U dugoj istoriji hakovanja malo je slučajeva ostalo toliko zagonetno kao Shadow Brokers.
Ta misteriozna grupa je 2016. godine objavila arsenal naprednih alata za sajber napade za koje se vjeruje da su ukradeni američkoj NSA, a zatim praktično nestala bez traga, piše Tek kranč.
Dok su brojne poznate hakerske grupe tokom godina identifikovane, optužene ili uhapšene, od kriminalnih mreža poput LAPSUS$ do državnih operacija povezanih sa Rusijom i Kinom – identitet Shadow Brokersa ostaje neotkriven.
Grupa se pojavila u ljeto 2016. godine, usred intenzivnih sajber napada povezanih sa američkim predsjedničkim izborima. Na Tviteru su objavili link do Pastebin dokumenta naslovljenog “Equation Group Cyber Weapons Auction – Invitation”, uz tvrdnju da su provalili u Ekvator grupu, tajanstvenu hakersku jedinicu koju bezbjednosni stručnjaci godinama povezuju sa NSA.
Teatralan nastup i nevjerovatne vještine
Poruka je bila haotična i puna namjerno iskrivljenog engleskog: nudili su dio alata besplatno, a ostatak navodno planirali da prodaju najboljem ponuđaču. Tražili su za to najmanje milion bitkoina i tvrdili da su njihove datoteke bolje od Staksneta, zloglasnog malvera korišćenog protiv iranskog nuklearnog programa.
Mnogi su u početku sumnjali da je aukcija samo neka vrsta performansa, ali kada su istraživači otvorili objavljene datoteke, postalo je jasno da se radi o izuzetno sofisticiranim alatima za sajber napade. Nekoliko programa imalo je nazive koji su se poklapali sa materijalima što ih je ranije otkrio Edvard Snouden, što je samo učvrstilo sumnju da je riječ o stvarnom arsenalu NSA.
Aukcija se pokazala kao mamac: u mjesecima nakon prve objave Shadow Brokers su postepeno javno objavili još veći broj alata. Ipak, gotovo ništa drugo nije imalo smisla.
Ko stoji iza Shadow Brokersa?
Njihova komunikacija bila je neobična i teatralna, kao da namjerno pokušavaju da prikriju trag ili ostave utisak karikature. Medije su skoro u cijelosti izbjegavali, a poznato je tek jedno kratko obraćanje novinaru Džozefu Koksu dok je radio za Maderbord.
Tokom godina pojavilo se više teorija. Jedan od potencijalnih osumnjičenih bio je bivši saradnik NSA Harold T. Martin Treći, uhapšen zbog krađe povjerljivih dokumenata. Međutim, ta teorija je oslabila kada je postalo jasno da su Shadow Brokersi nastavili da objavljuju sadržaj dok je Martin bio u pritvoru.
Najraširenija pretpostavka među bezbjednosnim stručnjacima jeste da je riječ o ruskoj obavještajnoj operaciji – ne samo krađi, nego i informacionom potezu osmišljenom za politički i propagandni efekat.
Posljedice curenja bile su ogromne
Među objavljenim alatima nalazio se i EternalBlu – skup ranjivosti u Vindouzu koji je napadačima omogućavao brzo širenje kroz mreže. Sjevernokorejski hakeri kasnije su ga iskoristili za ucjenjivački ransomware napad WannaCry, ciljajući bolnice, kompanije i državne sisteme širom svijeta.
Ruski akteri potom su isti propust uključili u sajber napad NotPetya, koji je krenuo iz Ukrajine, ali se globalno proširio i nanio štetu procijenjenu na oko 10 milijardi dolara.
Za privatni sektor poruka je bila jasna: ranjivosti koje obavještajne agencije čuvaju kao tajno oružje mogu završiti u javnosti, a tada trošak često ne snose države, nego kompanije i civilna infrastruktura.
Zanimljivo, curenje i dalje otkriva nove detalje. Među alatima je bio i spisak internih projekata, uključujući onaj pod nazivom Fast16. Istraživači su ga tek nedavno detaljnije analizirali i pronašli tragove malvera iz 2005. godine koji je, prema njihovim zaključcima, bio dizajniran za manipulaciju softverom povezanim sa iranskim nuklearnim stručnjacima.
Tajna koja ostaje… tajnovita
Gotovo deset godina nakon prve objave, Shadow Brokers ostaje jedna od najvećih neriješenih priča u istoriji kibernetičke bezbjednosti: grupa koja je objavila neke od najopasnijih digitalnih alata ikada viđenih i zatim nestala bez potvrđenog identiteta, bez jasnog motiva i bez odgovora koji bi objasnili kako je jedna od najmoćnijih obavještajnih agencija na svijetu izgubila kontrolu nad svojim sajber arsenalom.