TechCrunch в обзоре отметил, что «Теневой агент», вдруг появившийся в 2016 году, до сих пор остается одной из самых неразрешенных загадок в истории кибербезопасности. Эта организация опубликовала в интернете пакет хакерских инструментов, предположительно принадлежащих Агентству национальной безопасности США (NSA), а затем быстро исчезла из поля зрения. Прошло десять лет, и до сих пор неизвестно ее настоящее имя, а также никто не был официально обвинен в связи с этим утечкой.
Публичный инструмент под предлогом аукциона
Это событие впервые стало известно публике через документ с заголовком «Equation Group Cyber Weapons Auction — Invitation». В документе были указаны ссылки на скачивание части инструментов, а также зашифрованный архив. Автор утверждал, что участники аукциона могут разблокировать дополнительный контент, сделав ставку, и запросил как минимум 1 миллион биткоинов.
Последующий анализ исследователями безопасности показал, что эти инструменты обладают чрезвычайно высоким уровнем сложности, и широкое мнение считает, что они связаны с хакерскими операциями, связанными с NSA. Некоторые названия проектов также соответствуют проектам NSA, раскрытым Сноуденом, что дополнительно подтверждает эту оценку.
Однако позже эта так называемая аукционная процедура была воспринята скорее как пиар-ход. Через несколько месяцев «Теневой брокер» постепенно опубликовал большое количество инструментов напрямую, а не продавал их по принципу аукциона.
Личность до сих пор не определена
Вокруг скрытой личности возникло множество предположений. В отчете упоминалось, что некоторые считали возможными участниками сотрудников NSA или бывших подрядчиков. Харольд Мартин III一度被视为可能对象之一,他曾因从 NSA 窃取机密信息被捕。
Однако эта гипотеза всегда lacked прямых доказательств. Одной из причин является то, что во время задержания Мартина «Теневой агент» продолжал активно действовать в сети. Сам он никогда не подвергался официальным обвинениям в связи с этими утечками.
Одной из наиболее часто цитируемых версий является то, что эта личность могла быть создана российской разведывательной хакерской группой в качестве пропагандистского инструмента. Однако до сих пор это предположение не было официально подтверждено.
Утилита утечки изменила масштаб атаки
Это событие оказало глубокое влияние не только потому, что затрагивало американские разведывательные структуры, но и потому, что утекшие инструменты были быстро превращены в оружие. Наиболее известным из них является EternalBlue — набор эксплойтов нулевого дня для Windows, позволяющий злоумышленникам проникать в целевые сети и быстро распространяться по системам.
Затем северокорейские хакеры использовали EternalBlue в атаках вредоносной программы-шантажиста WannaCry. Позже российские хакеры интегрировали его в NotPetya. Последний изначально нацеливался на украинские объекты, но в итоге вышел за их пределы, охватив мир, и его ущерб оценивается в 10 миллиардов долларов.
Для предприятий урок этого инцидента очень прост: уязвимости, накапливаемые разведывательными службами, не остаются секретными навсегда, и как только они становятся общественностью, первыми платят за это гражданские учреждения и коммерческие системы.
Часть образцов все еще изучается
В отчете также упоминается, что эти утекшие материалы до сих пор продолжают приносить новые открытия. Недавно исследователи обнаружили и проанализировали образец одного из проектов под названием Fast16. Этот образец восходит к 2005 году и был создан для изменения программного обеспечения, якобы используемого иранскими ядерными учеными.
Это означает, что, несмотря на то, что инцидент с «Теневыми брокерами» произошел десять лет назад, раскрытые материалы по-прежнему предоставляют исследователям подсказки и постоянно напоминают внешнему миру: нераскрытая утечка разведданных может продолжать влиять на глобальную кибербезопасность в течение многих лет.