هکرهای شبح: معمای امنیت سایبری که هیچ‌کس آن را حل نکرده است

در تاریخ طولانی هک و حملات سایبری، رخنه‌های اطلاعاتی متعددی وجود داشته‌اند که سال‌ها و حتی دهه‌ها بعد همچنان بدون پاسخ باقی مانده‌اند. هویت بسیاری از هکرها و گروه‌های پشت این حملات هرگز فاش نشده است.

البته برخی گروه‌های مشهور سایبری سرانجام شناسایی و دستگیر می‌شوند. مثل گروه LAPSUS$  که شرکت‌هایی نظیر مایکروسافت و انویدیا را هدف قرار داد و چندین عضو آن بازداشت شدند.

با این حال، برخی از جذاب‌ترین پرونده‌های تاریخ امنیت سایبری همچنان بی‌پاسخ مانده‌اند؛ بدون متهم، بدون پاسخ روشن و در برخی موارد حتی بدون انگیزه‌ای مشخص. یکی از مشهورترین این موارد، ماجرای گروه مرموز "شدو بروکرز" (Shadow Brokers) است؛ گروهی که ناگهان در فضای مجازی ظاهر شد، مجموعه‌ای از ابزارهای هک منتسب به آژانس امنیت ملی آمریکا (NSA) را منتشر کرد و سپس ناپدید شد.

ظهور ناگهانی یک گروه ناشناس

تابستان سال ۲۰۱۶ و هم‌زمان با جنجال هک‌های مرتبط با انتخابات ریاست‌جمهوری آمریکا، شدو بروکرز در توییتر ظاهر شد. اعضای این گروه با انتشار لینکی به یک پست در Pastebin و تگ کردن چند رسانه خبری، توجه‌ها را به خود جلب کردند؛ هرچند شیوه انتشار آن‌ها آن‌قدر عجیب بود که احتمالاً بسیاری از رسانه‌ها اصلاً این پیام‌ها را ندیدند.

کاربرانی که روی لینک کلیک می‌کردند، با سندی تحت عنوان «دعوت‌نامه حراج سلاح‌های سایبری گروه Equation» روبه‌رو می‌شدند؛ اشاره‌ای به یک عملیات مخفی هکری که به‌طور گسترده تصور می‌شود تحت مدیریت NSA بوده است.

هکرها در این پیام نوشته بودند:"توجه حامیان جنگ سایبری و کسانی که از آن سود می‌برند! برای خرید سلاح‌های سایبری دشمنان خود چقدر حاضر به پرداخت هستید؟"

آن‌ها مدعی بودند موفق شده‌اند گروه Equation را هک کنند.

حراجی که احتمالاً واقعی نبود

شدو بروکرز بخشی از ابزارهای هک را به‌صورت رایگان منتشر کرد و هم‌زمان لینکی به یک فایل رمزگذاری‌شده ارائه داد که تنها خریداران پس از ثبت پیشنهاد مالی می‌توانستند آن را رمزگشایی کنند.

این گروه ادعا می‌کرد فایل‌های موجود در حراج «از استاکس‌نت هم بهتر هستند»؛ آن‌ها برای فروش این اطلاعات حداقل یک میلیون بیت‌کوین درخواست کرده بودند.

اما بسیاری از کارشناسان معتقدند این حراج از ابتدا یک نمایش تبلیغاتی بود، زیرا چند ماه بعد بخش زیادی از این ابزارها به‌طور عمومی و رایگان منتشر شد.

ابزارهایی که به NSA نسبت داده شدند

پس از انتشار فایل‌ها، پژوهشگران امنیت سایبری به سرعت دریافتند که این ابزارها از پیچیدگی بسیار بالایی برخوردارند و به احتمال زیاد از NSA به سرقت رفته‌اند. این گمانه‌زنی زمانی تقویت شد که مشخص شد برخی نام‌های موجود در این مجموعه با برنامه‌هایی که پیش‌تر توسط افشاگر معروف  NSA، ادوارد اسنودن، فاش شده بودند مطابقت دارند.

رفتار شدو بروکرز نیز همواره عجیب بود. انگلیسی شکسته و نامتعارف آن‌ها گاهی به‌حدی غیرطبیعی به نظر می‌رسید که برخی تصور می‌کردند عمداً برای گمراه کردن تحلیلگران انتخاب شده است. با وجود جلب توجه گسترده رسانه‌ها، این گروه تنها یک‌بار با یک خبرنگار گفت‌وگو کرد و سپس سکوت اختیار کرد.

مظنونان؛ اما بدون هیچ متهمی

اکنون نزدیک به ۱۰ سال از این افشاگری می‌گذرد و هنوز هیچ اطلاعات قطعی درباره هویت واقعی اعضای شدو بروکرز وجود ندارد.

در آن زمان برخی کارشناسان احتمال می‌دادند فردی از داخل NSA یا یکی از کارکنان سابق این سازمان در ماجرا نقش داشته باشد. یکی از مظنونان اصلی هارولد مارتین سوم، پیمانکار NSA بود که به سرقت اسناد محرمانه متهم شد.

با این حال، یک مشکل بزرگ در این فرضیه وجود داشت: در حالی که مارتین در بازداشت به سر می‌برد، شدو بروکرز همچنان در فضای آنلاین فعال بود. او نیز هرگز به‌طور رسمی در ارتباط با این افشاگری‌ها متهم نشد.

امروزه رایج‌ترین نظریه این است که شدو بروکرز در واقع پوششی برای یک گروه اطلاعاتی وابسته به دولت روسیه بوده که با اهداف تبلیغاتی و جنگ روانی فعالیت می‌کرده است.

از افشای ابزارهای NSA تا حملات ویرانگر جهانی

تأثیر افشاگری شدو بروکرز بسیار گسترده بود. در میان ابزارهای منتشرشده، آسیب‌پذیری مشهور EternalBlue نیز وجود داشت؛ مجموعه‌ای از حفره‌های امنیتی روز صفر (Zero-Day) در ویندوز که به هکرها امکان نفوذ به رایانه‌ها و گسترش سریع دسترسی در شبکه را می‌داد.

هکرهای کره شمالی از EternalBlue برای انتشار باج‌افزار WannaCry استفاده کردند؛ حمله‌ای که صدها هزار رایانه در سراسر جهان را آلوده کرد.

بعدها هکرهای روسی نیز این ابزار را در بدافزار NotPetya به کار گرفتند. این حمله که ابتدا اوکراین را هدف قرار داده بود، از کنترل خارج شد و خسارتی حدود ۱۰ میلیارد دلار در سطح جهان برجای گذاشت.

این رویداد یک هشدار جدی برای شرکت‌ها و سازمان‌ها بود: آسیب‌پذیری‌هایی که توسط نهادهای اطلاعاتی ذخیره و مخفی نگه داشته می‌شوند، لزوماً برای همیشه محرمانه باقی نمی‌مانند و در صورت افشا، بخش خصوصی بیشترین هزینه را پرداخت خواهد کرد.

اسراری که هنوز ادامه دارند

جالب آنکه حتی امروز نیز گنجینه اطلاعاتی شدو بروکرز همچنان کشفیات تازه‌ای به همراه دارد.

در میان فایل‌های افشاشده، فهرستی از پروژه‌های محرمانه وجود داشت که یکی از آن‌ها با نام Fast16 مشخص شده بود و در کنار آن عبارت «هیچ چیز برای دیدن وجود ندارد؛ عبور کنید» نوشته شده بود.

ماه گذشته پژوهشگران اعلام کردند که موفق به شناسایی و بررسی این پروژه شده‌اند. بررسی‌ها نشان می‌دهد این بدافزار به سال ۲۰۰۵ بازمی‌گردد و برای دستکاری نرم‌افزارهایی طراحی شده بود که گفته می‌شود توسط دانشمندان هسته‌ای ایران مورد استفاده قرار می‌گرفت.

با وجود گذشت یک دهه، معمای شدو بروکرز همچنان یکی از بزرگ‌ترین پرونده‌های حل‌نشده در تاریخ امنیت سایبری به شمار می‌رود؛ پرونده‌ای که هنوز پاسخ روشنی برای این سؤال ندارد: چه کسانی پشت بزرگ‌ترین افشای ابزارهای هکری NSA قرار داشتند؟