這兩天，NSA被黑事件，或者叫方程式事件，或者叫The Shadow Brokers（國內(nèi)有媒體將之譯作“影子經(jīng)紀(jì)人”）事件仍在如火如荼地發(fā)酵中。很多小伙伴恐怕都已經(jīng)看過了大量報道。如果你錯過了本次事件的諸多細(xì)節(jié)也沒關(guān)系，這篇文章將為各位梳理NSA被黑事件的來龍去脈，以及最近被人們時長提起的熱門詞匯，究竟都是什么意思。

問題一：究竟是誰被黑了？

上周，一群黑客宣稱侵入NSA，也就是美國國家安全局——其實只看“NSA被黑”這幾個字就已經(jīng)足夠震撼了。NSA就是前兩年棱鏡門事件的主角，這個機(jī)構(gòu)隸屬于美國國防部，是美國政府機(jī)構(gòu)中最大的情報部門。當(dāng)年棱鏡門事件爆發(fā)，前NSA雇員Edward Snowden公開了大量令人瞠目結(jié)舌的NSA內(nèi)部文檔，劍指NSA通過各種手段，甚至和科技企業(yè)合作的方式，大肆監(jiān)聽美國國民的網(wǎng)絡(luò)活動，且觸角也延伸到國外。

而這次居然是NSA被黑了，被黑的目標(biāo)具體是NSA的方程式組織（Equation Group）。這個方程式組織究竟是個啥組織呢？早在2015年2月份，卡巴斯基實驗室就公布了一份研究報告，指出NSA自2001年以來，內(nèi)部就存在一個黑客組織。卡巴斯基將該組織命名為方程式組織。

方程式的特色在于，采用“復(fù)雜的”0-day惡意程序，以各行各業(yè)為目標(biāo)發(fā)起情報刺探活動。據(jù)卡巴斯基的報告所說，方程式組織結(jié)合了各種復(fù)雜且高端的戰(zhàn)略戰(zhàn)術(shù)、技術(shù)和高度一致化的作業(yè)流程。該組織內(nèi)部有諸多復(fù)雜的入侵工具——據(jù)說這些工具是需要花大量精力才能開發(fā)出來的。

當(dāng)時卡巴斯基對方程式組織的評價相當(dāng)“高”：這個秘密組織所用技術(shù)的復(fù)雜性和精制性“超越任何已知情報”。比如說赫赫有名的Stuxnet震網(wǎng)和Flame火焰病毒在出現(xiàn)之前，其中涉及到的0day漏洞就已經(jīng)為方程式所用了——而方程式與這些惡意活動的幕后推手也有聯(lián)系。比如2008年就已經(jīng)在用的FANNY惡意程序，震網(wǎng)的新型變體也是到2009年和2010年才用上的。

方程式的觸角可能波及到全球范圍內(nèi)超過30個國家數(shù)萬（even tens of thousands）受害者。方程式“特別照顧”的領(lǐng)域主要包括了政府和外交機(jī)關(guān)、通訊、航空航天、能源、石油、軍隊、納米技術(shù)、核研究、大眾傳媒、交通、金融、開發(fā)加密技術(shù)的企業(yè)、穆斯林等。對方程式感興趣的同學(xué)可以點(diǎn)擊這里，閱讀卡巴斯基的報告。

這么牛掰的一個APT組織，竟然被別人給黑了！？

問題二：究竟被誰黑了？

侵入方程式內(nèi)部的黑客組織名為The Shadow Brokers——這其實就是目前我們已經(jīng)掌握的攻擊者的全部確切信息，名稱“The Shadow Brokers”。

問題三：侵入目的是什么？

前面我們就提到了，方程式內(nèi)部開發(fā)了各種高端的情報竊取工具，而且絕大部分還是利用各類產(chǎn)品，包括安全產(chǎn)品的0-day漏洞來入侵的。所以The Shadow Brokers在侵入NSA方程式組織內(nèi)部之后，竊取了這家組織的大量工具，確切地說是本月13日就將其中大量文件公布到了網(wǎng)上（GitHub和Tumblr之上，不過目前都已經(jīng)被刪），包括惡意程序、黑客攻擊工具、漏洞利用等。

不過The Shadow Brokers將這些工具分成了兩部分，其中一部分提供免費(fèi)下載試用，還有一部分（據(jù)說是剩余40%的best files）則明碼標(biāo)價出售，售價100萬比特幣（約合5.78億美元，搞笑啊！收購一家公司也就這點(diǎn)錢）。GitHub很快就刪除了相關(guān)頁面，然而有趣的是，刪除的原因并不是政府施壓，而是GitHub的政策不允許對盜竊資產(chǎn)標(biāo)價出售。

從這個明面的行為來看，我們是否可以認(rèn)為，The Shadow Brokers的目的其實是為了錢呢？

事情發(fā)展到這個地步，安全從業(yè)人員最想知道的，其實是The Shadow Brokers公布的這些文件是不是真的，是否可靠。這件事在隨后幾天的發(fā)酵中，才讓人感覺異常恐怖。首先是卡巴斯基出面確認(rèn)，這些文件絕對是真實有效的（國外媒體的用詞是legitimate），而且從種種跡象看來，的確和方程式組織相關(guān)。

卡巴斯基實驗室的研究人員公布了這些材料的研究細(xì)節(jié)：The Shadow Brokers公開的這份數(shù)據(jù)尺寸大約是300MB，里面具體包含針對某些防火墻產(chǎn)品的漏洞利用，黑客工具和腳本，工具名稱如BANANAUSURPER、BLATSTING、BUZZDIRECTION。不過這些文件都至少有3年的歷史了，最新的時間戳所標(biāo)的時間點(diǎn)是在2013年10月。

那么究竟憑什么說跟方程式有關(guān)呢？卡巴斯基實驗室有提到：“雖然我們無法確定攻擊者的身份或者動機(jī)，也不知道這些工具是從哪里或者怎么得來的，但我們可以明確，泄露的數(shù)百款工具，和方程式組織絕對有密切的關(guān)聯(lián)。”

The Shadow Brokers公布的文檔中大約有超過300個文件，采用RC5和RC6加密算法作為通用策略，手法和方程式如出一轍。

“其代碼相似性讓我們高度確認(rèn)，The Shadow Brokers泄露的工具和方程式的惡意程序的確是有關(guān)聯(lián)的。”上圖比對的就是早期方程式RC6代碼，和這次The Shadow Brokers泄露文檔中的代碼，相同的函數(shù)、約束條件，還有些比較罕見的特征都很能說明問題。

除了卡巴斯基之外，NSA另一個神秘組織TAO（特定入侵行動辦公室）的前員工也認(rèn)為這些工具和方程式所用的工具一樣。華盛頓郵報也已經(jīng)對此進(jìn)行了報道。

上周五，The Intercept公布了新一輪的Snowden泄密文檔，其中有許多工具與本次泄露的工具存在很強(qiáng)的關(guān)聯(lián)，這些都是證據(jù)：比如說Snowden披露的文檔中包含一款SECONDDATE利用工具，這個工具可在網(wǎng)絡(luò)層干涉web請求，并將之重定向至FOXACID服務(wù)器，“操作手冊”第28頁提到，NSA雇員必須使用ID，來標(biāo)記發(fā)往FOXACID服務(wù)器的受害者，里面提到ID為ace20468bdf13579，這個ID就在本次The Shadow Brokers泄露的14個不同的文件中有出現(xiàn)。

泄露的這些工具究竟可以用來做什么，我們還可以稍舉一些例子，比如說安全研究人員測試了EXTRABACON利用工具，確認(rèn)利用這款工具，在不需要提供有效身份憑證的情況下，就可以訪問思科防火墻：這款工具利用Cisco ASA軟件SNMP協(xié)議中的0-day漏洞（CVE-2016-6366），可致“未經(jīng)授權(quán)的遠(yuǎn)程攻擊者”完全控制設(shè)備。

此外，還有利用思科一些更早漏洞的0-day利用工具，比如利用思科CVE-2016-6367漏洞的，這個漏洞存在于Cisco ASA軟件的命令行界面解析器中，可致未經(jīng)授權(quán)的本地攻擊者構(gòu)造DoS攻擊條件，以及存在執(zhí)行任意代碼的風(fēng)險——泄露的EPICBANANA以及JETPLOW工具都利用了該漏洞。

再舉個例子，其中還有一款工具能夠解密思科PIX VPN流量，并在主板固件中植入惡意程序，這種攻擊方式幾乎無法檢測到，也沒法刪除…這些工具波及到的安全廠商包括了思科、Juniper、Fortinet等。尤為值得一提的是，泄露文檔中也包含針對國內(nèi)天融信防火墻產(chǎn)品的漏洞利用。思科實際上也第一時間確認(rèn)了這些漏洞的存在，并發(fā)布了相應(yīng)的補(bǔ)丁——想一想，前文提到這些泄露文件的時間戳至少也是3年前的，可想而知這些0day漏洞有多0day。

據(jù)說方程式利用這些工具，針對思科、Fortinet等安全企業(yè)的客戶進(jìn)行監(jiān)聽，已經(jīng)有至少10年時間。FreeBuf最近也發(fā)了幾篇有關(guān)解析泄露文檔的文章，像是這一篇：《NSA（美國國安局）泄漏文件深度分析（PART 1）》，這些其實都是表現(xiàn)方程式有多恐怖的。

問題四：真的是為了100萬比特幣？

有關(guān)這個問題，業(yè)內(nèi)觀點(diǎn)眾所紛紜。要解答這個問題，這就得摸清發(fā)起本次攻擊的幕后主使究竟是誰了，目前比較主流的說法有兩種，其一此次事件就是NSA內(nèi)部人員所為（老外的用詞是insider’s job）——業(yè)界著名的Matt Suiche就是這么認(rèn)為的，他說他和前NSA TAO雇員就此事聊了聊。他在博客中是這么寫的：

“這次泄露的文件實際上也包含了NSA TAO工具套裝，這些工具原本是儲存在被物理隔離的網(wǎng)絡(luò)上的，根本就不會接觸到互聯(lián)網(wǎng)。”

“那些文件根本就沒有理由放在staging server服務(wù)器上，除非有人故意這么做。文件層級關(guān)系，還有文件名都沒變，這應(yīng)該表明這些文件是直接從源復(fù)制過來的。”

不過Snowden卻不這么看，Snowden有在Twitter上就此事特別發(fā)聲，他認(rèn)為這件事是“俄羅斯對美國的回應(yīng)”，雖然這個“回應(yīng)”有點(diǎn)兒讓人摸不著頭腦，據(jù)說是針對先前美國譴責(zé)俄羅斯有關(guān)DNC民主黨國家委員會入侵一事（Lol）。前兩周，維基泄密公布了大量來自DNC（還有另外針對DCCC民主黨國會競選委員會的）的內(nèi)部文檔，美國多家安全企業(yè)和情報機(jī)構(gòu)都認(rèn)為，此事與俄羅斯相關(guān)，雖然俄羅斯方面予以否認(rèn)。

“本次泄露事件，看起來像是有人發(fā)出的信號，表明這場戲還將持續(xù)快速擴(kuò)大。這像是種警告，有人想要證明，美國需要為這臺惡意程序服務(wù)器發(fā)起的所有攻擊負(fù)責(zé)。這次事件可能對國外后續(xù)的策略會產(chǎn)生很大影響，尤其那些以美國為目標(biāo)，和那些想要針對美國大選的外部組織。”

在Snowden看來，侵入方程式服務(wù)器對俄羅斯的黑客來說其實沒有那么難。即便NSA有如此復(fù)雜的工具做后盾，俄羅斯的網(wǎng)絡(luò)部門對NSA有著非常深刻的認(rèn)識，也有能力檢測NSA發(fā)起的所有攻擊。他還說，這些黑客之所以沒有得到2013年之后的數(shù)據(jù)，是因為那段時間恰逢Snowden公布NSA的機(jī)密文檔，NSA很有可能因此更換這方面的基礎(chǔ)設(shè)施。

所以國外媒體的主流觀點(diǎn)都認(rèn)為，The Shadow Brokers索要這100萬比特幣不過是煙幕彈，根本就是混淆視聽的。至于真相究竟如何，估計還需要等后續(xù)更多的分析。

問題五：還有什么新消息？

其實我們還有個很大的問題沒有解決，就是這次The Shadow Brokers到底是如何侵入方程式的服務(wù)器的——目前的答案是，不知道。著名意大利研究人員Claudio Guarnieri推測，這個黑客組織可能是黑入了“listening post”（監(jiān)聽站？），這是方程式整個情報基礎(chǔ)設(shè)施的一個組成部分。

　　詭異的交易，每筆0.001337比特幣

還有些問題值得探討，比如The Shadow Brokers究竟是什么身份。這兩天還發(fā)生了一件有趣的事：來自Security Affairs的報道，前兩天網(wǎng)上出現(xiàn)一些很奇怪的交易，The Shadow Brokers賬戶發(fā)生一些變化，幾天之前匯入了大約990美元。比較讓人感覺奇怪的是，這990美元來自Silk Road比特幣賬戶。等等！Silk Road Bitcoin不是已經(jīng)在FBI的控制下了嗎（針對黑市的抓捕行動后）？不僅如此，另外還有其它匯錢的賬戶（分流？）。這究竟是什么意思？只有等下回分解了。

以現(xiàn)在掌握的情報來看，這次NSA被黑事件仍然是問題一堆，我們還會持續(xù)等待事件的進(jìn)一步發(fā)酵，并進(jìn)行追蹤報道。不過話說，從棱鏡門事件到現(xiàn)在，這個世界真的還有安全可言嗎？