Nya läckta filer från Shadow Brokers

Shadow Brokers är en grupp som släpper filer relaterade till Equation Group vilket av många anser vara en hackergrupp inom den amerikanska underrättelsemyndigheten NSA.

Denna gång släpper Shadow Brokers en mängd med hostnamn och IP-adresser med tillhörande information. Det nya släppet innehåller cirka 300 kataloger och tillhörande filer i en struktur som ser ut att möjliggöra omstyrning av Internet-trafik (C&C). Troligtvis har dessa servrar och klienter hackats någon gång i tiden och sedan utnyttjats vidare för att utföra vidare angrepp.

Denna nya släppta information är dock troligtvis mycket gammal och härrör från 2000 till 2010, exakta tidsstämplar pekar på 22:a Augusti 2000 kl 13:50:45 till 18:de Augusti 2010 kl 11:43:46.

Gemensamt är att många av de många servrar som återfinnes använder sig av Sendmail. Troligtvis så har en säkerhetsbrist i Sendmail utnyttjats:

Även så förekommer även en hel del nya projektnamn såsom DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK och STOICSURGEON.

Och de länder som hackade servrar återfinnes i är topp 10 följande:

Även så återfinnes ett antal servrar på KTH:s datorförening Stacken. Dock verkar ingen av dessa servrar finnas kvar längre.

Katalogstrukturen ser ut enligt följande och majoriteten refererar till Sun Solaris som operativsystem:

Och filerna innehåller konfigurationsinställningar, exempelvis denna:

Hela filstrukturen återfinnes på pastebin:

• http://pastebin.com/HWf43kav

Karta över infekterade datorer i Google Fusion tables: