Хакеры-призраки исчезли после утечки инструментов NSA — и их до сих пор не нашли
Тайна Shadow Brokers: кто стоял за одной из самых громких утечек кибероружия США
RusPhotoBank
В истории хакерских атак хватает эпизодов, где виновных так и не нашли. Одни утечки данных годами остаются без ответов, другие постепенно уходят в архивы кибербезопасности, оставляя после себя только догадки. Но случай Shadow Brokers выделяется даже на этом фоне: группа появилась внезапно, выложила в сеть набор мощных инструментов, которые считались связанными с NSA, а затем исчезла, не оставив почти никаких следов.
Загадка, которая не закрыта спустя годы
Обычно даже самые активные хакерские группировки рано или поздно попадают в поле зрения правоохранителей. Так происходило и с киберпреступниками, и с государственными хакерскими структурами: их участников называли по именам, обвиняли, арестовывали или включали в списки разыскиваемых.
С Shadow Brokers всё сложилось иначе. Несмотря на масштаб утечки и её последствия, никто так и не был арестован и официально обвинён именно в связи с этой историей. Для одного из крупнейших эпизодов, связанных с утечкой американских разведывательных киберинструментов, это выглядит особенно необычно.
Как Shadow Brokers вышли на сцену
Группа заявила о себе летом 2016 года, на фоне взломов, связанных с президентскими выборами в США. Shadow Brokers появились в Twitter, оставили ссылку на публикацию в Pastebin и упомянули несколько СМИ. Способ выглядел странно: из-за такой подачи многие редакции, вероятно, могли вообще не заметить сообщения.
В публикации был документ под названием «Equation Group Cyber Weapons Auction — Invitation». Название отсылало к Equation Group — закрытой хакерской операции, которую широко связывали с NSA. Авторы утверждали, что взломали эту структуру, и предлагали неким заинтересованным покупателям заплатить за доступ к «кибероружию» противников. Прямые заявления хакеров в статье переданы как их утверждения, а не цитатами.
Аукцион, который выглядел как спектакль
Shadow Brokers разместили ссылки на часть инструментов, а также на зашифрованный файл, который предлагали расшифровать после ставки. По данным статьи, они рассчитывали получить минимум 1 млн биткоинов. Позже стало похоже, что аукцион был скорее отвлекающим манёвром: спустя месяцы группа сама опубликовала многие инструменты в открытом доступе.
Вся манера общения Shadow Brokers выглядела нарочито странной. Их английский был настолько ломаным, что создавал ощущение либо грубой маскировки, либо намеренной игры на публику. При этом, несмотря на явное стремление привлечь внимание, группа почти не общалась с журналистами и дала только одно короткое интервью Джозефу Коксу, который тогда работал в VICE Motherboard.
Почему инструменты посчитали связанными с NSA
После анализа опубликованных файлов специалисты по безопасности пришли к выводу, что речь идёт об исключительно сложных киберинструментах. Их происхождение стали связывать с NSA, в том числе потому, что названия некоторых программ совпадали с теми, которые ранее фигурировали в материалах Эдварда Сноудена.
На этом фоне версия о случайной или рядовой утечке выглядела всё менее убедительной. Объём и характер опубликованных данных указывали на доступ к крайне чувствительным материалам.
Версии без развязки
Одним из возможных подозреваемых называли Гарольда Т. Мартина III, подрядчика NSA, арестованного за кражу секретной информации агентства. Но у этой версии было слабое место: Shadow Brokers продолжали активность онлайн уже после того, как Мартин оказался под стражей. Кроме того, его так и не обвинили официально в связи с этими утечками.
EternalBlue и последствия утечки
Главным ударом по мировой кибербезопасности стала публикация инструмента EternalBlue. Он был связан с уязвимостями нулевого дня в Windows и позволял злоумышленникам проникать в компьютеры внутри взломанной сети, быстро расширять доступ и запускать самораспространяющиеся черви.
Позже EternalBlue хакеры использовали при запуске червя-вымогателя WannaCry, потом встроили его в NotPetya — атаку, которая вышла далеко за пределы первоначальных целей и, по оценке в статье, нанесла мировой ущерб примерно на $10 млрд.
Главный вывод оказался жёстким: уязвимости, которые спецслужбы держат в секрете, не обязательно остаются под контролем. Когда такие инструменты утекают, расплачиваются не только государства, но и бизнес по всему миру.
История, которая продолжает раскрываться
Даже спустя годы опубликованный Shadow Brokers архив продолжает приносить новые находки. Среди утёкших инструментов был файл со списком проектных названий, включая Fast16, помеченный фразой о том, что там якобы «не на что смотреть». По данным статьи, исследователи недавно нашли и изучили этот компонент: речь шла о вредоносном ПО, датированном 2005 годом и предназначенном для вмешательства в работу программ, которые, как утверждается, использовали иранские ядерные учёные.
Так Shadow Brokers остаются не просто старой загадкой из мира кибербезопасности, а примером истории, в которой последствия давно стали реальными, а личности главных действующих лиц по-прежнему скрыты.