一場(chǎng)席卷全球的勒索病毒仍在入侵人們的電腦,同時(shí)也讓一個(gè)黑客組織浮出水面。
5月13日開始,一種名為“WanaCrypt0r 2.0”的蠕蟲病毒開始在互聯(lián)網(wǎng)上蔓延,它可以使感染的電腦在10秒內(nèi)鎖住,電腦里所有文件全被加密無(wú)法打開,只有按彈窗提示交贖金才能解密。
據(jù)《華盛頓郵報(bào)》報(bào)道,這種病毒被廣泛認(rèn)定為是根據(jù)美國(guó)國(guó)家安全局(NSA)此前泄露的黑客滲透工具之一——永恒之藍(lán)(Eternal Blue)升級(jí)而來(lái)。網(wǎng)絡(luò)專家稱,這份文件被叫做影子經(jīng)紀(jì)人(Shadow Brokers)的犯罪團(tuán)伙偷走,并于4月公布于眾。
根據(jù)此前的報(bào)道,影子經(jīng)紀(jì)人盜走的黑客工具遠(yuǎn)不止“永恒之藍(lán)”,他們聲稱入侵了NSA的黑客武器庫(kù),獲得了大量的互聯(lián)網(wǎng)攻擊工具。
曾挑戰(zhàn)美國(guó)最牛黑客團(tuán)伙“方程式組織”
歷史資料顯示,影子經(jīng)紀(jì)人在互聯(lián)網(wǎng)上初露鋒芒是在2016年8月。這個(gè)神秘黑客組織宣布自己攻破了NSA的防火墻,并且公布了思科ASA系列防火墻、思科PIX防火墻的漏洞。
據(jù)《連線》報(bào)道,當(dāng)時(shí)影子經(jīng)紀(jì)人明目張膽地在推特上表示,他們將免費(fèi)提供一些網(wǎng)絡(luò)攻擊和黑客工具的下載,而這些攻擊武器均來(lái)自另一黑客團(tuán)隊(duì)“方程式組織”。
“方程式組織”隸屬于NSA,被稱為NSA的網(wǎng)絡(luò)“武器庫(kù)”。有業(yè)內(nèi)人士表示,“方程式組織”是全球最頂尖的黑客團(tuán)隊(duì),這個(gè)團(tuán)隊(duì)的加密程度無(wú)人能及。2010年毀掉伊朗核設(shè)備的震網(wǎng)病毒和火焰病毒,也被廣泛認(rèn)為出自“方程式組織”之手。
網(wǎng)絡(luò)安全廠商卡巴斯基在2015年發(fā)布監(jiān)測(cè)報(bào)告稱,“方程式組織”是全球技術(shù)最牛的黑客組織之一,在網(wǎng)上活躍近20年,是網(wǎng)絡(luò)間諜中的“王冠制造者”。當(dāng)年,卡巴斯基在全球42個(gè)國(guó)家發(fā)現(xiàn)了“方程式組織”的500個(gè)感染行為。同時(shí)卡巴斯基還表示,這只是冰山一角,由于這個(gè)黑客團(tuán)隊(duì)制造的“武器”擁有超強(qiáng)的自毀能力,絕大多數(shù)進(jìn)攻完成之后,不會(huì)留下任何痕跡。
黑客中的“軍火販子”
在聲稱盜取了“方程式組織”的攻擊武器之后,影子經(jīng)紀(jì)人開始在網(wǎng)上拍賣這些文件。
影子經(jīng)紀(jì)人表示,如果他們收到超過(guò)100萬(wàn)比特幣,他們就會(huì)釋放他們已經(jīng)擁有的更多的黑客工具。但那次拍賣最終只獲得了價(jià)值25美元的比特幣。
2016年10月,影子經(jīng)紀(jì)人停止了銷售,并開通了類似眾籌的活動(dòng)。他們表示,如果最終他們完成10000比特幣的眾籌目標(biāo),就將提供給參與眾籌的人每人一份黑客工具。當(dāng)兩個(gè)月后,該組織的眾籌嘗試再次宣告失敗。
但影子經(jīng)紀(jì)人并沒(méi)有因此放棄利用這批文件賺錢的努力。他們之后開始在ZeroBin上小批量地銷售黑客工具。2017年1月,該組織以750比特幣的價(jià)格出售一批能夠繞過(guò)殺毒軟件的Windows黑客工具。
有媒體評(píng)價(jià)稱,“影子經(jīng)紀(jì)人”好像黑客中的軍火商。他們時(shí)常會(huì)販賣高級(jí)的攻擊武器,有時(shí)也販賣重要的世界軍政信息。他們喜歡在競(jìng)爭(zhēng)對(duì)手之間販賣武器,客戶在發(fā)現(xiàn)對(duì)手的攻擊能力和本人一樣后,很自然就會(huì)成為“影子經(jīng)紀(jì)人”的回頭客,以求購(gòu)更新的“武器”配備。
今年4月8日,影子經(jīng)紀(jì)人在medium.com博客網(wǎng)站上發(fā)表博文,其中公開了曾經(jīng)多次拍賣失敗的方程式組織Equation Group(為NSA提供服務(wù)專門對(duì)國(guó)外進(jìn)行間諜活動(dòng)的組織的黑客工具包——EQGRP-Auction-Files?,F(xiàn)在任何人都可以去解密這個(gè)文件,獲取其中的一些有價(jià)值的東西。
通過(guò)網(wǎng)友的解密,該工具包中包括:rpc.cmsd——針對(duì)Solaris-基于Unix的操作系統(tǒng)的遠(yuǎn)程0day漏洞;TOAST框架——國(guó)家安全局的TAO團(tuán)隊(duì)用來(lái)清除的Unix wtmp文件的事件日志;ElectricSlide工具——模擬中文瀏覽器的工具;NSA訪問(wèn)涉及巴基斯坦移動(dòng)運(yùn)營(yíng)商Mobilink的GSM網(wǎng)絡(luò)的證據(jù)等等。
泄密美國(guó)國(guó)安局資料
繼2016年的拍賣失敗以后,影子經(jīng)紀(jì)人最重要的發(fā)布發(fā)生在今年4月中旬,該組織聲稱獲得了NSA黑客工具的詳細(xì)信息,據(jù)說(shuō)美國(guó)政府正是利用這些工具入侵國(guó)際銀行系統(tǒng),偵查各國(guó)間資金流向,監(jiān)控中東和拉美國(guó)家銀行間的資金往來(lái)。
影子經(jīng)紀(jì)人從“方程式組織”獲取的這份300M的泄密文檔顯示,其中的黑客工具主要針對(duì)微軟的Windows系統(tǒng)和裝載環(huán)球銀行間金融通信協(xié)會(huì)(SWIFT)系統(tǒng)的銀行。這些惡意攻擊工具中,包括惡意軟件、私有的攻擊框架及其他攻擊工具。根據(jù)已知資料,其中至少有設(shè)計(jì)微軟23個(gè)系統(tǒng)漏洞的12種攻擊工具,而這次造成勒索病毒的永恒之藍(lán),不過(guò)12種的其中之一。
不過(guò),隨后SWIFT否認(rèn)了曾被黑客攻入。
按照英國(guó)廣播公司的說(shuō)法,如果4月曝光的資料和工具被確認(rèn)來(lái)自NSA,這將是“棱鏡”事件后,NSA遭遇的最嚴(yán)重“爆料”。
《連線》在報(bào)道中稱,連前美國(guó)國(guó)家安全局工作人員愛德華·斯諾登也認(rèn)為,影子經(jīng)紀(jì)人盜取了NSA的“武器庫(kù)”似乎是真的。因?yàn)橛稍摻M織提供的惡意軟件中,包含了與NSA在內(nèi)部文件中使用的相同的16個(gè)字符的識(shí)別碼。
誰(shuí)是影子經(jīng)紀(jì)人?
盡管在互聯(lián)網(wǎng)上興風(fēng)作浪,但至今沒(méi)有人知道影子經(jīng)紀(jì)人究竟是誰(shuí)。
此前,斯諾登曾發(fā)表了一系列推特分析,NSA惡意軟件的分段式服務(wù)器攻擊并非前所未有,他認(rèn)為,從間接證據(jù)來(lái)看影子,經(jīng)紀(jì)人與俄羅斯當(dāng)局有關(guān)。不過(guò),路透社在評(píng)論文章中稱,如果俄羅斯是影子經(jīng)紀(jì)人背后的力量,那么俄羅斯就不會(huì)公布數(shù)據(jù)被盜的情況。
美國(guó)知名作家兼記者詹姆斯·班福德(James Bamford)則分析指出,影子經(jīng)紀(jì)人有可能來(lái)自美國(guó)安全部門的內(nèi)部人士。在斯諾登2013年公布NSA的相關(guān)文件中,出現(xiàn)了與影子經(jīng)紀(jì)人泄露內(nèi)容相同的代碼——名為SecondDate-3021.exe的惡意軟件中的一串?dāng)?shù)字,同時(shí)出現(xiàn)在斯諾登和影子經(jīng)紀(jì)人發(fā)布的文件中。
一份言語(yǔ)學(xué)分析報(bào)告顯示,“影子經(jīng)紀(jì)人”在運(yùn)用英語(yǔ)時(shí)有明顯錯(cuò)誤,顯然是為了迷惑別人,讓人誤以為這一黑客組織成員并非以英語(yǔ)為母語(yǔ)。英俄雙語(yǔ)翻譯阿列克謝·科瓦列夫也贊同這種觀點(diǎn):“有太多破綻暴露了作者的母語(yǔ)是英語(yǔ)。”