Een groep hackers die zichzelf Shadow Brokers noemt en eerder allerlei tools, exploits en malware van de NSA onthulde heeft opnieuw bestanden en hacktools van de Amerikaanse inlichtingendienst openbaar gemaakt. Volgens de groep zijn de bestanden afkomstig van de Equation Group.

Eerder bleek al uit documenten van klokkenluider Edward Snowden dat de Equation Group zeer sterke banden met de NSA heeft en de malware van deze groep naar de NSA is te herleiden. Shadow Brokers wist een verzameling malware en tools van de Equation Group te bemachtigen en bood die vorig jaar voor omgerekend 5,8 miljoen euro via een veiling te koop aan. Aangezien er geen reacties kwamen besloot de groep de veiling te stoppen.

Het wachtwoord van het bestand dat via de veiling werd aangeboden is nu in een blogpost op Medium openbaar gemaakt. Volgens Snowden heeft de NSA de controle over "het geheime arsenaal van digitaal wapens verloren" en zou de inlichtingendienst nu moeten kunnen herleiden waar de tools vandaan kwamen en hoe die in de handen van derden terecht zijn gekomen. Hij merkt echter op dat het bij lange na niet de volledige verzameling van NSA-hacktools is. Klokkenluiderssite WikiLeaks meldt dat uit de nu gelekte bestanden blijkt dat de NSA honderden aanvallen op China heeft uitgevoerd en aanvallen uitvoerde waarbij het deed voorkomen alsof die van China afkomstig waren.

Het Amerikaanse beveiligingsbedrijf RevBits analyseerde de gelekte bestanden en ontdekte verschillende exploits voor cPanel en Avaya Call Server, alsmede een exploit voor Postfix. Daarnaast heeft het bedrijf ook een lijst openbaar gemaakt van servers die mogelijk door de NSA zijn gehackt en gebruikt voor het aanvallen van verdere doelen. In totaal gaat het om zo'n 900 gehackte servers, waaronder verschillende Nederlandse servers. Het gaat echter om dezelfde Nederlandse domeinen die vorig jaar al in de NSA-bestanden werden ontdekt.