Резюмирую на данный момент:
------------------------------------------------------------------
Несколько независимых исследователей подтверждают работоспособность эксплоитов из архива, однако считают, что протестированные инструменты предназначены для эксплуатации внутри периметра.

GrEAT подтверждают, что инструментарий в архиве связан с Equation group большим количеством признаков. Анализ основан на особенностях реализации криптографии.

Твиттер Сноудена считает, что утечка произошла с промежуточных серверов, используемых специалистами TAO, и подозревает "русский след".
------------------------------------------------------------------

Для кулхацкеров:
Зеродеев, скорее всего, нет. Архивы старые, кода много, но он просто охватывает больщое количество вариаций устройств и прошивок. Легкость эксплуатации подсказывает, что инструментарий хорошо протестирован, отлажен. Однако возбуждающего слова "0day" скорее всего не будет. А может будет, тут как пойдет.

в случае EXTRABACON для успешной эксплуатации нужен не только доступ до SNMP циски но и знать еще ‘ro’ community string я так понимаю

ну и потом нужен доступ до telnet или ssh

Технически это всё выглядит, как набор тулзов для пост-эксплуатации, бекдоринга и шпионажа за сетью. Точка входа неизвестна, это может быть и физический доступ в ДЦ, и машины сетевых администраторов.

плюс enable password все равное не получиться обойти )

Обьем кода довольно большой, сейчас сильно рано говорить об отсутствии зиродеев

но возможно этот RCE может использоваться для устанвоки импланта JETPLOW

нашли уязвимость в их ПО https://twitter.com/x0rxCC/status/765749157134938112

алсо вчера смотрел код их на питоне, такой дичайший треш, такое мог написать только хакер, никак не профессионал

Former NSA analyst Blake Darche, who has been studying the leak, says the tools appear to be legitimate. Darche, CTO and co-founder of Area 1, says the backdoors and exploits in the dump include a tool called SecondDate that runs on Cisco PIX631 firewalls.
http://www.darkreading.com/threat-intelligence/strong-connection-between-files-leaked-by-shadowbrokers-and-the-equation-group/d/d-id/1326641

Called SecondDate, the capability was described in a 2012 NSA document as a tool “to influence real-time communications between client and server.” It has the ability to redirect Web browsers to the NSA’s FoxAcid malware servers, and it may have been used as part of an attack on Tor users. SecondDate can serve as part of a targeted attack, but it can also be used, according to NSA documents, for “mass exploitation potential for clients passing through network choke points.” In other words, SecondDate can be used in concert with the NSA’s other systems to attack whole swaths of the Internet, infecting systems with surveillance malware.
http://arstechnica.com/information-technology/2014/03/nsas-automated-hacking-engine-offers-hands-free-pwning-of-the-world/

A top-secret NSA presentation from 2012 reveals that the agency developed a man-in-the-middle capability called SECONDDATE to “influence real-time communications between client and server” and to “quietly redirect web-browsers” to NSA malware servers called FOXACID. In October, details about the FOXACID system werereported by the Guardian, which revealed its links to attacks against users of the Internet anonymity service Tor.

But SECONDDATE is tailored not only for “surgical” surveillance attacks on individual suspects. It can also be used to launch bulk malware attacks against computers.

According to the 2012 presentation, the tactic has “mass exploitation potential for clients passing through network choke points.”

Blaze, the University of Pennsylvania surveillance expert, says the potential use of man-in-the-middle attacks on such a scale “seems very disturbing.” Such an approach would involve indiscriminately monitoring entire networks as opposed to targeting individual suspects.

https://theintercept.com/2014/03/12/nsa-plans-infect-millions-computers-malware/

А как по мне, так питоновский код все-таки более чистый, чем у среднего PoC из интернетов.

начните отсюда https://github.com/nneonneo/eqgrp-free-file/blob/master/Firewall/EXPLOITS/EXBA/extrabacon_1.1.0.1.py#L109

Это да, согласен, поизящнее можно было бы реализовать.

там на самом деле такого много

Почитав такие истории, невольно начинаешь задумываться о реальной атаке на всю инфраструктуру государства, которая может быть спланирована и при реализации - успешна. Многоступенчатая схема - хорошо продуманная малварь на подобии стакснета имеет на борту десяток способов проникновения на сетевое оборудование, запускается в сеть и ломает по определенным диапазонам роутеры, маршрутизаторы, подменяя днс, вмешиваясь в http трафик. При подмене днс на клиентские машины ставиться вторая часть - ддос компонент, атакующий зашитый в неё список ключевых элементов инфраструктуры, сайты, сервера апдейтов, распостраняющий малварь по доступным видам коммуникаций типо usb. Если быстрыми темпами будет заражено 30-50% устройств в государстве, начинается децентрализованный ддос, парализующий инфраструктуру.

уж не говоря про механизмы вроде windows update и автообновление apk`шек на андроидах

К сожалению, в нашем государстве можно обойтись без зеродеев