Nedavno su se dogodili napadi u kojima se koriste hakerski alati koje je razvila NSA (Državna bezbednosna Agencija SAD-a), a koji su procureli u javnost zahvaljujući Shadow Brokers hakerskoj grupi. U pitanju su moćni alati DarkPulsar, DanderSpritz i FuzzBunch. Hakeri ih koriste za kompromitovanje sistema u industriji vazduhoplovstva, nuklearne energije itd. Posebno su na meti organizacije sa velikim IT i I&R sektorima. Do sada su zabeleženi napadi na sisteme Windows Server 2003 i 2008 u 50 organizacija u Rusiji, Iranu i Egiptu.
Svaki od ovih alata se sastoji iz više pluginova dizajniranih za različite zadatke.
DanderSpritz se sastoji od pluginova za prikupljanje informacija, upotrebu exploita i pregled već kompromitovanih uređaja. Napisan je u Javi i pruža interfejs sličan botnet admin panelima, kao i Metasploit konzoli. Ima i svoje backdoor trojance i pluginove za žrtve koje nisu pod kontrolom FuzzBuncha. DanderSpritz se koristi za upravljanje sistemima koji su već kompromitovani.
FuzzBunch pruža okvir za interakciju i zajedničko delovanje različitih funkcija. Sastoji se od različitih tipova pluginova koji služe za analizu sistema žrtve, eksploatisanje ranjivosti, pravljenje rasporeda zadataka itd. FuzzBunch se, dakle, koristi za izviđanje i hakovanje ciljanih sistema.
DarkPulsar je backdoor koji napadači mogu da kombinuju sa FuzzBunch exploit kit kako bi dobili daljinski pristup ciljanom serveru. Kada je backdoor u funkciji, napadači mogu da upotrebe DanderSpritz pluginove za praćenje i izvlačenje podataka sa kompromitovanih uređaja.
FuzzBunch i DanderSpritz su fleksibilni alati koji daju mogućnost za proširenje funkcionalnosti i kompatibilnosti sa drugim alatima. Otkriće poslednjeg talasa napada je važno jer pokazuje da su napadači sposobni da iskombinuju više hakerskih alata i exploita (razvijenih od strane države) i da od njih naprave moćno napadačko oružje za izvođenje veoma sofisticiranih hakerskih operacija.
DarkPulsar je praktično most između druga dva alata. Zajedno čine napadačku platformu dizajniranu za kompromitovanje sistema na duge staze, a to im omogućavaju napredne sposobnosti DarkPulsara koje se tiču trajnog i tajnog prisustva u sistemu žrtve. U pitanju su mogućnosti kao što je konverzija saobraćaja u legitimne protokole i zaobilaženje kredencijala kako bi se obavila autentifikacija.
Važno je napomenuti da postoje patchovi za ranjiivosti koje eksploatišu NSA alati.
Izvor: Security Affairs