Een van de rivalen van de inlichtingendienst wil vermoedelijk bekendmaken dat aanvallen met de software kunnen worden ontmaskerd, schrijft klokkenluider Edward Snowden, die in 2013 een grote hoeveelheid geheime NSA-documenten aan journalisten gaf, op Twitter.
Dit weekend publiceerde een hackersgroep die zichzelf ‘Shadow Brokers’ noemt een spionagetool die door de NSA zou zijn gebruikt om netwerkapparatuur af te luisteren. De groep zegt meer NSA-malware in handen te hebben, al is onduidelijk of dat klopt.
Volgens verschillende experts lijkt de malware die de groep verspreidde echt afkomstig te zijn van de inlichtingendienst. Rickey Gevers, cybersecuritydeskundige bij RedSocks, zegt dat de malware onder meer het wachtwoord van Cisco-apparatuur kan omzeilen, al zou dat met de laatste updates al zijn verholpen.
Diplomatiek
Snowden schrijft dat de spionagemalware vermoedelijk is gestolen van een ‘staging server‘ van de NSA. Dat is een server waar de malware wordt neergezet als het moet worden ingezet voor een aanval. Verschillende cybersecurityexperts uitten eerder al dezelfde theorie.
Volgens Snowden is het gebruikelijk dat de NSA zulke servers van andere inlichtingendiensten monitort, om hun activiteiten in de gaten te houden. “Onze rivalen doen hetzelfde bij ons – en slagen af en toe.”
Het is volgens Snowden vooral opvallend dat de hackers hebben besloten om hun vondst te openbaren. Dat wijst erop dat dit vooral een diplomatieke stap is, denkt hij. Mogelijk is het een reactie op de hack van de Amerikaanse Democratische Partij, die volgens verschillende onderzoekers het werk was van Russische staatshackers.
Gevolgen
“Dit lek is waarschijnlijk een waarschuwing dat iemand de Amerikaanse verantwoordelijkheid voor aanvallen van deze malwareserver kan bewijzen”, schrijft Snowden. “Dat kan significante gevolgen hebben voor het buitenlandbeleid. Vooral als die aanvallen gericht waren op Amerikaanse bondgenoten.”
Eerder bleek dat de malware voor het laatst in juni 2013 werd gewijzigd, precies de maand waarin Snowden met zijn onthullingen over de NSA naar buiten kwam. De klokkenluider speculeert dat dit erop wijst dat de NSA zijn malware toen naar een andere server heeft verhuisd, waardoor de hackersgroep zijn toegang verloor.
“Graag gedaan”, zegt hij op Twitter tegen zijn voormalige werkgever.