TechCrunch đánh giá rằng “Shadow Brokers”, nhóm xuất hiện đột ngột vào năm 2016, đến nay vẫn là một trong những bí ẩn khó giải nhất trong lịch sử an ninh mạng. Nhóm này đã tung ra một loạt công cụ tin tặc được cho là của Cơ quan An ninh Quốc gia Mỹ (NSA) trên mạng, sau đó nhanh chóng biến mất. Mười năm trôi qua, vẫn chưa ai biết được danh tính thật sự của họ, và cũng chưa có ai bị truy tố chính thức vì vụ rò rỉ này.
Công cụ công khai với danh nghĩa đấu giá
Sự kiện này lần đầu tiên xuất hiện trước công chúng dưới dạng một tài liệu có tiêu đề “Cuộc đấu giá Vũ khí Mạng của Nhóm Equation – Lời mời”. Tài liệu đính kèm một số liên kết tải xuống công cụ và một tệp nén được mã hóa. Người đăng tải tuyên bố rằng người đấu giá có thể mở khóa thêm nội dung thông qua việc đặt giá, và yêu cầu ít nhất 1 triệu Bitcoin.
Sau đó, các chuyên gia an ninh phân tích phát hiện rằng bộ công cụ này có độ phức tạp cực cao, và cộng đồng bên ngoài普遍 cho rằng chúng xuất phát từ các chiến dịch hacker liên quan đến NSA. Một số tên dự án còn có mối tương ứng với các dự án NSA đã được Snowden tiết lộ, điều này càng củng cố thêm phán đoán liên quan.
Tuy nhiên, cuộc đấu giá được cho là sau này được xem như một chiêu trò. Vài tháng sau, "Shadow Brokers" dần công khai trực tiếp rất nhiều công cụ thay vì bán theo hình thức đấu giá.
Danh tính vẫn chưa được xác định
Về danh tính phía sau hậu trường, các giả thuyết khác nhau đã được đưa ra. Bài báo nhắc đến việc từng có quan điểm nghi ngờ sự tham gia của nhân viên trong NSA hoặc cựu nhà thầu. Harold Martin III từng được xem là một ứng cử viên khả dĩ, sau khi ông bị bắt vì ăn cắp thông tin mật từ NSA.
Tuy nhiên, giả thuyết này vẫn thiếu bằng chứng trực tiếp. Một trong những lý do là trong thời gian Martin bị giam giữ, "Shadow Brokers" vẫn tiếp tục hoạt động trực tuyến. Ông ấy cũng chưa từng bị buộc tội chính thức vì các công cụ bị rò rỉ này.
Một trong những quan điểm được trích dẫn phổ biến hiện nay là danh tính này có thể là công cụ truyền thông do một nhóm tin tặc liên quan đến tình báo Nga tạo ra. Tuy nhiên, đến nay, phán đoán này vẫn chưa được xác minh công khai.
The leak tool changed the scale of the attack
Sự kiện này có tác động sâu rộng không chỉ vì liên quan đến các cơ quan tình báo Mỹ, mà còn vì các công cụ bị rò rỉ sau đó đã nhanh chóng được vũ trang hóa. Trong số đó, nổi bật nhất là EternalBlue. Đây là một bộ công cụ khai thác lỗ hổng zero-day dành cho Windows, giúp kẻ tấn công xâm nhập vào mạng mục tiêu và lan truyền nhanh chóng giữa các hệ thống.
Sau đó, tin tặc Bắc Triều Tiên đã sử dụng EternalBlue trong cuộc tấn công worm ransomware WannaCry. Sau đó, tin tặc Nga đã tích hợp nó vào NotPetya. NotPetya ban đầu nhắm vào các mục tiêu ở Ukraine, nhưng cuối cùng lan rộng ra toàn cầu, gây thiệt hại ước tính lên đến 10 tỷ USD.
Đối với doanh nghiệp, bài học từ sự kiện này rất rõ ràng: các lỗ hổng mà các cơ quan tình báo tích trữ sẽ không mãi được giữ bí mật; một khi bị rò rỉ, các tổ chức dân sự và hệ thống thương mại thường là những người đầu tiên phải gánh chịu hậu quả.
Một số mẫu vẫn đang được nghiên cứu
Bài báo cũng cho biết, bộ nội dung bị rò rỉ này vẫn đang mang lại những phát hiện mới. Gần đây, các nhà nghiên cứu đã xác định và phân tích một mẫu dự án có tên Fast16. Mẫu này có thể truy ngược về năm 2005 và được thiết kế để thao túng phần mềm được cho là do các nhà khoa học hạt nhân Iran sử dụng.
Điều này có nghĩa là, dù sự kiện "Shadow Brokers" đã trôi qua mười năm, nhưng những nội dung bị rò rỉ vẫn đang cung cấp manh mối cho các nhà nghiên cứu và liên tục nhắc nhở thế giới: một vụ rò rỉ tình báo chưa được giải quyết có thể tiếp tục ảnh hưởng đến cục diện an ninh mạng toàn cầu nhiều năm sau đó.