最新的黑客工具泄露表明NSA的目标是SWIFT银行网络

上周，黑客组织发布了Unix漏洞加密缓存的密码，包括Solaris操作系统的远程根零日漏洞，以及该组织去年夏天拍卖的TOAST框架。

黑客工具属于“方程组“–；一支与国家安全局（NSA）有联系的精英网络攻击部队。

现在，影子经纪集团刚刚通过其名为“迷失在翻译中”的新博文发布了一个新的117.9 MB加密档案，任何人都可以使用密码解锁该档案雷伊."

有人已经将解锁的档案上传到GitHub上，并列出了影子经纪人发布的转储文件中包含的所有文件，其中包括23个新的黑客工具。

这些黑客工具被命名为OddJob、EasyBee、EternalRomans、FuzzBunch、Educated Scholar、爱斯基摩人、Eclipse Wing、EsteAudit、Englishman Dentist、MofConfig、ErraticGopher、EmphasisMine、EmeraldThread、EternalSynergy、EwokFrenzy、ZippyBeer、ExplodingCan、DoublePulsar等。

安全研究人员已开始深入该垃圾场，以确定据称针对Windows平台的攻击、植入和有效载荷的能力。

NSA转储：Windows、Swift和OddJob

最新的转储文件由3个文件夹组成：Windows、Swift和OddJob。

影子经纪人的最新博文写道：“所以本周是关于钱的。影子经纪人向你展示卡片，影子经纪人希望你看到。有时人们不是目标受众。请关注新转储的链接。Windows.Swift.Oddjob。”。

这个窗户据研究人员称，folder中有许多针对Windows操作系统的黑客工具，但只适用于较旧版本的Windows（Windows XP）和Server 2003。

“ETERNALBLUE是一种#0天RCE攻击，通过SMB和NBT影响最新和更新的Windows 2008 R2服务器！”安全研究员Hacker Fantastic在Twitter上发了推特。

另一个文件夹，名为古怪的工作，包含一个基于Windows的植入物，并包含据称的配置文件和有效载荷。虽然目前关于这种植入的细节尚不多见，但OddJob可以在Windows Server 2003 Enterprise直至Windows XP Professional上运行。
安全架构师凯文·博蒙特（Kevin Beaumont）通过Twitter证实，一些Windows漏洞甚至在在线文件扫描服务VirusTotal上无法检测到，这表明以前从未见过这些工具。

另一位使用Twitter手柄x0rz的安全研究人员在推特上写道：“EquationGroup工具中有很多很好的远程利用。仅仅几天精心设计的0天就足以让地球运转起来。”。

这个敏捷的文件夹包含EpthPoint演示文稿、证据、凭证和内部架构，它是中东最大的SWIFT服务局之一。
SWIFT（全球银行间电信协会）是一个全球金融信息系统，世界各地的数千家银行和组织每天使用该系统转账数十亿美元。

安全研究员Matt Suiche在一篇博客文章中解释说：“SWIFT服务局在银行的SWIFT交易和消息方面相当于云；银行的交易由SWIFT服务局通过Oracle数据库和SWIFT软件托管和管理。”。

该文件夹包含从Oracle数据库中搜索信息的SQL脚本，如数据库用户列表和SWIFT消息查询。
除此之外，该文件夹还包含Excel文件，这些文件表明NSA的精英网络攻击单元方程组已经入侵并访问了世界上许多银行，其中大部分位于中东，如UAE、科威特、卡塔尔、巴勒斯坦和也门。

“巴勒斯坦银行的SWIFT主机运行的Windows 2008 R2易受攻击。”马特发推特。

一旦其他安全研究人员深入研究最新的垃圾场，就会有更多关键发现。

这是影子经纪人办公室发布的最新消息，目前还不确定黑客组织是否持有更多NSA黑客工具和漏洞，或者这是它从美国情报组织窃取的最后一批。

更新：东网否认斯威夫特黑客攻击指控

在今天发布的一份官方声明中，东网否认其SWIFT局受到了损害，并表示有关黑客攻击的报道“完全是虚假和毫无根据的”

“有关黑客入侵东网服务局（ENSB）网络的报道完全是虚假和毫无根据的。东网网络内部安全部门对其服务器进行了全面检查，未发现黑客入侵或任何漏洞。”

"The EastNets Service Bureau runs on a separate secure network that cannot be accessed over the public networks. The photos shown on twitter, claiming compromised information, is about pages that are outdated and obsolete, generated on a low-level internal server that is retired since 2013."