黑客又火上浇油:将有更多NSA病毒被曝光
这个名为Shadow Brokers(影子经纪人)的组织近日高调宣称,将会继续曝光更多窃取自美国国安局(NSA)的网络武器。
据了解,勒索病毒利用了被称为EternalBlue的漏洞,它首先被NSA发现,后被Shadow Brokers组织从其“黑客武器库”中窃走并曝光。自去年8月份销声匿迹的Shadow Brokers周二突然再次活跃起来,警告NSA和全世界:将有更多被窃NSA工具曝光。
Shadow Brokers表示,他们依然拥有美国75%的“网络武器”,并将发布更多工具,这些工具利用浏览器、路由器以及手机漏洞。此外,他们也会发布来自俄罗斯、中国、伊朗以及朝鲜的网络数据。Shadow Brokers最初曾尝试以拍卖的形式出售这些被窃工具,但因为没有收到报价而取消。
在周二的信中,他们称对偷取祖母的退休金不感兴趣,只是想向Equation Group(方程式组织)发送信息,后者是与NSA关系密切的黑客组织。Shadow Brokers宣称,他们将在6月份发布更多有关每月数据转储的详细信息,包括感兴趣的用户如何注册。在勒索病毒WannaCry袭击取得巨大影响力后,它们的需求可能会更多。
RiskSense资深安全分析师肖恩•迪伦(Sean Dillon)指出:“Shadow Brokers已经证明,他们的确拥有非常有效的工具,为此对它们感兴趣的人很可能会去购买,特别是其他犯罪分子。他们依然拥有政府的工具,并希望能够获得大量金钱。”
在勒索病毒爆发的短短4天内,黑客组织已经收到7万美元赎金。迪伦表示,一旦有人从Shadow Brokers获得数据转储,这些漏洞很可能曝光。在信的最后,Shadow Brokers暗示,如果NSA支付赎金,他们也可以帮助解决这些问题。
那么,Shadow Brokers(影子经纪人)到底是一个什么样的组织?
曾挑战美国最牛黑客团伙
历史资料显示,影子经纪人在互联网上初露锋芒是在2016年8月。这个神秘黑客组织宣布自己攻破了NSA的防火墙,并且公布了思科ASA系列防火墙、思科PIX防火墙的漏洞。
据《连线》报道,当时影子经纪人明目张胆地在推特上表示,他们将免费提供一些网络攻击和黑客工具的下载,而这些攻击武器均来自另一黑客团队“方程式组织”。
“方程式组织”隶属于NSA,被称为NSA的网络“武器库”。有业内人士表示,“方程式组织”是全球最顶尖的黑客团队,这个团队的加密程度无人能及。2010年毁掉伊朗核设备的震网病毒和火焰病毒,也被广泛认为出自“方程式组织”之手。
网络安全厂商卡巴斯基在2015年发布监测报告称,“方程式组织”是全球技术最牛的黑客组织之一,在网上活跃近20年,是网络间谍中的“王冠制造者”。
当年,卡巴斯基在全球42个国家发现了“方程式组织”的500个感染行为。同时卡巴斯基还表示,这只是冰山一角,由于这个黑客团队制造的“武器”拥有超强的自毁能力,绝大多数进攻完成之后,不会留下任何痕迹。
黑客中的“军火贩子”
在声称盗取了“方程式组织”的攻击武器之后,影子经纪人开始在网上拍卖这些文件。
影子经纪人表示,如果收到超过100万比特币,就会释放他们已经拥有的大量黑客工具。但显然世界人民还是不太买黑客的面子,这次拍卖最终获得了2比特币的尴尬结果。
赚钱心情强烈的黑客组织,又在2016年10月开启了众筹活动,宣布当他们收到10000比特币后将提供给每一位参与众筹者黑客工具包。12月,众筹活动又尴尬的失败了。
虽然这个有点傻萌气质的傲娇黑客组织在赚钱的路上屡屡掉坑,但影子经纪人并没有因此放弃利用这批文件赚钱的努力。他们之后开始在ZeroBin上小批量地销售黑客工具。2017年1月,该组织以750比特币的价格出售一批能够绕过杀毒软件的Windows黑客工具。
值得注意的是,影子经纪人还发布了证据,表明中国的大学和网络信息供应商是NSA入侵最频繁的领域。
作为全世界雇佣最多计算机专家的单位,NSA的内部机密被真实网络黑客入侵绝对是首次。而造成的影响恐怕也比想象中严重很多。
有媒体评价称,“影子经纪人”好像黑客中的军火商。他们时常会贩卖高级的攻击武器,有时也贩卖重要的世界军政信息。他们喜欢在竞争对手之间贩卖武器,客户在发现对手的攻击能力和本人一样后,很自然就会成为“影子经纪人”的回头客,以求购更新的“武器”配备。
泄密美国国安局资料
继2016年的拍卖失败以后,影子经纪人最重要的发布发生在今年4月中旬,该组织声称获得了NSA黑客工具的详细信息,据说美国政府正是利用这些工具入侵国际银行系统,侦查各国间资金流向,监控中东和拉美国家银行间的资金往来。
影子经纪人从“方程式组织”获取的这份300M的泄密文档显示,其中的黑客工具主要针对微软的Windows系统和装载环球银行间金融通信协会(SWIFT)系统的银行。这些恶意攻击工具中,包括恶意软件、私有的攻击框架及其他攻击工具。
根据已知资料,其中至少有设计微软23个系统漏洞的12种攻击工具,而这次造成勒索病毒的永恒之蓝,不过12种的其中之一。
不过,随后SWIFT否认了曾被黑客攻入。
按照英国广播公司的说法,如果4月曝光的资料和工具被确认来自NSA,这将是“棱镜”事件后,NSA遭遇的最严重“爆料”。
《连线》在报道中称,连前美国国家安全局工作人员爱德华•斯诺登也认为,影子经纪人盗取了NSA的“武器库”似乎是真的。因为由该组织提供的恶意软件中,包含了与NSA在内部文件中使用的相同的16个字符的识别码。
那么,这就是一个神秘高手为了揭开另一个“大内高手”的真面目,把他发明的武林至毒给偷出来并散布到了江湖的故事,借以证明NSA组织并实施了大量针对他国的非法黑客攻击。
谁是影子经纪人?
尽管在互联网上兴风作浪,但至今没有人知道影子经纪人究竟是谁。
不过,下黑手者虽然目前还找不到,但其所用的工具,却明确无误地指向了一个机构——NSA(National Security Agency),美国国家安全局。黑客所使用的“永恒之蓝”,就是NSA针对微软MS17-010漏洞所开发的网络武器。
美国知名作家兼记者詹姆斯•班福德(James Bamford)则分析指出,影子经纪人有可能来自美国安全部门的内部人士。在斯诺登2013年公布NSA的相关文件中,出现了与影子经纪人泄露内容相同的代码——名为SecondDate-3021.exe的恶意软件中的一串数字,同时出现在斯诺登和影子经纪人发布的文件中。
此前,斯诺登曾发表了一系列推特分析,NSA恶意软件的分段式服务器攻击并非前所未有,他认为,从间接证据来看影子经纪人与俄罗斯当局有关。不过,路透社在评论文章中称,如果俄罗斯是影子经纪人背后的力量,那么俄罗斯就不会公布数据被盗的情况。
一份言语学分析报告显示,“影子经纪人”在运用英语时有明显错误,显然是为了迷惑别人,让人误以为这一黑客组织成员并非以英语为母语。英俄双语翻译阿列克谢•科瓦列夫也赞同这种观点:“有太多破绽暴露了作者的母语是英语。”
距离WannaCry勒索病毒集中爆发已经超过了100了小时,而我们仍不知对手是谁,更可怕的,如果真如Shadow Brokers所说的那样,将会有更多的美国国安局病毒曝光,那对全球将会造成无法估量的损失。
信息首发:黑客又火上浇油:将有更多NSA病毒被曝光