
Осенью 2016 группа под именем The Shadow Brokers выложила в сеть ZIP-архив с солидным арсеналом из кибероружия — скрипты, уязвимости нулевого дня к Windows и серьезным корпоративным железкам вроде Cisco и Fortinet, а также эксплойты к ним. Они заявили, что эти инструменты украдены у хакеров из одной из самых продвинутых хак-групп в мире — Equation Group, входяшей в АНБ США.
Имя "теневых брокеров" отсылает к персонажу игр Mass Effect, продававшему секретную инфу на аукционах. Так было и здесь — рядом с бесплатным, но уже мощным образцом эксплойтов, подлинность которых подтвердили сами Cisco и Fortinet, хакеры выложили и другой, зашифрованный архив, где были еще более опасные инструменты. Ключ к дешифровке архива для всего мира они выставили на аукцион за 1 млн BTC.
Через день собрав битков лишь на $937, хакеры поняли, что не видать им миллиона BTC и решили выложить еще часть утечки бесплатно, что и сделали через 2 недели. В новом дампе был список IP машин по всему миру, зараженных АНБ. Шли месяцы, а деньги все не собирались. Группа снизила цель с миллиона BTC до 10 тыс BTC, но все эти аукционы, кажется, были бонусом, а утечку они все равно опубликовали бы полностью.
61 вредоносный файл exe, dll и драйвер Windows был опубликован еще через пару месяцев. На этот раз дамп был опаснее и разрывал шаблоны всем, включая ИБ-сообщества. Среди инструментов был хак, позволявший сделать то, что ранее считалось невозможным (видимо, не для АНБ) — удалять отдельные строчки из журнала событий Windows, не отключая само журналирование. Это открывало дверь к абсолютно незаметным проникновениям в систему любому скрипт-кидди в мире, не говоря уже о хакерах.
Пока ФБР и разведка рвали волосы на голове, разрываясь в мнении о том, кто эти "брокеры", блин, такие. Основными были 2 версии: Россия (2016, избрание Трампа, вмешательство "русских хакеров" в выборы и т.д.) и крот внутри АНБ. 3 месяца спустя Shadow Brokers вернулись с новой порцией утечки и сдеанонили одного из бывших хакеров Equation Group, твитнувшего о том, что он уверен, что если эти утечки не от России, то, как минимум, в её интересах.
В твите, прямо обратившись к известному безопаснику, скрывавшему практически от всех свой опыт работы в АНБ, "брокеры" написали, что них не было цели деанонить сотрудников АНБ, но конкретно у этого был «слишком большой рот». Стало очевидным, хакеры имели доступ не только к инструментам АНБ, но и информацией об их операциях, персонале и т.д., так как безопасник тот подтвердил информацию и добавил, что он уверен, что у них есть доступ к куда большему.
Не хватало потрясений разведке и ИБ-сообществу, многих из которого тот безопасник и обучал, как через несколько дней "брокеры" последнюю, крупнейшую и самую опасную часть утечки, которую видел мир — в дампе была уязвимсть нулевого дня EternalBlue, позволявшая взломать протокол SMB, по умолчанию работающий в миллионах и миллионах машин на Windows. Microsoft закрыла эту уязвимость за месяц до той утечки — вероятно, АНБ решили оповестить их раньше хакеров.
Крота АНБ таки нашли. Он, как и Сноуден, работал в Booz Allen Hamilton. Укравший 50 ТБ данных АНБ, он был арестован и посажен на 9 лет, но его связи с Shadow Brokers по сей день не установили.