Nhóm hacker bí ẩn Shadow Brokers từng làm rò rỉ loạt công cụ tấn công mạng được cho là của Cơ quan An ninh Quốc gia Mỹ (NSA) và sau đó biến mất một cách đầy bí ẩn. Đến nay, đây vẫn là một trong những bí ẩn lớn nhất của ngành an ninh mạng.
Bối cảnh xuất hiện
Trong lịch sử tấn công mạng, nhiều vụ rò rỉ dữ liệu vẫn chưa tìm ra thủ phạm dù đã xảy ra từ nhiều năm trước. Tuy nhiên, các nhóm hacker hoạt động thường xuyên vẫn có thể bị phát hiện, như băng nhóm tống tiền mạng LAPSUS$ từng tấn công Microsoft và Nvidia, hoặc các nhóm bị cáo buộc liên quan đến Nga và Trung Quốc. Trường hợp của Shadow Brokers lại đặc biệt hơn.
Nhóm này xuất hiện trên mạng vào mùa hè năm 2016, giữa thời điểm Mỹ đối mặt với các vụ tấn công mạng liên quan đến cuộc bầu cử Tổng thống. Shadow Brokers đã đăng một liên kết tới một tài liệu có tiêu đề “Equation Group Cyber Weapons Auction - Invitation”, trong đó nhắc tới Equation Group – một nhóm tấn công mạng bí mật được nhiều chuyên gia cho là có liên quan đến NSA.
Tuyên bố và hành động
Nhóm hacker tuyên bố đã xâm nhập vào Equation Group và rao bán các “vũ khí mạng”. Đây là cách gọi những phần mềm hoặc mã khai thác có thể được dùng để xâm nhập hệ thống máy tính. Shadow Brokers yêu cầu mức giá ít nhất 1 triệu Bitcoin, nhưng sau đó nhiều công cụ đã được công khai.
Khi các chuyên gia phân tích, họ nhận ra đây là những công cụ rất tinh vi, nhiều khả năng bị đánh cắp từ NSA. Một số tên gọi trong kho công cụ cũng trùng với các chương trình từng được người tiết lộ Edward Snowden công bố.
Nghi phạm và giả thuyết
Đến nay, chưa ai bị bắt hoặc bị truy tố trực tiếp liên quan đến vụ rò rỉ này. Một nghi phạm từng được nhắc đến là Harold T. Martin III, nhà thầu của NSA bị bắt vì đánh cắp thông tin mật, nhưng giả thuyết này không hoàn toàn thuyết phục vì Shadow Brokers vẫn hoạt động trực tuyến khi ông Martin đã bị giam giữ. Giả thuyết được nhắc tới nhiều hơn là Shadow Brokers có thể do một nhóm gián điệp mạng của Nga dựng lên như một công cụ tuyên truyền.
Tác động toàn cầu
Tác động của vụ rò rỉ là rất lớn. Trong số các công cụ bị công bố có EternalBlue, bộ công cụ khai thác lỗ hổng trên Windows. Lỗ hổng zero-day là lỗi bảo mật chưa được nhà phát triển biết đến, nên chưa có bản vá. EternalBlue sau đó bị tin tặc Triều Tiên dùng để phát tán mã độc tống tiền WannaCry, còn tin tặc Nga tích hợp vào NotPetya, gây thiệt hại ước tính khoảng 10 tỷ USD trên toàn cầu.
Bài học rút ra
Vụ Shadow Brokers cho thấy các lỗ hổng do cơ quan tình báo nắm giữ không thể luôn được giữ bí mật. Khi những công cụ này bị rò rỉ, doanh nghiệp và người dùng trên toàn thế giới có thể phải gánh chịu hậu quả nặng nề.
