TechCrunch зазначив, що «Тіньовий експерт», який з’явився раптово в 2016 році, досі залишається одним із найскладніших загадок у історії кібербезпеки. Ця організація викинула в інтернет серію хакерських інструментів, які, як припускають, походять з Національного агентства безпеки США (NSA), а потім швидко зникла з поля зору. Десять років потому зовнішній світ все ще не знає її справжньої особистості, і жодна особа не була офіційно засуджена за цей витік інформації.
Публічний інструмент під виглядом аукціону
Ця подія вперше з’явилася у публічному просторі у вигляді файлу з назвою «Equation Group Cyber Weapons Auction — Invitation». У файлі були наведені посилання на завантаження частини інструментів, а також зашифрований архів. Автори стверджували, що учасники аукціону зможуть розблокувати додатковий контент шляхом ставок і вимагали мінімум 1 мільйон біткойнів.
Після аналізу безпековими дослідниками було виявлено, що ці інструменти надзвичайно складні, і загалом вважається, що вони походять від хакерських операцій, пов’язаних з NSA. Деякі назви проектів також відповідають проектам NSA, розкритим Сноуденом, що додатково підтверджує цю припущення.
Проте цю так звану аукцію пізніше вважали більше шоу. Кілька місяців потому «Тіньовий брокер» поступово публічно розголошив велику кількість інструментів, а не продавав їх за результатами аукціону.
Особистість досі не встановлена
Щодо таємної особистості зовнішній світ висував різні припущення. У матеріалі згадується, що існувала думка про можливу участь співробітників NSA або колишніх підрядників. Харолд Мартін-третій на деякий час вважався одним із можливих кандидатів, оскільки його було заарештовано за крадіжку секретної інформації з NSA.
Але ця припущення завжди відсутня прямих доказів. Однією з причин є те, що під час утримання Мартина «Тіньовий брокер» продовжував активно діяти в мережі. Він також ніколи не був офіційно звинувачений у зв’язку з цими витікшими інструментами.
Однією з найпоширеніших версій є те, що ця особистість може бути пропагандистським інструментом, створеним російським хакерським угрупованням, пов’язаним з розвідкою. Однак на даний момент ця думка не була підтверджена публічно.
Інструменти витоку змінили масштаб атак
Цей інцидент мав такий великий вплив не лише через те, що він стосувався американських розвідувальних агентств, а й через те, що витікні інструменти були швидко перетворені на зброю. Найбільш відомим з них був EternalBlue — набір експлойтів нульового дня для Windows, які дозволяють атакуючим отримати доступ до цільових мереж і швидко поширюватися між системами.
Пізніше східнокорейські хакери використали EternalBlue у атаках шкідливого програмного забезпечення WannaCry. Російські хакери пізніше інтегрували його у NotPetya. Останній спочатку був спрямований на українські цілі, але в результаті поширився по всьому світу, завдавши збитків на суму близько 10 мільярдів доларів США.
Для бізнесу урок цієї події дуже простий: експлуатації, накопичені розвідувальними агентствами, не залишаться таємними назавжди; коли вони витікають, першими платять за це громадські установи та комерційні системи.
Частина зразків все ще досліджується
У доповіді також зазначається, що ці витікнені матеріали досі призводять до нових відкриттів. Дослідники недавно виявили та проаналізували зразок одного з проектів під назвою Fast16. Цей зразок датується 2005 роком і був створений для маніпулювання програмним забезпеченням, яке, як стверджувалося, використовували іранські ядерні вчені.
Це означає, що подія «Тіньового брокера», хоча й минула десять років назад, все ще надає дослідникам підказки та постійно нагадує світу: нерозкрита витік інформації може продовжувати впливати на глобальну кібербезпеку роками.