Shadowbrokers: Nieuwe publicatie toont servers die door NSA werden gebruikt

De Shadowbrokers, de groepering die eerder werkende NSA-exploits voor firewalls van Cisco en Fortinet publiceerde, heeft nieuwe gegevens gepubliceerd. Daarvan zeggen zij dat dit servers zijn die door de NSA werden gebruikt.

In een bericht op de site Medium schrijven de Shadowbrokers dat 'veel NSA-missies vanuit de ip-adressen in de publicatie werden of worden uitgevoerd'. Tussen de gegevens zitten zowel Nederlandse als Belgische adressen, waaronder newin.int.rtbf.be, debby.vub.ac.be, vnet3.vub.ac.be, logos.uba.uva.nl, nl37.yourname.nl en opcwdns.opcw.nl. De lijsten dragen de namen 'Pitchimpair' en 'Intonation'. The Register schrijft dat deze verwijzen naar NSA-programma's.

De Shadowbrokers schrijven verder dat de gegevens die zij momenteel proberen te verkopen, 'een verbinding mogelijk maakten met deze pitchimpairs'. Beveiligingsonderzoeker Matthew Hickey legt aan Forbes uit dat de maandag gepubliceerde bestanden waarschijnlijk bewijs moeten vormen dat de nog te verkopen bestanden exploits of implants voor Solaris-servers bevatten. Het overgrote deel van de servers in de lijst draait dit systeem. Hij voegt daaraan toe dat de lijst zelf mogelijk zogenaamde 'staging servers' bevat, van waaruit de NSA missies uitvoerde.

Beveiligingsonderzoeker Kevin Beaumont is kritisch over de publicatie en zegt dat de lijst ongeveer negen jaar oud is en dat de servers inmiddels opnieuw zijn geïnstalleerd of niet meer werken. Hij acht de actie van de Shadowbrokers daarom een manier om publiciteit en geld te verkrijgen.

In augustus publiceerden de Shadowbrokers een aantal bestanden, waarvan later bleek dat deze werkende NSA-exploits bevatten voor onder andere firewalls van Cisco en Fortinet. De groepering houdt nog een aantal bestanden achter de hand, die deze voor de prijs van tienduizend bitcoin aanbiedt. Eerder schreef de New York Times op basis van anonieme bronnen dat de FBI de gegevens die eerder door de Shadowbrokers waren gepubliceerd, heeft aangetroffen in het huis van de ex-NSA-medewerker Harold Martin. Vooralsnog is het onduidelijk hoe de gegevens via Martin naar buiten zijn gekomen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 31-10-2016 14:5527

31-10-2016 • 14:55

27 Linkedin

Lees meer

Verdachte diefstal ruim 50TB aan Amerikaanse staatsgeheimen bekent schuld Nieuws van 29 maart 2019
Shadowbrokers-release toont aan dat CIA Swift-betalingsnetwerk infiltreerde Nieuws van 14 april 2017
Shadowbrokers geven wachtwoord voor versleutelde set NSA-hacktools vrij Nieuws van 9 april 2017
'CIA gebruikt zero-days in Windows, Android, iOS en Samsung-tv's voor spionage' Nieuws van 7 maart 2017
Ex-NSA-medewerker aangeklaagd voor grote datadiefstal van geheime diensten Nieuws van 9 februari 2017
'Nieuwe publicatie Shadowbrokers bevat uitgebreide NSA-hacktools' Nieuws van 18 december 2016
'FBI vindt uitgelekte hacktools in documenten van gearresteerde NSA-medewerker' Nieuws van 20 oktober 2016
Shadowbrokers stoppen met veiling van NSA-hacktools Nieuws van 17 oktober 2016
Cisco brengt patches uit voor kwetsbaarheden gebruikt in NSA-exploits Nieuws van 25 augustus 2016
Cisco en Fortinet brengen waarschuwingen uit voor NSA-exploits Nieuws van 18 augustus 2016
Hacker voert Equation Group-exploit succesvol uit op Cisco-firewall Nieuws van 16 augustus 2016
Groepering claimt bestanden van aan NSA gerelateerde Equation Group te veilen Nieuws van 15 augustus 2016
Meer producten en artikelen
Netwerk en systeembeheer NSA Security spionage

Reacties (27)

-Moderatie-faq
27
27
24
0
0
1
Wijzig sortering
oohh
31 oktober 2016 15:06
Opmerkelijk is wel dat twee domeinnamen toebehoren aan een Nederlandse (Universiteit van Amsterdam) en een Belgische (Vrije Universiteit Brussel). Een andere interessante is het domeinnaam van de OPCW (Organisation for the Prohibition of Chemical Weapons). Ik ben wel benieuwd waarom de Amerikaanse overheid voor deze domeinen heeft gekozen.
Atomsk
@oohh31 oktober 2016 15:24
Misschien om te doen voorkomen alsof hackpogingen vanaf die domeinen het werk van studenten is?
434365
@Atomsk31 oktober 2016 17:09
Het zal eerder iets anders bedoeld zijn, scholen en universiteiten zijn vaak (schrikbarend) makkelijke doelwitten, een willekeurige sjaak die een paar dagen op een hacking forum heeft rondgeklikt komt waarschijnlijk wel binnen bij de meeste scholen/universiteiten.

Dus dan is het meer een soort vermomming, NSA doet zich door gebruik van zulke servers voor als 'doorsnee hacker' (danwel 'scriptkiddie') ipv als een groep studenten (die weten vaak net hoe ze ondanks de verschillende policys een programma kunnen installeren)
Yzord
@43436531 oktober 2016 18:53
Vergeet ook niet de bandbreedte die dat soort scholen bezitten. Ik las zelfs dat er Chinese servers tussen zitten. Lekker makkelijk ook. Vanuit China je eigen mensen hacken en dan breeduit gaan roepen dat Chinese overheden de US aant hacken zijn.

En uiteraard ook heel makkelijk, want zo omzeilen ze de US wetgeving die strenger is voor hun eigen bevolking dan degene daarbuiten.

Vies gluiperige instantie is het.
ChAiNsAwII
@Yzord31 oktober 2016 19:33
Haha, ja dat waren dus al die nieuws berichten, rusland nee noord korea nee t waren toch de chinezen. Oh w8 ze waren t zelf...
Atomsk
@43436531 oktober 2016 18:46
Ja, dat bedoel ik ook. :P Die domeinen waren al gehackt, dus van daar uit werden dan nieuwe "activiteiten" opgestart.

[Reactie gewijzigd door Atomsk op 31 oktober 2016 18:46]

CAPSLOCK2000
@oohh31 oktober 2016 15:35
Ik ben wel benieuwd waarom de Amerikaanse overheid voor deze domeinen heeft gekozen.
Waarschijnlijk om dezelfde reden dat een fietsendief jouw fiets heeft meegenomen; het was de eerste de beste die open stond.

Ik kan me voorstellen dat ze ook nog de voorkeur hebben voor snelle servers die op snelle netwerken zijn aangesloten maar niet extreem beveiligd zijn. Dan denk ik dat je binnen de muren van universiteiten wel veel geschikte doelen kan vinden.
SBTweaker
@CAPSLOCK200031 oktober 2016 16:54
Waarschijnlijk om dezelfde reden dat een fietsendief jouw fiets heeft meegenomen; het was de eerste de beste die open stond.

Ik denk niet dat de nsa voor servers kiest omdat ze het makkelijkst zijn..
Shandon
@oohh31 oktober 2016 15:12
...en een domein van de Belgische (Franstalige) nationale omroep.
Zer0
@oohh31 oktober 2016 15:20
Ik ben wel benieuwd waarom de Amerikaanse overheid voor deze domeinen heeft gekozen.
Waarschijnlijk hebben ze helemaal niet specifiek voor deze namen gekozen maar waren de betreffende servers (makkerlijk) te hacken.
MucGhuine
@oohh31 oktober 2016 15:24
Ik verwacht dat dit een combinatie is van risico analyse (hoe degelijk is beheer van dit soort partijen), beschikbaarheid van 'vulnerabilities' (een instantie met beperkt beheer heeft vaak ook minder grip op die vulnerabilities) en verwachtte repercussies als de 'intrusion' ontdekt wordt.
Barryke
@oohh31 oktober 2016 16:54
Ze kiezen niet voor een domein natuurlijk, het gaat meer om de locatie. Verstopt in een netwerk waar het gedrag niet snel opvalt, en ook enorm goed op andere manieren dan internet toegankelijk is (fysiek, campus wifi, relay servers) maar toch goed in de gaten te houden is, als je weet wat je zoekt..
Thapous
@oohh31 oktober 2016 19:16
Universiteiten voeren vaak onderzoeken uit, hierbij worden regelmatig scanners ingezet. Op het moment dat je een IP van een universiteit tegenkomt in de logs zul je hierbij niet direct aan de NSA denken, maar eerder aan een onderzoek. Aangezien er veel scans worden uitgevoerd door dergelijke instanties zullen de alarmbellen niet direct gaan rinkelen.
Kain_niaK
@oohh31 oktober 2016 20:32
Omdat er een gigantische hoeveelheid data over the nederlandse internet exchange bedrijven gaat. De universiteiten in België en Nederland hebben een goede connectie met deze knooppunten. Dat maakt het voor de amerikanen makkelijker om minder op te vallen in de grote stroom data. En jong volwassenen op universiteiten die hacken zonder soms even goed na te denken over de consequenties. Al bij al een goede manier voor de Amerikaanse staats hackers om het wat moeilijker te maken om hun te traceren.
sfranken
31 oktober 2016 14:58
Hoe groot is het marktaandeel van (Open)Solaris anno 2016? Alle bronnen die ik kan vinden maken onderscheid tussen Windows, Linux / Unix en "Other", maar geen gespecifieerde percentages.
CAPSLOCK2000
@sfranken31 oktober 2016 15:39
Hoe groot is het marktaandeel van (Open)Solaris anno 2016? Alle bronnen die ik kan vinden maken onderscheid tussen Windows, Linux / Unix en "Other", maar geen gespecifieerde percentages.
Het lijkt me piepklein maar ondanks dat toch een interessant doelwit. Als je hedentendagen nog Solaris draait dan heb je of heel goed nagedacht of heel lang niet geupgrade. In beide gevallen zit er waarschijnlijk een hoop smakelijke data op de server.
COW_Koetje
@CAPSLOCK200031 oktober 2016 19:28
Feitelijk zeg je ongeveer heel Oracle Cloud :9

Ik weet dat meerdere klanten waar ik gewerkt heb nog (soms zeer oude) Solaris hebben draaien om lagecy software te kunnen supporten. Ook wordt het nogsteeds vanuit Oracle gepushed samen met hun Linux distro (The distro formaly known as unbreakable) TDFKAU.
Dus ik denk dat er nog meer dan genoeg Solaris te vinden is en zeker ook op plaatsen waar de NSA zonder al teveel moeite gewoon zijn gang kan gaan zonder ooit op te vallen.
TheRealProcyon
31 oktober 2016 17:02
Eigenlijk vrij apart dat de naam van die NSA onderzoeker, die na Edward Snowdon ging uitlekken en is opgepakt, hetzelfde is als een alias van "Harold Finch" (ook een alias) in de (inmiddels in Amerika gestopte) tv-show "Person of Interest".

[Reactie gewijzigd door TheRealProcyon op 31 oktober 2016 17:04]

blorf
31 oktober 2016 17:32
In augustus publiceerden de Shadowbrokers een aantal bestanden, waarvan later bleek dat deze werkende NSA-exploits bevatten voor onder andere firewalls van Cisco en Fortinet.
Is er al eens iets bewezen of moeten we gewoon geloven dat de NSA een vijand is? Persoonlijk denk ik dat dat hacken en binnendringen van computers door de NSA slechts bijzaak is naast het enorme sleepnet dat interessante informatie ophaalt over personen die daar zelf voor gezorgd hebben. Het publiek naar de lange weg laten zoeken is wat dat betreft slimme misleiding. Iedereen maakt zich druk om spoken en ondertussen veegt het sleepnet gewoon verder.
marhalm
31 oktober 2016 19:06
Vraag me af waar de naam Shadowbrokers vandaag komt. Ik gok dat Mass Effect de inspiratie is geweest, waar The Shadowbroker handelt in de geheimen en informatie die van belang zijn in dat universum. Leuke overeenkomt en zeker met raakvlakken ook 😄
Baris
31 oktober 2016 19:21
Op Pastebin staat nog meer, waaronder degene die vermeld zijn in het nieuwsartikel: http://pastebin.com/qwv60MCf
M.l.
31 oktober 2016 16:06
server=domeinnaam?
Gamebuster
@M.l.31 oktober 2016 16:21
Ja ik ben ook een beetje in de war. Ik zie geen servers maar domeinnamen. Wanneer ik "servers toon" denk ik aan een plaatje van een stapel pizzadozen in een rekje met een "Totally not NSA server" sticker erop

[Reactie gewijzigd door Gamebuster op 31 oktober 2016 16:22]

Zer0
@Gamebuster31 oktober 2016 16:50
Je ziet FQDN hostnames van servers, en servers "tonen" zich aan internet met die FQDN.
wowzie
@M.l.31 oktober 2016 16:52
Een IP heeft meestal een rDNS. Zo te zien hebben ze die namen in dit artikel gebruikt.
alexanderjcs
31 oktober 2016 15:34
De NSA gebruikt nu de servers van o.a. Amazon
Edgarz
@alexanderjcs31 oktober 2016 23:47
De NSA gebruikt nu de servers van Disney,,,

Zoiets roeptoeteren kan ieder 2e klasser die kan schrijven. We zien hier de onderbouwing graag tegemoet.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee