Hacking tarihinin bilinmeyen sayfalarından biri, Shadow Brokers adlı esrarengiz bir grubun ortaya çıkmasıyla yeniden gündeme geldi. Bu grup, NSA’ya ait olduğu düşünülen bir dizi hacking aracı yayınladı ve ardından sırra kadem bastı.
2016 yazında, ABD başkanlık seçimleriyle ilgili Rusya’nın siber saldırıları sırasında Twitter’da boy gösteren bu grup, bir tweetle bazı haber kuruluşlarına bağlantı verdi. Ancak bu strateji, büyük ihtimalle çoğu medya kuruluşunun bu tweetleri görmemesine neden oldu.
Bağlantıya tıklayanlar “Equation Group Cyber Weapons Auction — Invitation” başlıklı bir belge ile karşılaştı. Bu belge, NSA’nın karanlık bir hacking operasyonuna atıfta bulunuyordu.
Hackerlar, “Devlet siber savaş sponsorları ve bundan kazanç sağlayanlar!!! Düşmanların siber silahları için ne kadar ödüyorsunuz?” yazdı ve Equation Group’u hacklediklerini iddia etti.
Bu belgede, bazı hack araçlarını indirmek için bağlantılar ve ilgi duyan alıcıların teklif vererek şifreli dosyayı çözebileceklerini belirten bir bağlantı da bulunuyordu. “Stuxnet’ten daha iyi müzayedeler,” diye yazdılar ve 2007’deki ABD-İsrail siber saldırısında İran nükleer tesislerine karşı kullanılan ünlü zararlıyı örnek gösterdiler. En az bir milyon Bitcoin talep ettiler.
Sızıntı, hızla basının ilgisini çekti. Güvenlik araştırmacıları bu araçları analiz ettiklerinde, bunların NSA’dan çalınmış oldukça gelişmiş siber silahlar olduğunu fark ettiler; bu şüphe, bazı araçların, NSA’ya sızdırılan belgelerde yer alan isimlerle örtüşmesiyle güçlendi.
Müzayede, büyük ihtimalle bir aldatmacaydı çünkü grup birkaç ay sonra bu araçların bir kısmını kamuya açıkladı. Shadow Brokers hakkında çok şey belirsizdi. Dili komik bir şekilde bozuktu ve yayımlanan içeriklerinin çoğu tuhaf görünüyordu. Dikkat çekmek istediklerini bariz bir şekilde hissettirdiler, ama yalnızca bir gazeteciyle, 404 Media’dan Joseph Cox ile kısa bir röportaj yaptılar.
Aradan on yıl geçti, ancak Shadow Brokers’ın kimliği hakkında hala hiçbir şey bilinmiyor. O dönem, eski NSA çalışanlarıyla yaptığımız röportajlarda, grubun bir NSA çalışanı veya eski bir çalışanı tarafından yönetilme olasılığı gündeme geldi. Ancak hiçbir tutuklama gerçekleşmedi; bu, ABD istihbaratının hackleme araçlarının belki de en büyük sızıntılarından birinin yaşanmış olmasına karşın oldukça sıra dışı bir durum.
Olası şüphelilerden biri, gizli bilgileri çalan bir NSA contratörü olan Harold T. Martin III’di. Fakat bu teori zayıf; çünkü Martin gözaltındayken Shadow Brokers çevrimiçi aktifti. Sızıntılarla bağlantılı olarak henüz resmi bir ceza ile suçlanmadı. En çok kabul gören teori, Shadow Brokers’ın bir Rus hükümeti casus grubu tarafından propaganda aracı olarak oluşturulmuş olabileceği yönünde.
Sızıntının etkisi büyük oldu. Shadow Brokers tarafından yayınlanan araçlar arasında, Windows işletim sistemlerine yönelik sıfırıncı gün açıkları barındıran EternalBlue yer alıyordu. Bu açıklar, hackerların bir hacklenmiş ağa erişimini hızla genişletmesine ve kendini çoğaltan solucanlar dağıtmasına olanak tanıyordu. (Sıfırıncı gün açıkları, yazılım üreticisi tarafından bilinmeyen hatalardır ve bu nedenle henüz bir yamanması yoktur.) Kuzey Koreli hackerlar, EternalBlue’yu WannaCry fidye yazılımını yaymak için kullandılar. Daha sonra Rus hackerlar, bunu NotPetya’ya entegre etti ve Ukrayna’daki hedeflerinin ötesine geçerek dünya çapında yaklaşık 10 milyar dolarlık zarara yol açtı. İş dünyası için ders son derece netti: istihbarat ajansları tarafından saklanan açıklar sonsuza kadar gizli kalmaz — sızdığında, özel sektör bedelini öder.
Sızıntı hala yeni keşifler veriyor. Yayınlanan araçlardan biri, “FAST16” adlı bir projeye ait isimlerin listesine sahipti; üzerine sadece “BURADA GÖRÜLECEK HİÇBİR ŞEY YOK – DEVAM EDİN” yazılmıştı. Geçen ay, araştırmacılar bu ismin kaydını bulup incelediklerini açıklayarak, 2005 yılına tarihlenen ve İranlı nükleer bilimcilerin kullandığı yazılımlarla oynamak için tasarlanmış bir zararlı kod bulduklarını belirttiler.
Bu yazıda ele aldığımız konular hakkında ne düşünüyorsunuz?
