De groep genaamd Shadow Brokers die allerlei tools, exploits en bestanden van een aan de NSA-gelieerde spionagegroep online zette is in werkelijkheid een NSA-medewerker, zo laat een ex-medewerker van de inlichtingendienst tegenover onderzoeker Matt Suiche en Vice Magazine weten.

Het Russische anti-virusbedrijf Kaspersky Lab, dat het bestaan van de Equation Group ontdekte, bevestigde dat de deze week op internet verschenen bestanden zo goed als zeker van de Equation Group afkomstig zijn. Verschillende experts denken dat Shadow Brokers toegang tot een stagingserver met de bestanden hebben gekregen. Zelfs NSA-klokkenluider Edward Snowden mengde zich in de discussie en vermoedt dat het openbaar maken van het datalek een politiek motief heeft. De klokkenluider wijst naar de escalatie rondom de hack van de Amerikaanse Democratische Partij. Hij ziet het lek dan ook als een waarschuwing dat iemand Amerikaanse verantwoordelijkheid voor elke aanval afkomstig van de gehackte server kan aantonen.

Volgens een voormalig NSA-medewerker is er echter geen sprake van een gehackte server. "Mijn collega's en ik zijn er vrij zeker van dat dit geen hack was, of een groep. Dit 'Shadow Brokers' karakter is één iemand, een insider-werknemer." Volgens de bron, die anoniem wil blijven, is het veel eenvoudiger voor een insider om de data te verkrijgen die de Shadow Brokers online hebben gezet, dan iemand het zou stelen. "De naamgeving van de directories, alsmede sommige scripts in de dump, zijn alleen intern toegankelijk." Er zou ook geen reden zijn waarom dit soort bestanden op een server te vinden zijn die iemand kan hacken. Volgens de bron staan dit soort bestanden op een server die niet met het internet is verbonden.

Ook onderzoeker Matt Suiche, die eerder een analyse van de datadump maakte, werd waarschijnlijk door dezelfde bron benaderd. In beide gevallen werd een medaille en brief als bewijs overhandigd. De bron deed zich voor als voormalig NSA-analist. Ook tegenover Suiche stelt hij dat de hacktools van de NSA op een gescheiden netwerk worden bewaard dat niet op internet is aangesloten. Er zou dan ook geen reden zijn om die bestanden op een stagingserver te plaatsen, tenzij dit opzettelijk is gedaan.

De naamgeving duidt er verder op dat de bestanden direct van de bron zijn gekopieerd. Onder de gelekte bestanden bevinden zich verder verschillende scripts die alleen voordat een operatie plaatsvindt op werkstations van de NSA worden gebruikt. Ook in dit geval is er geen reden dat dergelijke bestanden op een stagingserver worden geplaatst, aangezien ze geen doel dienen, laat de bron verder weten. "Dit is één mogelijk scenario. De discussie is geopend", besluit Suiche.