本周早些時候,自稱“影子經紀人”的黑客團伙,宣稱要拍賣一大波網絡武器——他們黑進美國國家安全局(NSA)“方程式”黑客小組所偷來的黑客工具。
除了NSA被黑本身令人震驚,數據的泄露和該神秘團伙僅為賺錢的聲明,也確實有些令人意外。為什么呢?
1. 他們“黑掉”了NSA一臺服務器的宣告十分可疑
從前NSA雇員內線得來的消息顯示,情報機構的黑客小組是不會把漏洞利用程序和工具包放到很可能被盜的網絡服務器上的。這些數據更有可能的滲漏場景,很有可能是某內部人士下載到U盤上,再帶出來的。相比黑客行動,此事更像是涉及人力情報的經典諜報行動。
一組未知黑客試圖搞定NSA的想法也是不太靠譜的。美國情報機構可是勢力龐大又記仇的,如果沒有特別好的理由,應該沒人會想站到他們的對立面。100萬比特幣(5.65億美元)的價格也絕非普通黑客能夠想像出來的。
2. 黑客入侵服務器后,一般會選擇低調潛伏好方便駐留
此事件諸多奇怪之處之一,就是所泄露數據的超級公開性。黑客攻入目標計算機后,一般不會激活你的攝像頭或是運行奇怪的程序,因為那樣一來你就會很快發現異常而著手清除。同樣的規律放到NSA身上也適用。
如果“影子經紀人”掌握了NSA的命令與控制服務器(C2),做個安靜的觀察者,找找其他能找到的有趣的東西,或許會是他們更好的選擇。
但是,這個團伙卻在Pastebin(一個可以存儲文本的網站)上寫道:“我們追蹤了方程式的流量,發現了他們的源區域,黑掉了他們。現在我們手握方程式的眾多網絡武器。”這不就相當于立即通知NSA黑客小組他們攤上大事兒了嗎?
雖然尚不確定,卻很有可能該團伙已喪失對服務器的訪問權,因此他們也不再在意重新登錄了。鑒于泄露的文件都挺老的,事情的真相很有可能就是這樣。但他們的做法仍然不太尋常,因為像這樣的聲明是很有可能被受害者事后調查追責的,那就會帶來試圖找出案犯真實身份的復盤行動了。
如果該團伙是沒什么背景的小角色,給嘴巴拉上封條是更好的做法,尤其在他們的受害者是NSA的情況下。
3. 漏洞利用售賣一直都有,但人們從不宣之于口
軟件漏洞利用就是黑客的數字黃金,可以讓他們進入到之前無人察覺而沒有打補丁的系統或網絡。這也是為什么“零日”漏洞利用市場如此誘人的原因。此類代碼可是價值幾十數百萬美元的。
大多數時候,一個漏洞要么是被安全研究人員發現,然后報告給公司去修復;要么被黑客拿去黑市售賣賺錢。因此,“影子經紀人”這類的團伙想要賣掉他們的戰利品情有可原,但公開出來就有點超出想象了。
一位不愿透露姓名的前NSA黑客說:“從我的角度,這可真是太詭異的舉動了。大多數組織要么發現,要么交易漏洞。如果像安全研究公司做的那樣僅是發現漏洞,那他們通常會公布出他們的發現。他們真的是為公司和使用這些產品的用戶著想。”
“其他情況下,兄弟們會在漏洞市場進行交易。低調售賣。這么公開的拍賣是我生平僅見。其中的意圖是什么還不好說。”那么,他們到底打的什么主意呢?
4. 斯諾登的啟示
用前NSA承包商愛德華·斯諾登的口氣來說,影子經紀人的公開泄露和聲明滿溢著俄羅斯的氣息,代表了莫斯科對華盛頓的警告。傳達的訊息就是:如果你們的政策制定者繼續譴責我們主導了民主黨全國委員會(DNC)黑客事件,那我們就用這次事件暗指你們做的更過分。
斯諾登在推特上寫道:“這有可能造成嚴重的外交影響。尤其是在這些行動針對美國盟友,針對選舉的情況下。”雖然斯諾登目前在莫斯科避難,某種程度上有點像是俄羅斯情報機構的喉舌,他的話卻還是有一定道理的。
前NSA研究科學家埃特爾猜測:“DNC黑客事件發生,美國政客被激怒,讓NSA做出隱秘響應。影子經紀人就是俄羅斯對NSA隱秘響應的另一個回應。很多非常公開的信息你來我往,很值得一看。”埃特爾也不認為會有人真出錢拍下那些東西。鑒于維基解密宣稱已經獲得了那些工具存檔,這一看法很有可能是對的。
維基解密官方推特上寫道:“我們已經獲得了早前發布的NSA網絡武器的存檔,并將適時發布我們自己的原始副本。”
已有媒體試圖就此事聯系影子經紀人,但該黑客組織目前并未對此作出任何回應。
京公網安備 11010502049343號