beveiligd zijn. Dan denk ik dat je binnen de muren van universiteiten wel veel geschikte doelen kan vinden.
Waarschijnlijk om dezelfde reden dat een fietsendief jouw fiets heeft meegenomen; het was de eerste de beste die open stond.

Ik denk niet dat de nsa voor servers kiest omdat ze het makkelijkst zijn..
...en een domein van de Belgische (Franstalige) nationale omroep.
Ik ben wel benieuwd waarom de Amerikaanse overheid voor deze domeinen heeft gekozen.
Waarschijnlijk hebben ze helemaal niet specifiek voor deze namen gekozen maar waren de betreffende servers (makkerlijk) te hacken.
Ik verwacht dat dit een combinatie is van risico analyse (hoe degelijk is beheer van dit soort partijen), beschikbaarheid van 'vulnerabilities' (een instantie met beperkt beheer heeft vaak ook minder grip op die vulnerabilities) en verwachtte repercussies als de 'intrusion' ontdekt wordt.
Ze kiezen niet voor een domein natuurlijk, het gaat meer om de locatie. Verstopt in een netwerk waar het gedrag niet snel opvalt, en ook enorm goed op andere manieren dan internet toegankelijk is (fysiek, campus wifi, relay servers) maar toch goed in de gaten te houden is, als je weet wat je zoekt..
Universiteiten voeren vaak onderzoeken uit, hierbij worden regelmatig scanners ingezet. Op het moment dat je een IP van een universiteit tegenkomt in de logs zul je hierbij niet direct aan de NSA denken, maar eerder aan een onderzoek. Aangezien er veel scans worden uitgevoerd door dergelijke instanties zullen de alarmbellen niet direct gaan rinkelen.
Omdat er een gigantische hoeveelheid data over the nederlandse internet exchange bedrijven gaat. De universiteiten in BelgiŽ en Nederland hebben een goede connectie met deze knooppunten. Dat maakt het voor de amerikanen makkelijker om minder op te vallen in de grote stroom data. En jong volwassenen op universiteiten die hacken zonder soms even goed na te denken over de consequenties. Al bij al een goede manier voor de Amerikaanse staats hackers om het wat moeilijker te maken om hun te traceren.
Hoe groot is het marktaandeel van (Open)Solaris anno 2016? Alle bronnen die ik kan vinden maken onderscheid tussen Windows, Linux / Unix en "Other", maar geen gespecifieerde percentages.
Hoe groot is het marktaandeel van (Open)Solaris anno 2016? Alle bronnen die ik kan vinden maken onderscheid tussen Windows, Linux / Unix en "Other", maar geen gespecifieerde percentages.
Het lijkt me piepklein maar ondanks dat toch een interessant doelwit. Als je hedentendagen nog Solaris draait dan heb je of heel goed nagedacht of heel lang niet geupgrade. In beide gevallen zit er waarschijnlijk een hoop smakelijke data op de server.
Feitelijk zeg je ongeveer heel Oracle Cloud :9

Ik weet dat meerdere klanten waar ik gewerkt heb nog (soms zeer oude) Solaris hebben draaien om lagecy software te kunnen supporten. Ook wordt het nogsteeds vanuit Oracle gepushed samen met hun Linux distro (The distro formaly known as unbreakable) TDFKAU.
Dus ik denk dat er nog meer dan genoeg Solaris te vinden is en zeker ook op plaatsen waar de NSA zonder al teveel moeite gewoon zijn gang kan gaan zonder ooit op te vallen.
Eigenlijk vrij apart dat de naam van die NSA onderzoeker, die na Edward Snowdon ging uitlekken en is opgepakt, hetzelfde is als een alias van "Harold Finch" (ook een alias) in de (inmiddels in Amerika gestopte) tv-show "Person of Interest".

[Reactie gewijzigd door ce_dev op 31 oktober 2016 17:04]

In augustus publiceerden de Shadowbrokers een aantal bestanden, waarvan later bleek dat deze werkende NSA-exploits bevatten voor onder andere firewalls van Cisco en Fortinet.
Is er al eens iets bewezen of moeten we gewoon geloven dat de NSA een vijand is? Persoonlijk denk ik dat dat hacken en binnendringen van computers door de NSA slechts bijzaak is naast het enorme sleepnet dat interessante informatie ophaalt over personen die daar zelf voor gezorgd hebben. Het publiek naar de lange weg laten zoeken is wat dat betreft slimme misleiding. Iedereen maakt zich druk om spoken en ondertussen veegt het sleepnet gewoon verder.
Vraag me af waar de naam Shadowbrokers vandaag komt. Ik gok dat Mass Effect de inspiratie is geweest, waar The Shadowbroker handelt in de geheimen en informatie die van belang zijn in dat universum. Leuke overeenkomt en zeker met raakvlakken ook 😄
Op Pastebin staat nog meer, waaronder degene die vermeld zijn in het nieuwsartikel: http://pastebin.com/qwv60MCf
server=domeinnaam?
Ja ik ben ook een beetje in de war. Ik zie geen servers maar domeinnamen. Wanneer ik "servers toon" denk ik aan een plaatje van een stapel pizzadozen in een rekje met een "Totally not NSA server" sticker erop

[Reactie gewijzigd door Gamebuster op 31 oktober 2016 16:22]

Je ziet FQDN hostnames van servers, en servers "tonen" zich aan internet met die FQDN.
Een IP heeft meestal een rDNS. Zo te zien hebben ze die namen in dit artikel gebruikt.
De NSA gebruikt nu de servers van o.a. Amazon
De NSA gebruikt nu de servers van Disney,,,

Zoiets roeptoeteren kan ieder 2e klasser die kan schrijven. We zien hier de onderbouwing graag tegemoet.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True