Il mondo della cybersecurity è pieno di storie incredibili, ma poche sono avvolte nel mistero quanto quella dei Shadow Brokers, un gruppo di hacker comparso dal nulla, capace di mettere in ginocchio la sicurezza informatica globale e poi sparito senza lasciare traccia. A distanza di quasi dieci anni, nessuno sa ancora chi ci fosse dietro. E questa, probabilmente, è la parte più inquietante di tutta la faccenda.
Chi sono i Shadow Brokers e cosa hanno fatto
Nell’estate del 2016, mentre gli Stati Uniti erano nel pieno dello scandalo legato agli attacchi informatici russi collegati alle elezioni presidenziali, un account Twitter fino ad allora sconosciuto pubblicò un link a un documento su Pastebin. Il titolo era piuttosto esplicito: “Equation Group Cyber Weapons Auction — Invitation”. L’Equation Group è da tempo considerato un’operazione di hacking gestita dalla NSA, l’Agenzia per la Sicurezza Nazionale americana.
Il messaggio era una sorta di asta provocatoria: il gruppo affermava di aver sottratto cyberarmi all’Equation Group e le metteva in vendita, chiedendo almeno un milione di Bitcoin. “Auction files better than Stuxnet”, scrivevano, facendo riferimento al celebre malware utilizzato nel 2007 contro le strutture nucleari iraniane nell’ambito di un’operazione congiunta tra Stati Uniti e Israele.
La strategia di comunicazione era bizzarra. Il gruppo taggò diversi media su Twitter, un metodo così inefficace che la maggior parte delle redazioni probabilmente non vide nemmeno quei tweet. Eppure, quando i ricercatori di sicurezza analizzarono gli strumenti pubblicati, capirono subito che si trattava di roba seria. Sofisticatissima. Alcuni tool condividevano nomi con programmi già rivelati da Edward Snowden, il che rafforzava l’ipotesi che provenissero davvero dalla NSA.
L’asta, con tutta probabilità, era una messinscena. Nei mesi successivi i Shadow Brokers pubblicarono gratuitamente buona parte degli strumenti rubati. Il loro inglese era sgrammaticato in modo quasi caricaturale, come se volessero dare l’impressione di non essere madrelingua oppure stessero deliberatamente giocando un ruolo. Nonostante l’enorme attenzione mediatica, parlarono con un giornalista una sola volta, concedendo un’intervista brevissima.
Un mistero ancora irrisolto e conseguenze devastanti
A oggi, nel 2026, non si sa letteralmente nulla su chi si nascondesse dietro i Shadow Brokers. Ex dipendenti della NSA intervistati all’epoca ipotizzarono il coinvolgimento di un insider, qualcuno che avesse lavorato o lavorasse ancora per l’agenzia. Ma nessuno è mai stato arrestato o incriminato per la fuga di notizie, il che è davvero straordinario considerando che si tratta di una delle peggiori fughe di strumenti di intelligence nella storia americana.
Un sospettato ci fu: Harold T. Martin III, un contractor della NSA arrestato per aver sottratto materiale classificato. Il problema è che mentre Martin era in custodia, i Shadow Brokers continuavano a essere attivi online. Non è mai stato formalmente accusato in relazione alle fughe del gruppo. La teoria che oggi raccoglie più consensi è che i Shadow Brokers fossero una creazione dei servizi segreti russi, usata come strumento di propaganda e destabilizzazione.
Le conseguenze, quelle sì, sono state tutt’altro che misteriose. Tra gli strumenti pubblicati c’era EternalBlue, una famiglia di vulnerabilità zero day che colpiva Windows e permetteva agli hacker di entrare nei computer di una rete compromessa, espandere rapidamente l’accesso e distribuire worm capaci di propagarsi da soli. Le vulnerabilità zero day, per chi non lo sapesse, sono falle sconosciute al produttore del software, il che significa che non esiste ancora alcuna patch correttiva.
Hacker nordcoreani sfruttarono EternalBlue per scatenare il ransomware WannaCry. Gli hacker russi lo integrarono in NotPetya, un attacco inizialmente mirato contro l’Ucraina che finì per colpire aziende in tutto il mondo, causando danni stimati in circa 9,3 miliardi di euro a livello globale. Per il settore privato fu una lezione brutale: le vulnerabilità accumulate dalle agenzie di intelligence non restano segrete per sempre e, quando vengono alla luce, il conto lo paga chi non c’entra nulla.
E la storia non è ancora finita. Tra gli strumenti trafugati ce n’era uno contenente una lista di nomi in codice di progetti, compreso uno chiamato Fast16, accompagnato dall’etichetta “NOTHING TO SEE HERE — CARRY ON“. Il mese scorso alcuni ricercatori hanno annunciato di averlo localizzato e analizzato, scoprendo un malware risalente al 2005, progettato per manomettere software presumibilmente utilizzato da scienziati nucleari iraniani.