The Shadow Brokers, kelompok hacking terkenal yang membocorkan beberapa alat hacking NSA, sekali lagi menjadi berita utama untuk merilis eksploitasi NSA lainnya – namun hanya untuk pelanggan layanan dump bulanannya saja.
Dijuluki UNITEDRAKE, implan ini merupakan “sistem pengumpulan jarak jauh yang dapat diperluas sepenuhnya” yang disertakan dengan sejumlah “plug-in”, yang memungkinkan penyerang untuk mengambil alih kendali atas komputer Windows yang ditargetkan.
Dalam posting terakhirnya, kelompok hacking tersebut mengumumkan beberapa perubahan pada layanan dump bulanan dan merilis file terenkripsi dari bulan-bulan sebelumnya juga.
Khususnya, dump bulan September juga menyertakan file PDF yang tidak dienkripsi, yang merupakan panduan pengguna untuk pemanfaatan UNITEDRAKE (United Rake) yang dikembangkan oleh NSA.
Menurut manual pengguna yang bocor, UNITEDRAKE adalah perangkat lunak modular yang dapat disesuaikan dengan kemampuan untuk menangkap output webcam dan mikrofon, keylogger, akses drive eksternal dan banyak lagi fungsi lain untuk memata-matai targetnya.
Alat ini terdiri dari lima komponen-server (Listening Post), antarmuka manajemen sistem (SMI), database (untuk menyimpan dan mengelola informasi yang dicuri), modul plug-in (memungkinkan kemampuan sistem diperluas), dan klien.
Kebocoran Snowden Juga Membahas UNITEDRAKE
UNITEDRAKE awalnya terungkap pada tahun 2014 sebagai bagian dari dokumen rahasia NSA yang bocor oleh mantan kontraktor Edward Snowden.
Dokumen Snowden menyarankan badan tersebut menggunakan alat tersebut di samping malware lainnya, termasuk CAPTIVATEDAUDIENCE, GUMFISH, FOGGYBOTTOM, GROK, dan SALVAGERABBIT, untuk menginfeksi jutaan komputer di seluruh dunia.
- CAPTIVATEDAUDIENCE adalah untuk merekam percakapan melalui mikrofon komputer yang terinfeksi
- GUMFISH adalah untuk diam-diam mengambil kendali atas webcam komputer dan foto snap
- FOGGYBOTTOM untuk exfiltrating data internet seperti browsing history, rincian login dan password
- GROK adalah Trojan keylogger untuk menangkap penekanan tombol.
- SALVAGERABBIT adalah untuk mengakses data pada removable flash drive yang terhubung ke komputer yang terinfeksi.
Persyaratan Baru Untuk Layanan Dump Bulanan
The Shadow Brokers sekarang hanya menerima pembayaran di ZCash (ZEC) dari pelanggan bulanannya, daripada Monero karena menggunakan email teks yang jelas untuk pengiriman, dan juga menaikkan tingkat eksploitasi, menuntut hampir $4 juta.
Kelompok tersebut menuntut 100 ZEC saat memulai layanan dump bulanan pertamanya di bulan Juni, namun sekarang para peretas menuntut 16.000 ZEC (yang biaya totalnya $3.914.080) untuk semua dump NSA. Saat ini ZCash diperdagangkan dengan harga $248 per unit.
Mereka yang ingin mendapatkan akses hanya ke dump September yang menyertakan file malware NSA baru perlu membayar senilai 500 ZEC.
Shadow Broker mendapatkan popularitas setelah membocorkan eksploitasi zero-day SMB, yang disebut EternalBlue, serangan ransomware Wannacry bertenaga yang melumpuhkan bisnis dan layanan besar di seluruh dunia pada bulan Mei.
Setelah itu, kelompok hacking misterius tersebut mengumumkan layanan dump bulanan bagi mereka yang ingin mendapatkan akses eksklusif ke gudang senjata NSA, yang mereka klaim telah mencurinya dari agensi tersebut tahun lalu.
