Spis Shadow Brokers: Deň, keď kybernetické zbrane unikli z NSA

V histórii digitálnej špionáže existuje len málo udalostí takých drzých, záhadných a deštruktívnych ako prípad skupiny, ktorá si hovorila The Shadow Brokers. V lete roku 2016 táto neznáma entita oznámila svetu, že sa jej podarilo nemysliteľné: prenikla do serverov Equation Group, elitnej hackerskej jednotky, ktorá je všeobecne a s vysokou mierou istoty považovaná za súčasť americkej Národnej bezpečnostnej agentúry (NSA), a ukradla jej kompletný arzenál tajných kybernetických zbraní. Toto nebol bežný únik dát. Bolo to, akoby niekto ukradol plány na najtajnejšie stíhačky a jadrové ponorky priamo z Pentagonu a rozhodol sa ich predať na verejnej aukcii na Dark Webe. Príbeh Shadow Brokers je príbehom o digitálnej lúpeži storočia, o chaotickej a arogantnej snahe speňažiť najstráženejšie tajomstvá sveta, a o katastrofických dôsledkoch, ktoré pocítil celý svet, keď tieto zbrane padli do nesprávnych rúk.

Všetko sa začalo v auguste 2016, keď Shadow Brokers zverejnili manifest napísaný svojským, lámaným a posmešným štýlom angličtiny, v ktorom sa vysmievali "elitným kyberzločincom" a oznámili, že ponúkajú na predaj "lepšie kybernetické zbrane" vytvorené ich konkurentmi, Equation Group. Aby dokázali, že to myslia vážne a že nejde o podvod, zverejnili malú "vzorku" zadarmo. Bezpečnostní experti po celom svete, od spoločnosti Kaspersky Lab až po bývalých zamestnancov NSA, okamžite spozorneli. Kód a nástroje v zverejnenom balíku boli neuveriteľne sofistikované a ich názvy ako EPICBANANA, EXTRABACON či ELIGIBLEBACHELOR presne zodpovedali tajným dokumentom, ktoré o niekoľko rokov skôr zverejnil Edward Snowden. Tieto nástroje boli navrhnuté tak, aby zneužívali zraniteľnosti v najrozšírenejších sieťových zariadeniach a firewalloch od spoločností ako Cisco, Fortinet a Juniper. Bolo jasné, že toto nie je vtip. Niekto naozaj prenikol do najtajnejších serverov NSA a vyniesol von korunovačné klenoty americkej kybernetickej špionáže.

Následne skupina urobila bizarný a zdanlivo amatérsky krok. Na rôznych fórach a cez platformu Pastebin zverejnili odkaz na bitcoinovú adresu a vyhlásili verejnú dražbu. Oznámili, že ten, kto ponúkne najviac Bitcoinov, získa heslo k zašifrovanému súboru obsahujúcemu kompletný arzenál. Zároveň však dodali provokatívnu podmienku: ak celková suma zaslaná na ich adresu presiahne 1 milión Bitcoinov (v tej dobe v hodnote viac ako 500 miliónov dolárov), zverejnia všetky nástroje úplne zadarmo pre celý svet. Bola to arogantná a chaotická stratégia, ktorá kombinovala chamtivosť s hrozbou globálnej kybernetickej apokalypsy. Aukcia však bola fiaskom. Nikto, ani kriminálne syndikáty, ani cudzie štáty, nebol ochotný poslať obrovské sumy peňazí neznámej, nevyspytateľnej a zjavne nestabilnej skupine. Dražba sa skončila neúspechom a zdalo sa, že príbeh sa končí. Ale to bol len začiatok dlhej a deštruktívnej cesty.

Frustrovaní z neúspešnej aukcie, Shadow Brokers zmenili taktiku na akýsi pomalý, mučivý "striptíz". Namiesto predaja celého balíka začali v nasledujúcich mesiacoch zverejňovať jednotlivé nástroje a heslá k zašifrovaným súborom kúsok po kúsku. Každý nový únik bol sprevádzaný kryptickými a často politicky motivovanými správami, v ktorých kritizovali americkú zahraničnú politiku a Donalda Trumpa. Týmto spôsobom si udržiavali pozornosť médií a zvyšovali tlak. Ich štýl komunikácie bol chaotický, plný gramatických chýb a zdanlivo náhodných veľkých písmen, čo viedlo expertov k domnienke, že ide o úmyselnú kamufláž – snahu o zakrytie pôvodu a národnosti autorov. A potom, 14. apríla 2017, prišiel osudný úder. Zverejnili najcennejšiu časť svojho arzenálu, vrátane nástroja s názvom EternalBlue. 

Nešlo len o bežný exploit. Bola to digitálna "atómová bomba". Zneužíval kritickú a dovtedy neznámu zraniteľnosť v implementácii protokolu SMBv1 v operačnom systéme Windows – protokolu, ktorý používali milióny počítačov po celom svete na zdieľanie súborov. Táto chyba umožňovala útočníkovi na diaľku spustiť akýkoľvek kód na nezaplátanom počítači bez akejkoľvek interakcie používateľa. NSA tento nástroj roky tajne používala na svoje vlastné špionážne operácie. Teraz bol vonku, dostupný pre každého.

Dôsledky boli okamžité a katastrofálne. Už o mesiac neskôr, v máji 2017, sa objavil ransomvérový červ WannaCry. Tento malvér použil práve exploit EternalBlue na to, aby sa šíril ako lavína po celom svete s bezprecedentnou rýchlosťou. V priebehu niekoľkých hodín nakazil stovky tisíc počítačov vo viac ako 150 krajinách. Zasiahnuté boli nemocnice v britskom systéme NHS, ktoré museli rušiť plánované operácie a odmietať pacientov. V Španielsku ochromil telekomunikačného giganta Telefónica, v Nemecku železničnú spoločnosť Deutsche Bahn a vo Francúzsku automobilku Renault. O niekoľko týždňov neskôr prišiel ešte deštruktívnejší útok – červ NotPetya. Hoci sa maskoval ako ransomvér, jeho skutočným cieľom nebolo pýtať výkupné; jeho cieľom bolo permanentne ničiť dáta. Spôsobil škody v hodnote viac ako 10 miliárd dolárov a zasiahol gigantov ako prepravnú spoločnosť Maersk, ktorá musela preinštalovať 45 000 počítačov, alebo farmaceutickú firmu Merck. Kybernetické zbrane NSA, ktoré unikli vďaka Shadow Brokers, sa stali nástrojom chaosu v rukách neznámych aktérov a spôsobili jedny z najväčších kybernetických katastrof v histórii.

Kto však boli Shadow Brokers? Táto otázka zostáva dodnes najväčšou a najhorúcejšou záhadou kyberbezpečnosti. Teórie sú rôzne a každá má svojich zástancov. Americké spravodajské služby a mnohí experti sa prikláňajú k teórii, že išlo o operáciu ruskej spravodajskej služby (GRU alebo SVR). Argumentujú, že načasovanie únikov, ich politický podtón a technická sofistikovanosť krádeže poukazujú na štátneho aktéra, ktorého cieľom bolo ponížiť NSA, odhaliť jej kapacity a zasiať globálny chaos. Zvláštny štýl písania mohol byť úmyselnou dezinformáciou. Iná, rovnako presvedčivá teória, hovorí o nespokojnom insiderovi priamo z NSA. Mohlo ísť o zamestnanca alebo dodávateľa, ktorý mal prístup k nástrojom, a z osobných, finančných alebo ideologických dôvodov sa ich rozhodol ukradnúť a zverejniť. Dôkazom by mohol byť fakt, že Microsoft bol o zraniteľnosti EternalBlue informovaný niekoľko mesiacov pred jej zverejnením, čo naznačuje, že NSA už vedela o úniku a snažila sa potichu minimalizovať škody. Existujú aj špekulácie o internom boji medzi rôznymi frakciami v rámci NSA.

Prípad Shadow Brokers mal aj obrovský dopad na vzťahy medzi technologickými spoločnosťami a vládami. Brad Smith, prezident Microsoftu, vydal ostré vyhlásenie, v ktorom prirovnal únik nástrojov NSA k "krádeži rakiet Tomahawk z americkej armády". Kritizoval vládne agentúry za ich prax hromadenia zraniteľností (stockpiling vulnerabilities) namiesto toho, aby ich zodpovedne nahlasovali výrobcom. Tento incident odhalil nebezpečenstvo situácie, kde vlády v mene národnej bezpečnosti vytvárajú a skladujú digitálne zbrane, ktoré sa môžu obrátiť proti ich vlastným občanom a spojencom, ak sa dostanú do nesprávnych rúk. Tento spor o to, či má mať vláda právo využívať neznáme chyby v softvéri pre svoje účely, alebo či má povinnosť chrániť svojich občanov ich nahlásením, pretrváva dodnes.

Pravdu sa možno nikdy nedozvieme. Spis Shadow Brokers tak zostáva otvorený a slúži ako mrazivé varovanie. Je to príbeh o tom, ako arogancia a nezodpovednosť jednej z najmocnejších spravodajských agentúr na svete viedla k tomu, že jej najnebezpečnejšie zbrane unikli na verejnosť a spôsobili chaos. Je to lekcia o tom, že v digitálnom veku neexistujú žiadne večné tajomstvá a že aj tie najlepšie strážené arzenály sa môžu jedného dňa objaviť na predaj na temných fórach internetu, pripravené na použitie kýmkoľvek.