Группировка The Shadow Brokers рассказала еще об одном эксплоите АНБ

Группировка The Shadow Brokers рассказала еще об одном эксплоите АНБ

Группировка The Shadow Brokers рассказала еще об одном эксплоите АНБ

Еще в мае 2017 года группа The Shadow Brokers, ранее опубликовавшая в открытом доступе хакерский инструментарий АНБ, заявила, что в ее распоряжении имеется еще немало ценной информации и эксплоитов.

После шумихи, вызванной шифровальщиком WannaCry, который распространялся при помощи одного из инструментов, бесплатно обнародованных The Shadow Brokers, злоумышленники вновь попытались монетизировать попавшие в их руки данные и предложили всем желающим подписаться на новый сервис «Ежемесячный дамп The Shadow Brokers», чье название говорит само за себя. Для оформления «подписки» нужно было перевести хакерам 200 ZEC  (Zcash) или 1000 XMR (Monero), то есть 46 000 — 64 000 долларов на тот момент, пишет xakep.ru.

На этой неделе The Shadow Brokers опубликовали новое послание, в котором рассказали, что теперь правила их сервиса меняются. Отныне хакеры обещают предоставлять своим подписчикам сразу два дампа в месяц. Очевидно, таким образом группа пытается подогреть интерес потенциальных покупателей к своей информации.

Также хакеры сообщили, что к оплате теперь принимается только криптовалюта Zcash и посоветовали своим клиентам использовать защищенные почтовые сервисы Tutanota и Protonmail. Скорее всего, отказ от Monero обусловлен исследованием, которое в прошлом месяце опубликовал специалист, известный под псевдонимом wh1sks. Он утверждает, что ему удалось извлечь email-адреса и платежные ID (payment ID, PID) подписчиков The Shadow Brokers из блокчейна Monero (XMR). В итоге wh1sks удалось подсчитать, что на июльском дампе группировка заработала как минимум 88 000 долларов (порядка 2000 XMR).

Кроме того, группировка выставила на продажу дампы прошлых месяцев. Их стоимость варьируется от 100 ZEC ($24 000) до 1600 ZEC ($3,8 млн).

Вместе с новым посланием хакеры бесплатно опубликовали мануал к августовскому дампу, который дает понять, что тогда подписчики The Shadow Brokers якобы получили эксплоит АНБ под названием UNITEDRAKE. Из описания малвари ясно, что UNITEDRAKE — это модульная платформа для атак на машины, работающие под управлением Microsoft Windows (XP, Windows Server 2003 и 2008, Vista, Windows 7 SP 1 и ниже, а также Windows 8 и Windows Server 2012). Экплоит предназначен для удаленного сбора данных, но может использоваться и для перехвата контроля над зараженным устройством. Различные модули, включая FOGGYBOTTOM и GROK, позволяют следить за всеми коммуникациями жертвы, перехватывать нажатия клавиш, а также сигнал микрофона и веб-камеры.

В 2014 году UNITEDRAKE уже упоминался на страницах издания The Intercept, когда началась публикация документов Сноудена. В 2015 году инструмент также фигурировал в отчете «Лаборатории Касперского», посвященном деятельности хакерской группировки Equation Group (группа, которую обокрали The Shadow Brokers, чья связь с АНБ давно доказана). Специалисты «Лаборатории Касперского» называли малварь EquationDrug и писали, что ее наследником стал вредонос GrayFish. По словам экспертов, EquationDrug и GrayFish применялись с 2003 по 2014 годы и были одними из наиболее сложных шпионских платформ в арсенале Equation Group (то есть АНБ).

Хотя в теории, дампы The Shadow Brokers содержат такие интересные вещи, как UNITEDRAKE, ИБ-специалисты настроены крайне скептически. Дело в том, что даже если оставить за скобками этический аспект, злоумышленники по-прежнему не предоставляют каких-либо серьезных доказательств наличия у них ценной информации, но при этом требуют огромные суммы за этого «кота в мешке». Кроме того, один из подписчиков злоумышленников уже жаловался, что заплатил десятки тысяч долларов (500 XMR) за совершенно бесполезную информацию.

Напомню, что ранее подписаться на дампы группировки пытались и ИБ-специалисты. Для этого даже была запущена краудфандинговая кампания, однако эта затея не увенчалась успехом из-за юридических сложностей. Все-таки покупка кибероружия у хакерской группы, пусть даже с целью изучения, – это никак не невинный проступок.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru