Neste Artigo
Em 13 de agosto de 2016, o mundo da segurança cibernética foi abalado por um anúncio publicado em fóruns obscuros da internet. Um grupo até então desconhecido chamado Shadow Brokers declarou publicamente que havia roubado um arsenal de ferramentas de hacking da NSA (Agência de Segurança Nacional dos EUA). Não se tratava de boatos ou de arquivos de baixa relevância eles estavam vazando as armas digitais utilizadas pela unidade de elite da NSA conhecida como Equation Group.
Com a promessa de leiloar os dados, o grupo publicava uma parte do conteúdo como prova. Esses códigos incluíam scripts de invasão, exploits avançados, ferramentas de backdoor e até mesmo código-fonte de programas maliciosos que até então só eram encontrados em ataques altamente direcionados contra países como Irã, China, Rússia e Síria.
O que é o Equation Group?
O Equation Group é considerado a elite da elite da NSA. Ele foi identificado pela primeira vez publicamente por meio de um relatório da Kaspersky Lab em 2015, que descreveu o grupo como sendo capaz de comprometer firmwares de HDs, injetar código em BIOS e controlar sistemas por anos sem detecção. A Kaspersky comparou suas técnicas às de ficção científica, devido ao nível de sofisticação.
O vazamento dos Shadow Brokers sugeria que os hackers haviam acessado servidores internos, pastas de staging ou redes de testes da NSA, onde essas ferramentas estavam armazenadas. Isso levantou a suspeita de infiltração interna, acesso remoto não detectado ou até mesmo roubo físico de dados.
Os primeiros arquivos vazados
Na primeira publicação, os Shadow Brokers compartilharam um arquivo público com parte dos dados e prometeram liberar o restante caso o leilão atingisse um valor mínimo (em Bitcoin). Dentre os conteúdos já visíveis estavam:
Exploits para firewalls Cisco, Juniper, Fortinet;
Scripts automatizados para exploração de serviços como Telnet, FTP, SMB e RDP;
Um framework similar ao Metasploit, chamado FuzzBunch, com interface de comandos;
Logs e evidências que conectavam diretamente os arquivos ao Equation Group.
Mesmo antes do fim do leilão, analistas que revisaram os arquivos confirmaram: aquilo era legítimo.
Reação global
A comunidade de cibersegurança ficou em choque. Nunca antes havia ocorrido um vazamento tão direto de armas cibernéticas de um Estado, ainda mais de uma das agências mais poderosas e secretas do planeta. Diversas implicações surgiram imediatamente:
Os exploits eram reais, funcionavam e eram poderosos.
Muitos dos sistemas atacados estavam em uso em infraestruturas críticas, como roteadores de operadoras, sistemas corporativos e governos.
O risco de ciberataques em massa aumentou drasticamente.
Os vazamentos exponenciaram a militarização digital da internet.
Possíveis origens do vazamento
A autoria do vazamento permanece desconhecida, mas existem algumas teorias principais:
Hackers russos: Coincidentemente, o vazamento surgiu pouco após denúncias de envolvimento russo nas eleições americanas. Seria uma resposta estratégica?
Insider dentro da NSA: Alguns especialistas apontam que a estrutura dos arquivos indica que podem ter sido copiados por alguém com acesso físico ou VPN às redes internas.
Ataque a um servidor externo de staging da NSA: Possivelmente um servidor de C2 abandonado ou mal configurado, usado para testes.
Vazamento paralelo a Edward Snowden: Embora Snowden tenha negado envolvimento, alguns sugerem que os arquivos vieram da mesma época de coleta.
Cronologia do caso
| Data | Evento |
|---|---|
| 13 ago 2016 | Shadow Brokers anunciam o leilão e liberam parte das ferramentas |
| set – dez 2016 | Liberações adicionais e fracasso do leilão completo |
| 14 abr 2017 | Shadow Brokers liberam o pacote “Lost in Translation” com EternalBlue |
| 12 mai 2017 | Exploit EternalBlue é usado no ataque WannaCry, afetando o mundo |
| jun 2017 | Ataque NotPetya usa o mesmo exploit com payloads diferentes |
| 2018+ | Ferramentas do pacote NSA são absorvidas por cibercriminosos, APTs e kits de malware |
Com a publicação do pacote chamado “Lost in Translation” em abril de 2017, o grupo Shadow Brokers disponibilizou ao público o que seria considerado um arsenal digital de guerra. Dentre as dezenas de scripts, payloads e binários, dois nomes rapidamente se destacaram como os pilares da ofensiva cibernética global que viria a seguir: EternalBlue e DoublePulsar.
Essas ferramentas eram utilizadas pelo grupo Equation Group, braço ofensivo da NSA, em operações de infiltração sigilosas que duravam meses ou anos. O vazamento, no entanto, transformou esse armamento digital em exploit público, acessível a qualquer grupo cibercriminoso no planeta de ransomware operators a agentes de guerra híbrida.
EternalBlue (CVE-2017-0144): Entendendo o exploit
O EternalBlue é um exploit que abusa de uma falha crítica no protocolo SMBv1 (Server Message Block versão 1) em sistemas Windows XP até Windows Server 2012 R2, permitindo execução remota de código (RCE) sem autenticação. Ele se baseia em um Integer Overflow no arquivo srv2.sys, componente do kernel responsável por processar requisições SMB.
Esse exploit funciona manipulando o campo NT Status e pacotes específicos Trans2 do SMBv1. Ao forçar uma conversão incorreta de tipos e valores durante a manipulação de buffers, o exploit faz com que o kernel do Windows altere ponteiros de função internos, redirecionando a execução para onde o atacante desejar.
Tecnicamente, é possível fazer com que o processo System execute código arbitrário. Como resultado, é obtido acesso SYSTEM, ou seja, privilégio máximo e sem a vítima clicar em nada.
DoublePulsar: O backdoor pós-exploração
O EternalBlue não atua sozinho. Após o sucesso da exploração, os operadores da NSA usavam o DoublePulsar, um implante de kernel não persistente que opera como um backdoor. Ele é injetado diretamente na memória após o exploit, e permite comandos adicionais:
Ping: verificar se o sistema está infectado.
Kill: remover o backdoor da memória.
Exec: carregar uma DLL ou shellcode remoto com privilégios SYSTEM.
A comunicação com o DoublePulsar era feita via protocolo SMB (porta 445), usando técnicas stealth para se esconder no tráfego legítimo. A ferramenta conseguia evitar detecção por antivírus ao operar exclusivamente em memória e não criar arquivos persistentes no disco.
FuzzBunch: A Metasploit da NSA
As duas ferramentas eram orquestradas por um framework completo chamado FuzzBunch, que lembra o Metasploit Framework em sua organização. O FuzzBunch incluía módulos de:
Exploração (EternalBlue, EternalRomance, EternalChampion);
Pós-exploração (DoublePulsar, DanderSpritz);
Reconhecimento e scanner de rede (SMBTouch, NetView);
Limpeza de rastros;
Comunicação reversa via SMB, HTTP ou RPC.
O menu do FuzzBunch era controlado via terminal interativo. Operadores da NSA utilizavam esse sistema em ambientes controlados (air-gapped labs), ou através de agentes em campo. Com o vazamento, qualquer atacante passou a ter acesso à mesma infraestrutura de ataque.
Por que o SMBv1 foi o alvo?
O SMBv1 é um protocolo de compartilhamento de arquivos que remonta aos anos 1990, herdado do sistema LAN Manager. Apesar de obsoleto e cheio de falhas, o SMBv1 ainda era ativado por padrão no Windows até o Windows 10 Creators Update (2017). Muitas infraestruturas corporativas, impressoras, sistemas legados e SCADAs ainda dependiam dele.
Essa dependência tornou o SMBv1 uma porta de entrada ideal para agentes de ameaça, pois ele:
Não exige autenticação em muitos casos;
Está exposto em redes internas e, infelizmente, externas;
Executa no kernel, o que garante escalonamento instantâneo de privilégio;
É amplamente ignorado por firewalls internos mal configurados.
O exploit EternalBlue abusa exatamente dessa confiança histórica.
Impacto e massificação pós-vazamento
O EternalBlue e o DoublePulsar, combinados, foram reaproveitados em diversos malwares, como:
WannaCry (maio 2017): se espalhou automaticamente, criptografando arquivos e exigindo resgate em Bitcoin;
NotPetya (junho 2017): similar ao WannaCry, mas com objetivo de sabotagem, não resgate;
Emotet/Trickbot/Ryuk: malwares que usaram EternalBlue para movimentos laterais em redes corporativas;
Mineradores de criptomoeda: implantados em servidores vulneráveis;
APT groups: como Lazarus (Coreia do Norte), APT28 (Rússia) e outros reutilizaram o código.
O mais grave: o EternalBlue ainda é amplamente utilizado até hoje, em 2025, especialmente em países com redes legadas ou sistemas SCADA/IoT desatualizados.
Considerações técnicas sobre mitigação
Logo após o vazamento, a Microsoft lançou o patch MS17-010, corrigindo a falha no SMBv1. No entanto, a aplicação do patch foi lenta especialmente em empresas grandes com ambientes legados, o que favoreceu a disseminação.
Além disso, desativar o SMBv1 é fortemente recomendado, o que pode ser feito via PowerShell ou políticas de grupo. Antivírus e EDRs modernos também foram atualizados para detectar sinais de DoublePulsar e suas comunicações.
Porém, como o DoublePulsar atua diretamente no kernel, técnicas como detecção por análise de hooks e Syscalls são mais eficazes que assinaturas tradicionais.
Impactos Globais, a Guerra Digital e o Efeito Vault 7
O vazamento dos Shadow Brokers em 2017 não foi apenas uma falha operacional ou um erro de segurança: foi o desnudamento do aparato de ciberespionagem da maior potência do mundo. Pela primeira vez, scripts de guerra da NSA (Agência de Segurança Nacional dos EUA) estavam disponíveis no GitHub, fóruns underground, blogs e torrents, acessíveis para qualquer indivíduo com um laptop.
A publicação gratuita de ferramentas como EternalBlue, DoublePulsar e o framework FuzzBunch teve impacto direto na infraestrutura crítica global. Ataques em larga escala como o WannaCry paralisaram sistemas de saúde, bancos, trens, telecomunicações e indústrias. Empresas como FedEx, Maersk e Telefónica relataram prejuízos milionários.
Mas além da dimensão técnica, o caso abriu uma crise política e diplomática. Afinal, se os EUA estavam desenvolvendo e armazenando exploits zero-day em segredo, sem notificar os fabricantes, estavam deliberadamente deixando o mundo vulnerável uma violação grave de confiança.
O efeito dominó: Vault 7 e a CIA na mesma encruzilhada
Pouco depois dos vazamentos dos Shadow Brokers, outro terremoto atingiu a inteligência americana: o escândalo do Vault 7, publicado pela WikiLeaks em março de 2017. Esse novo conjunto de arquivos revelava o arsenal de ciberarmas da CIA, incluindo:
Weeping Angel: um malware para smart TVs Samsung que ativava microfones mesmo com a TV “desligada”;
Marble Framework: uma ferramenta de ofuscação que mascarava a origem de ataques;
Umbrage: um repositório de “assinaturas falsas” para simular ciberataques de países como Rússia ou China;
Zero-days em iOS, Android, Windows e Linux, usados para vigilância remota.
O Vault 7 expôs um ponto-chave: as agências de inteligência dos EUA estavam mantendo vulnerabilidades secretas, mesmo quando estas poderiam ser usadas contra cidadãos e infraestruturas críticas. O que antes era apenas suspeita, agora estava comprovado com código, relatórios e manual de operação.
Conclusão
O caso Shadow Brokers, junto ao Vault 7, marca a era do vazamento de ciberarmas estatais. As fronteiras entre guerra, cibercrime e ativismo se tornaram tênues. Os exploits da NSA caíram nas mãos de criminosos, e as ferramentas da CIA revelaram que a vigilância ocidental é muito mais agressiva do que se imaginava.
Mais do que nunca, a segurança digital não é apenas um assunto técnico: é uma questão geopolítica, ética e civilizatória. O que acontece quando governos acumulam poder tecnológico demais e o perdem?
