Gyorsan bejárta a világsajtót a hír, hogy egy magát Shadow Brokers-nek nevező hacker(csoport) betört az NSA-hoz, és egy sor hackereszközt lopott az ügynökségtől. Az incidens onnan derült ki, hogy a Shadow Brokers közzétett egy kis ízelítőt a szerzeményeiből. A dolgot nem aprózta el, a GitHubon hirdetett aukciót a teljes csomagra, amit azóta az üzemeltetők le is tiltottak A teljes pakkért egyébként 1 millió bitcoint kérnek, ami jelenleg közel 570 millió dollár.

Az NSA persze nem reagált, de a szakértők szerint, akik megvizsgálták a hackerek által kiadott infókat, nagy az esélye, hogy valóban betörés történt. Van azonban olyan vélemény is, hogy ez csak egy nagyon jól megtervezett átverés, főleg a meghirdetett árat tartják irreálisan magasnak.

Kódok, kitek, beállítások...

A Shadow Brokers állítása szerint lényegében egy jókora kiberháborús arzenált sikerült szerezniük. Ebben vannak konkrét malware-ek, exploitok, ismeretlen, nulladik napi sebezhetőségek kiaknázására írt kódok, telepítő scriptek és vezérlőszerverek (command and control server) konfigurációi is.

A támadás érdekessége, hogy mindezt állítólag az Equation Group szerveriről sikerült megszereznie a Shadow Brokersnek. Az Equation Group pedig nem akármilyen szervezet: tavaly a Kaspersky Lab részletesen foglalkozott ezzel az NSA-hoz köthető csoporttal.

Az orosz biztonsági cég szerint az Equation Group egyedülállóan fejlett minden szempontból. Láthatatlanul tud működni, képes hozzáférni elszigetelt hálózatokhoz, melyek nem kapcsolódnak a netre, és klasszikus kémkedési módszerekkel is terjesztenek malware-eket. Ráadásul a Kaspersky Lab szerint a csoport mögött hatalmas, földrajzilag is elosztottan működő vezérlőszerver-infrastruktúra dolgozik. A kutatók több mint 300 olyan domaint és 100 szervert azonosítottak többek között az USA-ban, Nagy-Britanniában, Olaszországban, Németországban, Hollandiában és Csehországban, de még Panamában, Costa Ricán, Malajziában ás Kolumbiában is, melyek a csoporthoz köthetők.

Vannak közvetett bizonyítékok is

A Shadow Brokers által közzétett ízelítő csomagban elsősorban hálózati eszközök – routerek, tűzfalak – elleni támadásokat segítő készletek vannak. Ezek szerint az NSA-nak (vagy legalábbis az Equation Groupnak) nem okozott gondot egy Cisco vagy Juniper hálózati eszköz meghackelése, ahogy a kínai hálózatieszköz-gyártók ellen is megvoltak a fegyvereik.

Az eddig megismert infók persze önmagában még nem bizonyító erejűek, de van egy közvetett bizonyíték is arra, hogy az incidens valóban megtörtént. A nyilvánosságra hozott eszközök neve ugyanis nem először bukkan fel: egyik-másik már az Edward Snowden által kiszivárogtatott dokumentumokban is fellelhető volt.

A Foreign Policy-nak egy korábbi NSA-kutató, Dave Aitel, az Immunity biztonsági cég vezetője azt mondta, hogy – ismerve az NSA működését – a veszély óriási. És persze arra sincs garancia, hogy ha elvittek valamit, azt nem használják fel azonnal.

A lapnak twitterüzenetben nyilatkozott egy Guccifer 2.0 álnéven futó személy is, aki szerint meg ez az egész történet, különösen az 1 millió bitcoinos követelés fényében egyszerűen baromság. Szerinte ugyanis a hackervilág egyáltalán nem így működik.

Politikai felhangok is vannak

Az ügyben való eligazodást az is nehezíti, hogy egyre jobban durvul az USA elnökválasztási kampánya, amelyben nem ez lenne az első kiberbiztonsági incidens. Ahogy a demokraták szerverei elleni támadásoknál, most is felmerült ugyanis az oroszok szerepe, Dave Aitel szerint el is képzelhető, hogy ez az incidens is része a Washington és Moszkva között folyó, kibereszközökkel vívott háborúnak.

Erre utal az is, hogy a Shadow Brokers egy elitellenes politikai kiáltványt is közzétett, melyben arról írnak, hogy az elit csak a saját érdekeit nézi, és annak védelmében minden eszközt bevet. Szerintük az elnökválasztás csak szemfényvesztés, hiszen uralják az egész országot. Hatalmuk kulcsa pedig az – és szerintük ezt bizonyítják az ellopott adatok is –, hogy ők gyakorolják az ellenőrzést az elektronikus adatok fölött.

A történet kimenetele nagyban múlik az NSA hozzáállásán. Egyelőre nem sikerült szóra bírnia egyetlen lapnak sem az ügynökséget. Ugyanakkor ha az incidens valóban megtörtént, és a kódok kiszivárogtak, akkor felhasználásuk csak úgy akadályozható meg, ha az ügynökség megosztja információit – akár teljes titoktartás mellett – az érintett vállalatokkal.