Leta 2013 je skrivnostna skupina hekerjev, ki se je poimenovala Shadow Brokers, ukradla nekaj disket Nacionalne varnostne agencije NSA, polnih tajnih podatkov. Te skrivnosti je nato objavljala na internetu in tako javno osramotila agencijo ter okrnila njene zmožnosti zbiranja podatkov, hkrati pa je sodobno kibernetično orožje položila v roke vseh, ki so si ga le zaželeli.
Bruce Schneier, The Atlantic Online
Skupina je razkrinkala velike ranljivosti v Ciscovih usmerjevalnikih, Microsoftovih Oknih in na Linuxovih poštnih strežnikih. Ponudnikom in njihovim strankam je povzročila hude težave, za nameček pa razvijalcem izsiljevalske programske opreme WannaCry omogočila, da so okužili na stotisoče računalnikov po vsem svetu.
Po izbruhu WannaCry je skupina Shadow Brokers zagrozila, da bo vsak mesec izdala nove skrivnosti NSA in tako kibernetičnim nepridipravom ter drugim državam ponudila dodatna orodja za vdiranje in nove možnosti izkoriščanja.
Kdo so pripadniki skupine? Kako so kradli podatke? Kratek odgovor se glasi, da ne vemo, lahko pa ugibamo na podlagi materiala, ki so ga objavili.
Shadow Brokers so se na lepem pojavili avgusta 2016, ko so objavili kup orodij za vdiranje v računalnike in obelodanili ranljivosti v razširjeni programski opremi. Material je nastal jeseni 2013 in očitno ga je zbiral zunanji testni strežnik NSA, naprava, ki je bila v lasti, finančnem najemu ali kakorkoli drugače pod nadzorom ZDA, vendar nima nikakršne povezave z agencijo. Hekerji NSA iščejo temačne kotičke interneta, kamor skrijejo orodja, ki jih potrebujejo med svojim delom, in očitno so Shadow Brokersi uspešno okupirali enega teh skrivališč.
Skupina je skupaj objavila več sklopov materiala NSA: sklop z ranljivostmi in orodja za vdiranje, naprave, ki podatke usmerjajo skozi računalniške mreže, podobno zbirko za napade na poštne strežnike, zbirko za mešanje štren Microsoftovim Oknom in delovni imenik nekega analitika NSA, ki je vdrl v bančno mrežo Swift. Časovni žigi na dokumentih in drugem materialu so pokazali, da vse izvira iz okoli leta 2013. Orodja za napad na Okna so morda leto ali malo več starejša, odvisno, katero različico tega sistema podpirajo.
Objavljeni material se tako razlikuje, da skoraj zagotovo izvira od več virov v NSA. Dokumenti, povezani z bančnim sistemom Swift, očitno izvirajo iz internega računalnika NSA, ki je povezan z internetom. Microsoftovi dokumenti so prav tako drugačni in nimajo enakih identifikatorjev kot dokumenti z usmerjevalnika in s poštnega strežnika. Shadow Brokers so objavili neurejen in nepregledan material, ki ga niso predhodno skrbno prečesali novinarji tako kot pri Snowdnu, ali preverili tako kot Wikileaks, ko je objavljal Ciine tajne dokumente. Skupina je objavila tudi nekaj anonimnih sporočil v polomljeni angleščini, sklepati je mogoče na ameriško kulturno okolje.
Glede na vse to skoraj ne more biti govora o žvižgaču, saj ta najbrž ne bi čakal tri leta, preden bi objavil svoj material. Najbrž bi se odločil podobno kot Edward Snowden ali Chelsea Manning, ki sta nekaj časa zbirala podatke in nato takoj objavila dokumente, v katerih je opisano, kaj komu počnejo ZDA. V primeru Shadow Brokers pa gre za kup izkoriščevalskega programja brez politične ali etične zveze, ki bi jo žvižgač želel poudariti. Bančni podatki se nanašajo na operacijo NSA, drugi objavljeni dokumenti pa nakazujejo, da je NSA ranljiva za napade, namesto da bi jih pomagala preprečiti in skrbela za večjo varnost.
Kdo so pripadniki skupine? Kako so kradli podatke? Kratek odgovor se glasi, da ne vemo, lahko pa ugibamo na podlagi materiala, ki so ga objavili.
Poleg tega se ne zdi verjetno niti, da so to navadni hekerji, ki so po naključju naleteli na ta orodja in so želeli predvsem škoditi NSA in ZDA. Vnovič je treba poudariti, da se triletno čakanje ne zdi logično. Dokumenti in orodja so kibernetični kriptonit – kdor jih skrivaj kopiči, se mora bati polovice obveščevalnih agencij z vsega sveta. Tudi dinamika objav ne kaže na kibernetične kriminalce, saj bi ti orodja za vdiranje v informacijske sisteme uporabili sami in varnostne luknje vključili v črve ter viruse, da bi ukradeni material lahko čim bolje unovčili.
Tako pridemo do države. Kdor je informacije pridobil in jih začel objavljati šele čez nekaj let, je zmožen vdreti v NSA in pripravljen objavljati. Države, kot sta Izrael in Francija, so tega zmožne, a najdenega materiala ne bi nikoli objavile, saj si ne bi želele nakopati ameriškega besa. Severna Koreja in Iran, na primer, verjetno ne bi mogla vdreti v tuj sistem. (Severno Korejo so sumili, da stoji za Wannacry, ki je nastal, ko so Shadow Brokers javno objavili to ranljivost.) Na seznamu najočitnejših kandidatk, ki izpolnjujejo oba pogoja, sta tako le še Rusija in Kitajska – ki se je pred nekaj leti trudila prikupiti ZDA.
Ko so avgusta 2016 objavili prve dokumente, in preden je takšno govorjenje veljalo za politično sporno, je prevladalo prepričanje, da za objavami stojijo Rusi in da je to opozorilo takratnemu predsedniku Baracku Obamu, naj se ne maščuje zaradi vdora v sistem demokratskega nacionalnega odbora. Tudi Edward Snowden je sumil Rusijo, vendar je težko najti razlog, da bi to storila. Objavljena orodja bi bila veliko vrednejša, če bi jih varovali kot skrivnost. Rusija bi jih lahko izkoristila za odkrivanje vdorov NSA v svoji državi in za napade na druge države. Z objavo orodij so Shadow Brokers nakazali, da jim je vseeno, ali ZDA vedo za krajo.
Seveda obstaja možnost, da so napadalci vedeli, da so ZDA vedele, da so napadalci vedeli – in tako naprej. A brezbrižnost ob objavi nakazuje na napadalce oziroma napadalca, ki ne razmišlja strateško, na hekerja oziroma hekersko skupino, to pa potem izključuje teorijo o hekerski državi.
Vse to so ugibanja na podlagi razprav z ljudmi, ki nimajo dostopa do zaupnih forenzičnih in obveščevalnih analiz. V sami NSA imajo veliko več podatkov. Številni objavljeni dokumenti vključujejo operativne pripombe in podatke, na podlagi katerih je mogoča prepoznava, zato strokovnjaki NSA točno vedo, kateri strežniki so bili ogroženi, in tako lahko tudi sklepajo, do katerih podatkov so dostopali napadalci. Tako kot pri dokumentih, ki jih je javnosti predal Snowden, vedo le, kaj bi napadalci lahko presneli, ne pa tudi, kaj dejansko so. Microsoft so o ranljivosti Oken obvestili več mesecev prej, preden so jo javno razgalili Shadow Brokers. So lahko prisluškovali, kot so zatrjevali, ko so Rusi napadli zunanje ministrstvo? To je nemogoče ugotoviti.
Kako je torej Shadow Brokers uspelo? Je nekdo v NSA napačen strežnik po naključju priključil na zunanje omrežje? To bi bilo mogoče, a se za takšno organizacijo ne zdi verjetno, da bi zagrešila začetniško napako. Je nekdo ugrabil sistem NSA, so v agenciji krti?
Če bi takrat v njej res imeli krta, so ga po vsej verjetnosti aretirali, še preden so Shadow Brokers karkoli objavili. Ni države, ki bi razgalila krta, ko dela zanjo, tako, da bi javnost obvestila o njegovem početju, dokler bi bil še ogrožen. Obveščevalne agencije vedo, če tako brutalno ogrozijo vir, zlepa ne bodo več našle koga, ki bi bil pripravljen to delati.
Vse to nakazuje na dve možnosti, in sicer, da je material zbiral Hal Martin, pogodbeni sodelavec NSA, ki so ga avgusta 2016 aretirali, ker je pri sebi doma dve leti kopičil skrivnosti agencije. Ni pa on odgovoren za objavo, saj so Shadow Brokers nadaljevali delo, tudi ko je bil že v zaporu. Kljub temu je objavljeni material morda izviral iz njegove zaloge, na primer, ker bi ga predal skupini ali pa, ker je nekdo vdrl v njegov računalnik. Datumi se ujemajo, zato je to teoretično mogoče. Martina niso obdolžili prodaje skrivnosti tuji sili, vendar je to podatek, ki ga v obtožnici tako in tako ne bi navedli in ni nujen za obsodbo.
Je nekdo v NSA napačen strežnik po naključju priključil na zunanje omrežje? To bi bilo mogoče, a se za takšno organizacijo ne zdi verjetno, da bi zagrešila začetniško napako. Je nekdo ugrabil sistem NSA, so v agenciji krti?
Če je bil vir dokumentov res posameznik, potem lahko ugibamo, da je heker po naključju naletel na material in da ni kriva tuja država, zmožna kibernetičnega napada.
Druga možnost je skrivnosti sodelavec NSA, mogoče oseba, ki je ukradla dokumente in jih posredovala tretji osebi. To so omenjali v zgodbi o Martinu v Washington Postu:
»Drugi vdor, o katerem doslej niso poročali, so odkrili poleti 2015, zanj pa je prav tako kriv uslužbenec, in sicer uslužbenec enote za zbiranje podatkov o kibernetičnem vojskovanju TAO, kot je povedal uradni predstavnik agencije. Tudi to osebo so aretirali, le da tega niso javno objavili. Uradni predstavnik je dodal, da po podatkih agencije oseba materiala ni predala drugi državi.«
Seveda po podatkih agencije ne pomeni isto, kot da oseba tega ni storila.
Zanimivo je, da zaradi opisanih vdorov niso nikogar aretirali oziroma tega vsaj niso objavili. Če NSA ve, od kod so bili dokumenti, ve tudi, kdo je lahko dostopal do njih. Zaslišala je vse vpletene in bi morala vedeti, ali nekdo namenoma ali nehote ni dovolj skrbno ravnal z njimi. Številni ljudje, tudi uradni predstavniki vlade, so menili, da je vpleten nekdo od znotraj. Zadeva je nemara bolj zapletena, kot se zdi na prvi pogled.
Poletje 2016 je bilo nočna mora ne le za NSA, temveč tudi za marsikoga drugega.
Opisanemu napadu je sledilo ustrahovalno sporočilo, ki je napovedovalo storitev z imenom Podatkovna sprostitev meseca (Data Dump of the Month). Proti plačilu so ponujali prodajo neobjavljenih orodij NSA za vdiranje v tuje sisteme in hkrati zagrozili, da jih bodo objavili javno, če nihče ne bo plačal. Skupina se je bahala še z drugimi načrtovanimi napadi, na primer, da bo mogoče objavila nove šibke točke v spletnih brskalnikih, mrežni opremi, pametnih telefonih in operacijskih sistemih, zlasti v Windowsih. Še hujša je bila grožnja, da bo objavila nerevidirane prestrežene podatke NSA, podatke iz bančne mreže Swift in bank ter kompromitirane podatke o jedrskih programih ter izstrelkih Rusije, Kitajske, Irana in Severne Koreje.
Nihče ne ve, kdo so bili Shadow Brokers, kako so ukradli tajne podatke NSA in zakaj so jih objavili. Poletje 2016 je bilo nočna mora ne le za Fort Meade, temveč tudi za marsikoga drugega.
