Um grupo com o nome Shadow Brokers partilhou uma série de ferramentas para hackers em 2017, que estiveram na origem de graves violações de segurança por todo o mundo, incluindo os famosos ataques do WannaCry.  Os Shadow Brokers afirmaram, na altura, que as ferramentas tinham sido roubadas à Agência de Segurança Nacional americana (NSA), mas nunca se chegou a descobrir como teriam conseguido aceder às mesmas.

Agora, um relatório da empresa americana de cibersegurança Symantec revelou que as fontes podem ter sido agentes de inteligência chineses, que apreenderam as ferramentas enquanto a NSA atacava os seus computadores. A Symantec descobriu que o grupo Buckeye, que trabalha para o Ministério da Segurança chinês, já usava essas ferramentas cerca de um ano antes do episódio ocorrido com os Shadow Brokers.

De acordo com o The New York Times, o Buckeye é um dos mais perigosos grupos chineses. Além de ataques a fabricantes americanos de tecnologia espacial, de satélite e de propulsão nuclear, a Symantec pensa que o grupo terá aplicado as ferramentas apreendidas à NSA em instituições de investigação e educação de países como a Bélgica, Luxemburgo, Vietnam e Hong Kong.

A confirmar-se que o Buckeye foi, de facto, a fonte do leak dos Shadow Brokers, então será também indiretamente responsável pelos ataques do Wannacry realizados por hackers norte-coreanos e russos, utilizando as mesmas ferramentas. Esses ataques de ransomware paralisaram o Serviço Nacional de Saúde do Reino Unido, além de incapacitarem serviços críticos da Ucrânia, como correios, aeroportos e caixas multibanco.

Eric Chien, diretor de segurança da Symantec, afirmou ao New York Times que os serviços de segurança americanos devem, ao realizar ciberataques, considerar a possibilidade dos seus inimigos serem capazes de capturar e redirecionar as ferramentas desenvolvidas pelos Estados Unidos. Para Eric Chien, este é mesmo o primeiro caso “em que vemos um grupo recuperar recursos utilizados contra eles e conseguir utilizá-los para atacar outros”.