De geschiedenis is bezaaid met datalekken. Jaren gaan voorbij. Decennia zelfs. Geen namen. Geen gezichten. De hackers blijven geesten.
Zeker. Wij vangen de luide.
Neem LAPSUS$. De afpersingsring heeft Microsoft, Nvidia en anderen neergehaald. Meerdere arrestaties. Dan zijn er de statelijke actoren. Russische eenheden. Chinese ploegen. Wij hebben hun namen. Aanklachten. Gezochte lijsten. Ze laten papieren sporen achter die we kunnen volgen.
Maar sommige gevallen… ze blijven daar gewoon hangen.
Wijd open. Geen dader. Geen motief. Soms is er niet eens een zinvolle reden.
Wij gaan terug kijken. Te beginnen met een van de raarste inlichtingenlekken ooit geregistreerd.
De schaduwmakelaars
Dit verhaal begint in de zomer van 2016.
De Russische hacks die verband hielden met de Amerikaanse verkiezingen maakten lawaai. Een groep genaamd de Shadow Brokers stapt de strijd in.
Ze doken op op Twitter. Een Pastebin-bericht gelinkt. Getagde nieuwsuitzendingen. Een vreemde strategie. Ineffectief ook. De meeste verkooppunten hebben het waarschijnlijk volledig gemist. Maar klik toch op de link.
Het document was getiteld “Equation Group CyberWeapons Auction – Invitation”.
Vergelijkingsgroep? Dat is de codenaam voor operaties waarvan algemeen wordt aangenomen dat ze door de NSA worden uitgevoerd.
“!!! Let op overheidssponsors van cyberoorlogvoering en degenen die daarvan profiteren !!!! Hoeveel betaalt u voor de cyberoorlogvoeringen van de vijand?”
Slechte spelling. Slechte grammatica. Bijna komisch. Maar ze beweerden dat ze Equation hadden gehackt.
Ze plaatsten downloadlinks voor hacktools. Vervolgens een link voor een gecodeerd bestand. Je zou het kunnen ontsleutelen als je een bod uitbracht.
“Veilingbestanden beter dan Stuxnet”
Ze verwezen naar Stuxnet. De beroemde malware die werd gebruikt bij de gezamenlijke Amerikaans-Israëlische aanval op Iraanse nucleaire sites in 2007.
Hun vraag? Minstens één miljoen Bitcoin.
De pers sloeg aan. Beveiligingsonderzoekers keken dichterbij.
De tools waren niet alleen goed. Ze waren van wapenkwaliteit. NSA-klasse. De verdenking kwam tot uiting omdat sommige tools namen deelden met programma’s die Edward Snowden jaren eerder had gelekt.
Was de veiling echt?
Waarschijnlijk niet. Maanden later dumpten de makelaars alles publiekelijk. Waarom?
Maakt niet uit. Het klopt niet. Het gebroken Engels voelde nep aan. Als een optreden. Toch hunkerden ze naar aandacht.
Ze gaven precies één interview.
Aan Jozef Cox. Toen hij voor VICE Motherboard schreef, vóór 404 Media. Kort. Beleefd.
Dat is alles.
Nog steeds geesten
Tien jaar later.
Wij weten niets.
We interviewden toen ex-NSA-personeel. Hun mening? Een insider. Of misschien iemand die daar heeft gewerkt.
Geen arrestaties overigens. Nooit.
Voor een van de ergste lekken van inlichtingeninstrumenten in de Amerikaanse geschiedenis werd niemand aangeklaagd. Dat is… zeldzaam.
Er kwam één naam naar voren. Harold T. Martin III.
NSA-contractant. Gearresteerd wegens het stelen van geheime informatie. Plausibele verdachte. Maar de tijdlijn klopt niet. De Shadow Brokers bleven online terwijl Martin in hechtenis zat.
Hij werd nooit formeel beschuldigd van de lekken.
Dus wat is er gebeurd?
De meeste mensen denken dat Rusland het heeft gedaan. Een door de staat gesponsorde propagandabeweging.
“Kwetsbaarheden die door inlichtingendiensten worden opgepot, blijven niet voor altijd geheim.”
De impact was niet theoretisch.
Onder het lek? EeuwigBlauw.
Het was een reeks zero-day-fouten voor Windows. Een zero-day betekent dat de leverancier er nog niets van weet. Geen pleister. Hiermee kun je een netwerk doorbreken, zijwaarts bewegen en wormen planten die zichzelf opvreten in elke machine die ze kunnen vinden.
Noord-Korea heeft het gegrepen. Ontketende WannaCry.
Later hebben Russische hackers het in NotPetya ingebed. Het begon in Oekraïne. Wereldwijd verspreid. Kosten ongeveer 10 miljard dollar.
Bedrijven hebben de les op de harde manier geleerd.
Het verzamelen van wapens in de schaduw vertraagt alleen maar het onvermijdelijke. Als die schaduwen opengaan… betaalt de particuliere sector.
Wie zat erachter?
We weten het nog steeds niet.
