Shadow Brokers: Bí ẩn "hacker ma" và vụ rò rỉ vũ khí mạng khủng khiếp nhất của NSA

Trong lịch sử dài của hoạt động hacker, đã có vô số vụ rò rỉ dữ liệu mà nhiều năm hoặc thậm chí nhiều thập kỷ sau vẫn chưa được giải quyết. Đằng sau những vụ việc đó là vô số hacker và nhóm hacker chưa bao giờ bị lộ diện.

Tuy nhiên, các nhóm hacker hoạt động sôi nổi thường vẫn bị bắt. Điều này đúng cho dù đó là tội phạm mạng như LAPSUS$ — băng nhóm tống tiền nổi tiếng đã tấn công Microsoft và Nvidia, với nhiều thành viên đã bị bắt — hay các nhóm hacker tinh vi thuộc chính phủ Nga và Trung Quốc, những người có tên trong danh sách bị truy nã.

Mặc dù vậy, một số trường hợp thú vị nhất trong lịch sử an ninh mạng vẫn còn dang dở — không có thủ phạm, không có câu trả lời, và trong một số trường hợp, thậm chí không có động cơ rõ ràng. Chúng tôi quyết định xem lại một số vụ việc trong loạt bài này, bắt đầu với một trong những tập kỳ lạ nhất trong lịch sử rò rỉ tình báo.

Phần đầu tiên tập trung vào Shadow Brokers — một nhóm bí ẩn đã xuất hiện trực tuyến, đổ bộ một lượng lớn công cụ hack được tin là thuộc về Cơ quan An ninh Quốc gia Mỹ (NSA), và sau đó biến mất.

Sự xuất hiện kỳ lạ vào mùa hè 2016

Vào mùa hè năm 2016, giữa tâm điểm các vụ hack của Nga liên quan đến cuộc bầu cử Tổng thống Mỹ, nhóm này đã xuất hiện trên Twitter. Họ đăng liên kết đến một bài đăng trên Pastebin và gắn thẻ một số cơ quan truyền thông — một chiến lược kỳ lạ và kém hiệu quả, có nghĩa là hầu hết các cơ quan đó có thể đã không bao giờ nhìn thấy các tweet.

Nhưng nếu bất kỳ ai đã nhấp vào liên kết, họ sẽ thấy một tài liệu có tiêu đề "Equation Group Cyber Weapons Auction — Invitation" (Đấu giá vũ khí mạng Equation Group — Lời mời) — ám chỉ đến hoạt động hack bóng ma được tin là do NSA điều hành.

"!!! Xin lưu ý các nhà tài trợ chính phủ của chiến tranh mạng và những người kiếm lời từ nó !!!! Các bạn trả bao nhiêu cho vũ khí mạng của kẻ thù?" — những hacker này viết, tuyên bố đã hack Equation Group.

Tài liệu bao gồm các liên kết để tải xuống một số công cụ hack, cũng như liên kết để tải xuống một tệp được mã hóa mà những người mua quan tâm có thể giải mã bằng cách đặt giá. "Các tệp đấu giá tốt hơn Stuxnet", họ viết, đề cập đến phần mềm độc hại nổi tiếng từng được sử dụng chống lại các cơ sở hạt nhân của Iran trong cuộc tấn công mạng của Mỹ-Israel năm 2007. Họ yêu cầu ít nhất 1 triệu Bitcoin.

Cuộc đấu giá và những công cụ "sát thủ"

Vụ rò rỉ nhanh chóng thu hút sự chú ý của báo chí. Khi các nhà nghiên cứu bảo mật phân tích các công cụ, họ nhận ra đây là những vũ khí mạng cực kỳ tinh vi, rất có thể bị đánh cắp từ NSA — nghi ngờ này được củng cố bởi thực tế là một số công cụ có tên trùng với các chương trình được tiết lộ bởi Edward Snowden, người tố giác của NSA.

Cuộc đấu giá có thể chỉ là một chiêu trò, vì nhóm này cuối cùng đã công khai phần lớn các công cụ vài tháng sau đó. Rất nhiều điều về Shadow Brokers không có lý. Tiếng Anh lủng củng của họ gần như hài hước, như thể họ đang cố gắng quá sức hoặc cố tình tín hiệu về sự giả tạo. Mặc dù rõ ràng đang tìm kiếm sự chú ý — và nhận được rất nhiều sự đưa tin của báo chí — nhóm này chỉ nói chuyện với một nhà báo một lần, đưa một cuộc phỏng vấn ngắn cho Joseph Cox của 404 Media, khi đó là phóng viên của VICE Motherboard.

Mười năm sau, chúng ta hầu như không biết gì về những người đứng sau nhân vật Shadow Brokers. Cox và tôi đã phỏng vấn các cựu nhân viên NSA vào thời điểm đó, họ nói rằng một người nội bộ hoặc cựu nhân viên NSA có thể đã dính líu. Nhưng chưa bao giờ có ai bị bắt và buộc tội — điều phi thường khi xét rằng đây có lẽ là một trong những vụ rò rỉ công cụ hack tình báo tồi tệ nhất của Mỹ.

Ai đứng sau Shadow Brokers?

Một nghi phạm tiềm năng là Harold T. Martin III, một nhà thầu của NSA bị bắt vì đánh cắp thông tin mật của cơ quan này. Nhưng lý thuyết này có một vấn đề: trong khi Martin bị giam giữ, Shadow Brokers vẫn hoạt động trực tuyến. Ông chưa bao giờ bị chính thức buộc tội liên quan đến các vụ rò rỉ. Lý thuyết được tin cậy rộng rãi nhất là Shadow Brokers được tạo ra bởi một nhóm điệp viên chính phủ Nga như một công cụ tuyên truyền.

Hậu quả khôn lường: Từ EternalBlue đến WannaCry

Tác động là vô cùng lớn. Trong số các công cụ được phát hành, Shadow Brokers đã công bố EternalBlue — một họ lỗ hổng zero-day nhắm vào Windows cho phép hacker đột nhập vào máy tính trên mạng bị tấn công, mở rộng quyền truy cập nhanh chóng và triển khai các sâu tự nhân bản (worms). (Lỗ hổng zero-day là các lỗi chưa được nhà sản xuất phần mềm biết đến, nghĩa là chưa có bản vá).

Hacker Triều Tiên đã sử dụng EternalBlue để tung ra sâu mã độc tống tiền WannaCry. Sau đó, hacker Nga đã tích hợp nó vào NotPetya, vốn leo thang vượt ra khỏi các mục tiêu ban đầu ở Ukraine và gây ra thiệt hại ước tính khoảng 10 tỷ USD trên toàn cầu. Đối với các doanh nghiệp, bài học là rõ ràng: các lỗ hổng được tích trữ bởi các cơ quan tình báo không mãi mãi là bí mật — và khi chúng bị rò rỉ, khu vực tư nhân phải trả giá.

Kho dữ liệu này vẫn đang mang lại những khám phá mới. Trong số các công cụ bị rò rỉ có một công cụ chứa danh sách tên dự án — bao gồm một dự án gọi là Fast16, chỉ được gắn nhãn "KHÔNG CÓ GÌ ĐỂ XEM Ở ĐÂY — TIẾP TỤC". Tháng trước, các nhà nghiên cứu đã thông báo họ đã định vị và kiểm tra nó, phát hiện ra phần mềm độc hại có từ năm 2005, được thiết kế để can thiệp vào phần mềm được cho là được các nhà khoa học hạt nhân của Iran sử dụng.