Розшифрований архів складається з двох папок, одна з яких містить файли «злитого» сервера, так, як ніби була зроблена резервна копія (бекап). Збережена структура каталогів, релевантна операційній системі Linux.
Друга папка називається «archive_files» і містить архів з програмами для злому (експлойтів).
Перш за все, впадає в очі, що представлене «кіберзброя» (тобто, програми для злому серверів за допомогою експлуатації вразливостей в програмному забезпеченні), датується 2001-2005 роками.
наприклад:
Файл xp_phpbb.pl є робочою програмою для популярного відкритого проекту веб-форуму під назвою PHPBB версії 2005-го року. Тобто, це файл 12 річної давності.
Файли xp_ * з експлойта під сервер електронної пошти Exchange, тільки поширюється у вигляді Exim (аналог Microsoft відкритого програмного забезпечення і настільки популярний, що використовується повсюдно) відносяться до 2002-го року. Більш того, самі ці програми для злому зібрані компілятором GCC версії 3.2, що відноситься до 2002 року.
Компілятор - це спеціальна програма, яка необхідна для складання інших програм з вихідного коду. Після складання компілятор залишає відомості про себе всередині зібраної програми. Ця інформація корисна для налагодження програми. Аналіз версій компіляторів, якими зібрані програми для злому, представлені в архіві, показує, що архів досить старий. Найновіша версія компілятора датується 2010-м роком.
У витекли архіві було виявлено багато файлів з технічною інформацією про контрольні суми інших файлів, - це своєрідні реєстри файлів. Мабуть, адміністратори сервера таким чином вели «облік» свого кіберзброї і інших файлів на сервері. Контрольна сума - це значення особливої криптографічного функції, обчислене від всіх даних файлу. Якщо вміст файлу змінити, то результат підрахунку контрольної суми буде іншим. Ця інформація проливає світло на реальні дати файлів, які були представлені. Найновіші з них датуються 2013 роком, а основна маса укладається в діапазон 2005-2011 рр. Причому в 2013 році спостерігається різкий спад, що може говорити, про те, що дана витік стався ближче до початку року.
цілі
В архіві знаходяться також файли журналів запуску програм для злому (експлойтів). Фактично це журнали про проведення успішних кібероперацій. У них записано, який заражений сервер і в який час повідомив в центр управління, що він успішно заражений і готовий до роботи під новим керівництвом. Перший успішний злом датується 17 серпня 2000 року, а останній - 18 серпня 2010 року.
Усередині файлів журналів можна знайти дати зараження і адресу сервера в інтернеті. Всього можна знайти відомості про успішне зломі як мінімум 910 серверів по всьому світу. Варто відзначити, що атакуючих явно цікавили сервера доменних імен (DNS) і поштові сервери - вони переважають в списку зламаних машин. За допомогою перших можна перехоплювати і перенаправляти користувача трафік сайтів, а за допомогою других - електронну пошту.
Росія за кількістю зламаних серверів знаходиться тільки на сьомому місці (45 серверів). При цьому під удар потрапили такі організації як Минатом, Управління справами Президента, Мерія Москви (mos.ru), Російська Академія Наук та інші ресурси. Повний список виглядає наступним чином:
- Butt-head.mos.ru (офіційний сайт мера Москви)
- Gate.technopolis.kirov.ru (сайт міста Кірова)
- Jur.unn.ac.ru (РАН)
- STOICSURGEON-X86-LINUX-FATALTOUCH-SRV-UDPRF-2.UDPRF.RU (Управління справами Президента)
- X86-freebsd-6.1-wickedviper-ns4.ainf.ru (Музей Енергії)
- STOICSURGEON-X86-LINUX-WICKEDVIPER-TUX.MINATOM.RU (Минатом)
- STOICSURGEON-X86-LINUX-TILTTOP-GATE-NTO2.VINITF.RU (РФЯЦ - ВНДІТФ, Російський Федеральний Ядерний Центр - Всеросійський науково-дослідний інститут технічної фізики імені академіка Є.І. Забабахіна)
- STOICSURGEON-X86-LINUX-TILTTOP-NS.SNZ.RU (сайт техпідтримки РФЯЦ - ВНДІТФ)
- kserv.krldysh.ru (сайт Інституту прикладної математики імені М. В. Келдиша РАН)
- laleh.itrc.ac.ru
- m0-s.san.ru
- mail.ioc.ac.ru (поштовий сервер Інституту органічної хімії ім. М.Д. Зелінського РАН)
- mcd-su-2.mos.ru
- ns1.bttc.ru
- ns1.bttc.ru
- Ns2.rosprint.ru
- nto2.vinitf.ru
- postbox.mos.ru
- Spirit.das2.ru
- sunhe.jinr.ru_
- webserv.mos.ru_
- x86-freebsd-5.3-sassyninja-mail.aprf.gov.ru
- x86-linux-fataltouch-srv-udprf-2.udprf.ru
- x86-linux-tilttop-bill.vega-int.ru
- x86-linux-tilttop-comet.vniitf.ru
- x86-linux-tilttop-gate-nto2.vniitf.ru
- x86-linux-tilttop-ns.snz.ru
- x86-linux-tilttop-ns-vega.int.ru
- x86-linux-tilttop-redhouse.vega-int.ru
- x86-linux-tilttop-tormoz.vniitf.ru
- x86-linux-wickedviper-tux.minatom.ru
Першою була зламана РАН, в 2002-2003 роках, а останні успішні зломи серверів в зоні .ru датуються 2007-му роком. З іншими технічними деталями даного дослідження можна ознайомитися тут .
висновок
Опублікований хакерами архів містить набір працездатних інструментів для злому, що експлуатують уже відомі уразливості різних програмних продуктів. Саме кіберзброя вже застаріло і датується 2000-2010-ми роками, як і журнали його використання.
У числі успішних цілей - 910 серверів по всьому світу, в основному в Японії, Китаю і Кореї. У числі зламаних Російських ресурсів - державні органи влади, сайти РАН і окремих інститутів, Минатом, а також деякі сервера доменних імен, - всі вони були зламані за період 2002-2007. Ніяких відомостей про належність архіву саме до агентству національної безпеки США в архіві немає. Про це говорять тільки самі хакери, які опублікували архів, і Едвард Сноуден.
