I mitten av augusti dök det upp en webbsida som påstod sig auktionera ut cybervapen som tillhör en gruppering som fått namnet Equation Group. Namnet har myntats av antivirusföretaget Kaspersky som tror att en statlig aktör ligger bakom. Än så länge är 40 procent av de cybervapen som auktioneras ut släppta till allmänheten, och jag har tittat närmare på detta innehåll och dragit några slutsatser.

Först och främst kan man se att detta enbart är en liten del av en större verktygslåda med cybervapen (attackverktyg). Majoriteten av koden som är släppt riktar sig mot attacker av brandväggar från leverantörer såsom Cisco, Fortigate, Topsec och Juniper NetScreen.

Läs också: Enkelt att skicka bluffmejl från svenska storföretag

Attackerna går bland annat ut på att installera så kallade implantat som har olika syften så som att rensa loggar eller kryptera trafik som flödar genom brandväggen och sedan skicka denna vidare. Något som vi som jobbar med cybersäkerhet kallar för exfiltration. Många av dessa implantat innehåller kod som kräver administratörstillgång på brandväggen, det vill säga exploits som går att köra över nätverk samt lokalt och även detta finns med i läckan.

Cybervapnen innehåller kod som är slarvigt skriven, men det spelar inte så stor roll för koden får jobbet gjort. Instruktioner hur koden används är dock väldokumenterad.

Hur kan det komma sig att all denna kod läckt som innehåller mängder av zero-days (sårbarheter som inte är åtgärdade av leverantörer)? Det finns två huvudspår. Dels att det rör sig om en så kallad jump-box – en mellanliggande server som används för att utföra attacker från har blivit kapad av en annan statlig aktör eller hackargrupp. Givetvis ska denna mellanliggande server inte innehålla så mycket information som nu läckt, men någon har eventuellt gjort ett misstag och råkat placera mer information än lämpligt. Det andra spåret kan handla om att en anställd vid den amerikanska underrättelsetjänsten NSA, dess partners eller konsult läckt koden.

Det här är en artikel från Expert Network

Anteckningar till cybervapnen innehåller anteckningar så som ”glöm inte att radera efter dig och rensa loggar” samt ”använd inte denna attackkod över satellitlänk”. Även en del ovanliga krypton så som RC6 har påträffats, sådant som inte har identifierats hos någon annan typ av hackargrupp.

Den som vill vara med i auktionen ska betala bitcoin till en adress, men det finns även en tvist: Även den som kommer på andra plats blir av med sin insats.

Läs också: 700 miljarder på säkerhet – här lägger företagen sina pengar

Tittar vi på tidsstämplar ser vi att det mesta är från perioden 2010 till 2013, och det betyder att de icke åtgärdade sårbarheter som nu släppts har någon suttit på eller använt sedan dess.

För att se om er organisation har blivit utsatt för någon av dessa attacker så bör rå trafikinspelning till hårddisk användas av all internettrafik. Men det kräver en hel del disk för att spara minst tre år av data. En forensisk undersökning av brandväggen kan också genomföras, men det är tyvärr inte helt lätt på alla typer av brandväggar.

Vi vet fortfarande lite om dessa cybervapen, men kontinuerliga undersökningar pågår på många fronter och det krävs en hel del reverse-engineering vilket tar tid. Detta eftersom källkod inte finns tillgängligt till alla de 3639 filer som släpptes.

Fakta

Befattning: Senior IT Security Specialist
Företag: Triop
Linkedin: Jonas Lejon
Twitter: @jonasl
E-post: jonas.expertnetwork@triop.se
Hemsida: www.triop.se, www.kryptera.se
Expertområden: Cybersäkerhet, krypto, granskningar, skadlig kod, cyberkrig, it-angrepp, exfiltrationsattacker, robust it-infrastruktur.
Bakgrund: Har jobbat mer än 10 år på FRA och Försvarsmakten. Driver Sveriges största blogg inom it-säkerhet och kryptering på kryptera.se.