SSL信息多年来,NSA(美国国家安全局)的精英黑客团队一直把悄悄入侵全球范围内的计算机系统当成自己的任务。现在,一个匿名的黑客组织宣称已经破解了一个反黑客程序:他们厚颜无耻地宣布这次窃取的文件是属于NSA的一个特工团队,并打算把这些文件拍卖给出价最高者。
周一,一个自称“影子经纪人”的匿名黑客组织在Tumblr 网站发帖,称其已攻破“方程式组织”的计算机系统,“方程式组织”是一个极其专业的黑客组织。去年,安全公司卡巴斯基根据爱德华·斯诺登揭露的证据发现,“方程式组织”一直在世界范围内发动黑客攻击,且与NSA有关联。
该网站上的一条消息显示:“你打算出多少钱买敌人的网络武器?我们黑掉了‘方程式组织’。我们发现了很多他们的网络武器。来看看图片吧。我们会免费给你们一些他们的文件……但不是全部,我们会把其中最好的拍卖掉。”该组织还吹嘘未发布的代码“比‘震网’还好”。(“震网”是2010年发现的,现在人尽皆知的NSA用于攻击伊朗核设施的病毒软件。)
该组织用蹩脚的英语发布声明的真实性尚未被证实。但研究人员下载了该组织贴出的样本文件后说,确实有些数据很让人感兴趣,比如有300兆代码与目前NSA使用的漏洞相匹配。“这些文件看起来很多,似乎NSA攻击了某些人,而某些人试图追查攻击的来源并加以防御。”Claudio Guarnieri,一位政府赞助的多伦多大学Citizen实验室专门分析恶意软件的研究人员这样说道。
Guarnieri警告说,现在肯定地说这些代码来自“方程式组织”或任何其他与NSA有关的黑客团队还为时尚早。但他还说,这些代码的确证明了NSA的一个精英黑客团队“获取特定情报行动办公室”所使用的一些黑客工具,斯诺登2013年揭露的一份目录中列举了这些黑客工具。Guarnieri 还说:“其内容足够可信,而且完全符合我们对其中一些程序的认知。”
据事件响应和取证公司Comae Technologies的创始人 Matt Suiche称,在该组织发布出来的样本文件中包括一些攻击Cisco、Juniper、 Fortigate、Topsec(一家中国网络安全公司)生产的设备的黑客工具。他还说这些工具可攻击较老版本的设备,并不使用“zero-days”(一些此前未被发现的软硬件漏洞)进行攻击。但他还是相信迄今为止这些漏洞仍未被发布,也未被列入诸如Metasploit这样的公共安全漏洞库中。
所有现象都说明,被泄露的数据仅仅是为了骗取一些比特币的说法是错误的。“完全捏造这样的证据是不太可能的,但也并不是毫无可行性。”Suiche说,“在我看起这很可能是真实的,而且不只是我自己这么看。”
另一方面,“影子经纪人”组织的拍卖活动看起来并不太专业。他们要求竞拍者秘密将用来竞标的比特币转入他们的账户,如果竞标失败,也无法返还。他们留言说:“对不起,输掉竞标也意味着同时失去比特币和文件。你敢输,就能赢!来呀,互相伤害呀!竞标吧!”但他们还是对所有竞标者许诺了一个“安慰奖”:如果竞标金额达到可笑的一百万比特币,他们将公开发布另一组高质量的数据。
“我为什么要相信你?”他们在常见问题解答中问。答案是:“不用相信,这需要冒险。你喜欢奖赏,就得承担风险。也许会赢,也许不会,没有任何保证。”
“影子经纪人”组织的网页最后是一条给“富有的精英们”的很长的留言,他们认为,像“方程式组织”这样的黑客组织的策略可能会将国际政治置于危险之中,并暗示“方程式组织”也应该来竞拍这些被窃取的文件。“影子经纪人”还留言说:“我们想通过这条留言让富有的精英认可我们拍卖危险的网络武器的行为。”
杂乱无章的拍卖事件和政治性言论似乎有些脱节:任何有能力入侵“方程式组织”和其他NSA下属黑客团队的黑客可能都需要具备极其专业的技术;毕竟,“方程式组织”在过去14年中不仅未被入侵过,而且未被侦测到。对于一个攻击过从俄罗斯到比利时再到黎巴嫩的团队来说,这是秘密行动和安全运行的非凡记录。任何能发现NSA黑客内部结构的人很可能必须拥有政府级别的资源和能力,更不用说要渗透进去的人了。
这种脱节引起了安全研究人员的一种推测:这次泄密是某种欺诈性行动,是为了迷惑那些有心了解这次仿冒入侵的底层情况的人。还有一些研究人员推测,这次泄密和俄罗斯人对民主党全国委员会的攻击有些关联。当时,入侵者企图使入侵行为看上去像是一个罗马尼亚黑客的单独行动。
现在,把这次事件归于任何一种常规的网络入侵者都还为时尚早。但这次引人注目的泄密事件,不管是真实的还是欺骗性的,总之一定会引起NSA的注意——很可能同时还会引起其他几十家情报机构的注意。
来源:WEIRD