В історії хакерства було чимало витоків даних, які й через роки або навіть десятиліття залишаються нерозкритими. Безліч хакерів і хакерських угруповань, що стояли за цими атаками, так ніхто й не ідентифікував.
Водночас найпродуктивніші угруповання рано чи пізно викривають. Це стосується як кіберзлочинців на кшталт LAPSUS$ — відомої групи здирників, що зламувала Microsoft і Nvidia й чиїх учасників уже неодноразово заарештовували, — так і складних урядових хакерських структур з Росії та Китаю, чиїх членів називали поіменно, висували їм обвинувачення й вносили до списків найбільш розшукуваних.
Та попри це, деякі з найцікавіших кейсів в історії кібербезпеки досі залишаються повністю відкритими — без винних, без відповідей і подекуди навіть без зрозумілого мотиву. Ми вирішили повернутися до кількох таких історій у серії матеріалів, починаючи з одного з найнезвичніших епізодів в історії витоків розвідданих.
Перша частина присвячена Shadow Brokers — загадковій групі, яка раптово з’явилася в інтернеті, виклала масив хакерських інструментів, що, як вважають, належали Агентству нацбезпеки США (NSA), а потім зникла.
Улітку 2016 року, на тлі російських зламів, пов’язаних із президентськими виборами в США, ця група з’явилася у Twitter. Хакери залишили посилання на запис у Pastebin і відмітили кілька медіа — дивна й неефективна стратегія, через яку більшість редакцій, імовірно, так і не побачили ці твіти.
Але кожен, хто натиснув би на посилання, побачив би документ під назвою «Equation Group Cyber Weapons Auction — Invitation» — натяк на секретний хакерський підрозділ, який широко вважають операцією під егідою NSA.
«!!! Увага урядових спонсорів кібервоєн і тих, хто на цьому заробляє !!!! Скільки заплатите за кіберзброю ворогів?» — написали хакери, стверджуючи, що зламали Equation Group.
У документі було розміщено посилання для завантаження частини хакерських інструментів, а також посилання на зашифрований файл, який зацікавлені покупці могли розшифрувати, зробивши ставку. «Файли аукціону кращі за Stuxnet», — йшлося в тексті, з посиланням на відомий шкідливий софт, використаний проти іранських ядерних об’єктів у спільній кібератаці США та Ізраїлю у 2007 році. Хакери вимагали щонайменше 1 млн біткоїнів.
Витік швидко привернув увагу ЗМІ. Коли фахівці з безпеки проаналізували інструменти, вони зрозуміли, що йдеться про надзвичайно складну кіберзброю, дуже ймовірно — викрадену в NSA. Цю підозру посилив той факт, що деякі інструменти мали ті самі назви, що й програми, розкриті викривачем з NSA Едвардом Сноуденом.
Імовірно, аукціон був лише прикриттям, адже згодом група просто виклала більшість інструментів у відкритий доступ. Багато що в історії Shadow Brokers виглядало нелогічним. Їхня ламана англійська була майже комічною — наче хтось занадто старався або свідомо демонстрував штучність образу. Попри очевидне прагнення до уваги — і значне медійне висвітлення — група лише раз спілкувалася з журналістами, давши коротке інтерв’ю Джозефу Коксу (тоді репортеру VICE Motherboard, нині 404 Media).
За десять років ми буквально нічого не знаємо про те, хто стояв за персоною Shadow Brokers. Тоді ми з Коксом спілкувалися з колишніми співробітниками NSA, які припускали, що до цього міг бути причетний інсайдер або екс-співробітник агентства. Та ніхто ніколи не був заарештований і офіційно звинувачений — що виглядає неймовірно, враховуючи, що це, ймовірно, був один із наймасштабніших витоків хакерських інструментів американської розвідки.
Одним із можливих підозрюваних був підрядник NSA Гарольд Т. Мартін III, якого заарештували за крадіжку секретної інформації з агентства. Але з цією версією є проблема: поки Мартін перебував під вартою, Shadow Brokers продовжували активність онлайн. Йому так і не висунули формальних обвинувачень у зв’язку з цими витоками. Найпоширеніша теорія полягає в тому, що Shadow Brokers були проєктом російської урядової шпигунської структури, створеним як інструмент пропаганди.
Наслідки були масштабними. Серед оприлюднених інструментів Shadow Brokers виклали EternalBlue — набір «нульових днів» для Windows, який дозволяв зловмисникам проникати в комп’ютери всередині вже зламаної мережі, швидко розширювати доступ і запускати саморозповсюджувані черв’яки. («Нульовий день» — це вразливість, про яку виробник ПЗ ще не знає, а отже, не існує й виправляючого оновлення.) Північнокорейські хакери використали EternalBlue для запуску шкідливого черв’яка-вимагача WannaCry. Згодом російські хакери вбудували його в NotPetya, який вийшов далеко за межі початкових українських цілей і завдав по всьому світу збитків, оцінених у 10 млрд доларів.
Для бізнесу урок виявився жорстким: вразливості, які спецслужби роками накопичують як «кіберзброю», рано чи пізно виходять назовні — і коли це стається, рахунок за наслідки сплачує приватний сектор.