TechCrunch mereview bahwa "Shadow Brokers" yang muncul secara tiba-tiba pada tahun 2016 hingga kini tetap menjadi salah satu misteri paling sulit dipecahkan dalam sejarah keamanan siber. Organisasi ini melepaskan sejumlah alat peretasan yang diduga berasal dari National Security Agency (NSA) AS pada tahun itu, lalu cepat menghilang dari pandangan publik. Sepuluh tahun berlalu, identitas sebenarnya masih belum diketahui, dan tidak ada satu pun pihak yang secara resmi dituntut atas kebocoran ini.
Alat yang dipublikasikan atas nama lelang
Peristiwa ini awalnya muncul ke publik melalui sebuah dokumen berjudul "Equation Group Cyber Weapons Auction — Invitation". Dokumen tersebut menyertakan sebagian tautan unduhan alat, serta sebuah arsip terenkripsi. Penerbit menyatakan bahwa penawar dapat membuka konten lebih lanjut melalui penawaran, dan meminta setidaknya 1 juta Bitcoin.
Setelah dianalisis oleh peneliti keamanan, ditemukan bahwa kompleksitas alat-alat ini sangat tinggi, dan secara luas diyakini berasal dari operasi peretas yang terkait dengan NSA. Beberapa nama proyek juga memiliki korespondensi dengan proyek NSA yang diungkapkan oleh Snowden, yang semakin memperkuat penilaian terkait.
Namun, lelang yang disebut-sebut ini kemudian dianggap lebih seperti gimmick. Beberapa bulan kemudian, "Shadow Brokers" secara bertahap mempublikasikan sejumlah besar alat secara langsung, bukan menjualnya melalui mekanisme penawaran.
Identitas masih belum dipastikan
Mengenai identitas di balik layar, berbagai spekulasi telah diajukan. Laporan tersebut menyebutkan bahwa pernah ada anggapan bahwa personel NSA atau mantan kontraktor terlibat. Harold Martin III sempat dianggap sebagai salah satu kemungkinan pelaku, setelah ia ditangkap karena mencuri informasi rahasia dari NSA.
Namun, dugaan ini selalu kekurangan bukti langsung. Salah satu alasannya adalah bahwa selama Martin ditahan, "Shadow Brokers" tetap aktif secara online. Ia sendiri juga tidak pernah secara resmi didakwa karena alat-alat yang bocor tersebut.
Salah satu pernyataan yang sering dikutip saat ini adalah bahwa identitas ini mungkin merupakan alat propagandis yang dibentuk oleh kelompok peretas yang terkait dengan intelijen Rusia. Namun, hingga kini, penilaian ini belum dikonfirmasi secara publik.
Alat kebocoran mengubah skala serangan
Peristiwa ini memiliki dampak luas bukan hanya karena melibatkan lembaga intelijen Amerika, tetapi juga karena alat yang bocor segera diubah menjadi senjata. Yang paling diperhatikan adalah EternalBlue. Ini adalah serangkaian eksploitasi zero-day untuk Windows yang membantu penyerang masuk ke jaringan target dan menyebar secara cepat di antara sistem.
Selanjutnya, peretas Korea Utara menggunakan EternalBlue dalam serangan worm ransomware WannaCry. Peretas Rusia kemudian mengintegrasikannya ke dalam NotPetya. Serangan terakhir ini awalnya menargetkan tujuan Ukraina, tetapi akhirnya menyebar ke seluruh dunia, dengan perkiraan kerugian mencapai 10 miliar dolar AS.
Pelajaran yang ditinggalkan oleh insiden ini bagi perusahaan sangat jelas: kerentanan yang ditimbun oleh lembaga intelijen tidak akan selalu tetap rahasia; begitu bocor, institusi dan sistem bisnis sipil lah yang pertama kali menanggung akibatnya.
Sebagian sampel masih sedang diteliti
Laporan tersebut juga menyebutkan bahwa bocoran konten ini masih terus menghasilkan temuan baru. Para peneliti baru-baru ini melokalisasi dan menganalisis sampel dari salah satu proyek bernama Fast16. Sampel ini dapat ditelusuri kembali ke tahun 2005 dan dirancang untuk memodifikasi perangkat lunak yang diklaim digunakan oleh ilmuwan nuklir Iran.
Ini berarti bahwa meskipun insiden Shadow Brokers telah berlalu selama sepuluh tahun, konten yang bocor masih memberikan petunjuk bagi para peneliti dan terus mengingatkan dunia luar: sebuah kebocoran intelijen yang belum terpecahkan dapat terus memengaruhi lanskap keamanan siber global bertahun-tahun kemudian.