國際先驅導報9月5日報道美國“截擊”網站8月19日證實,被稱為美國國家安全局(NSA)網絡“武器庫”的“方程式組織”(EquationGroup)近日遭黑客組織“影子經紀人”(The Shadow Brokers)襲擊。
這讓一向低調卻有美國政府背景的黑客組織“方程式組織”曝光了一把。
與NSA關系密切的“方程式組織”
“方程式組織”這個名字不是他們自己取的,而是最早由卡巴斯基發現命名的。之所以命名為“方程式組織”,是因為這個黑客團隊的加密水平無人能出其右。
“方程式組織”到底有多牛?2010年破壞伊朗核設施的“震網”病毒(Stuxnet)和“火焰”病毒(Flame)被廣泛認為出自他們之手,其水平由此可見一斑。2015年,網絡安全廠商卡巴斯基在全球42個國家發現了“方程組”的500個感染行為。但是連卡巴自己都承認,這只是冰山一角,因為這個黑客團隊制造的“武器”擁有超強的自毀能力,絕大多數進攻完成之后,不會留下任何痕跡。
8月13日上午,一個名叫“影子經紀人”的黑客組織通過社交平臺稱,通過跟蹤“方程式組織”的網絡通信流量,已攻入這個黑客組織,在這個被稱為NSA的“武器庫”中發現了大量網絡武器,并免費向所有人泄露了其中部分黑客工具和數據。不僅如此,“影子經紀人”還宣稱將通過互聯網拍賣所獲取的這些“最好的文件”,如果他們收到100萬個比特幣(總價值約為5.68億美元,1美元約合6.69元人民幣),就會公布更多工具和數據。
而在“影子經紀人”從“方程式組織”獲取的文件中,包括大量命令控制服務器的安裝腳本和配置文件。泄露文件涉及的一些黑客工具名稱與斯諾登公布的內容吻合。
卡巴斯基去年發布監測報告說,“方程式組織”已經活躍近20年,是全球技術“最牛”的黑客組織之一,堪稱網絡間諜中的“王冠制造者”。根據安全信息領域的媒體報道,這一組織與美國國家安全局關系密切,是一個該局可能“不愿承認”的部門,這在黑客圈幾乎是公開的秘密。
這一事件隨即在網絡安全領域掀起軒然大波。一些專家認為,這是為讓美國政府顏面掃地精心炮制的騙局;而另一些專家則表示,他們對泄露的數據、漏洞和黑客工具進行了分析,結果顯示,這一驚人事件的可信度非常高。
風波掀起一周后,8月19日,美國“截擊”網站證實,根據斯諾登提供的最新文件,可以確認這些被泄露的工具是美國國家安全局的軟件,其中部分屬于秘密攻擊全球計算機的強悍黑客工具。
最重要的證據,來源于斯諾登最新提供的一份絕密文件——NSA“惡意軟件植入操作手冊”。手冊指導操作人員在使用一個惡意軟件程序SECONDDATE時,需要借助一個特殊的16位字符串。而在“影子經紀人”從“方程式組織”已泄露出來的幾十個黑客工具中,工具SECONDDATE就在其中,其相關代碼更是大量包含這一字符串。
在美國政府搭建的復雜全球網絡攻擊和監控體系中,SECONDDATE這個工具起到特殊作用。在“影子經紀人”泄露的所有文件中,有47個與SECONDDATE工具相關,其中包含了該工具不同版本的源代碼、使用方法和其他相關文件。“截擊”網站稱,斯諾登公布的其他文件還顯示,NSA在巴基斯坦、黎巴嫩的行動中也使用過SECONDDATE。但美國國家安全局目前尚未就這一事件做出回應。
“神行客”背景也不單純
“方程式組織”并不是近來唯一被認為有美國官方背景的黑客組織。8月初,美國網絡安全技術供應商賽門鐵克就爆料,黑客組織“神行客”(Strider)對中國、俄羅斯、瑞典、比利時等國進行網絡攻擊,并發現其有強烈的意圖性和政府背景。卡巴斯基實驗室和俄羅斯一家同類企業也發表聲明,指認“神行客”的不軌行為。
“神行客”也是美國相當低調,隱蔽性強、技術手段高明的網絡間諜式攻擊小組,已秘密行動5年之久,直至最近才被網絡安全機構捕獲蹤影。它的攻擊對象為涉及國家情報服務的個人或組織,主要利用的惡意軟體為Remsec。Remsec可用來開啟受害者電腦的后門,進而竊取檔案或側錄按鍵。
大多數時候,Remsec后門在計算機內存運行,常規殺毒軟件難以檢測。并且,該后門目標集中,很少染指普通計算機,從而使得該間諜組織隱秘攻擊長達5年之久而未被察覺。
迄今“神行客”已利用Remsec感染了36臺電腦,這個黑客小組目標選擇性極強。賽門鐵克追蹤發現,“神行客”借助網絡手段部署惡意軟件,可以在這些電腦內開設“后門”,繼而記錄鍵盤動作并竊取電腦文檔。
研究人員稱,之所以將Remsec判斷為惡意軟件并帶有攻擊性質,是因為攻擊中展示出“超強”的諜報能力,如技術高度復雜、隱身防偵察能力極強、針對不同目標可以模塊化定制等,而且已知攻擊目標是典型政府情報部門感興趣的機構或個人。
研究分析證明,Remsec不僅是極為罕見的高級惡意攻擊軟件,而且帶有政府背景。
之所以這么說,首先它與“火焰”的攻擊模式十分相似。2012年“火焰”病毒在伊朗活躍了長達6個月的時間。賽門鐵克研究人員發現,火焰的攻擊特點十分奇怪,所謂的“大規模”感染,也僅僅1000臺左右的電腦中毒。這些惡意軟件是帶有目的性的接近某些用戶,或只感染目標,不觸及普通的個人計算機,這也許是伊朗石油部門電腦系統大面積遭到“火焰”侵入的根本原因。
“火焰”的自行毀滅系統令人吃驚,它一旦完成數據收集后,可開啟自我毀滅程序,不留下可追蹤線索。并且,“火焰”病毒約有20兆字節,使用Lua的編程語言,編寫復雜精密,很可能有國家或大型機構參與此事,提供了資金及技術支持。“這需要數量龐大的專業人員工作數百小時,花費高達數百萬美元才能被制造出來,而世界上只有少數幾個國家和地區具備這個能力,包括美國、英國、德國。”美國網絡影響中心主任斯格特·伯格認為。這些特點,在Remsec身上同樣具備。
其次,隱蔽性、目標性強于一般病毒。Lua的使用本身代表著一種“自我保護機制”,這種語言不易被安全軟件檢測到。Remsec的許多功能被植入計算機網絡系統中,通常藏身于用戶緩存而非硬盤中,因此極難被發現。據統計,盡管各國安全檢測機構不斷升級過濾系統,但像Remsec這樣的高級精準間諜軟件,業界每年只能追查出一兩個。卡巴斯基對此回應,盡管他們已然掌握對方的特點和路線,但這很可能是障眼法,“神行客”背后的資源要比想象的強大。
另外,目前發現的被“神行客”攻擊的4個機構大多集中于政府部門、科學研究中心、軍事實體、電信運營商及金融機構、企業IT系統等,通過監測這些受感染的網站,開啟受損系統后門,竊取個人信息,收集情報。
美政府:黑客軟件的最大購買方
據英國路透社早前報道,一直以來,美國政府才是黑客軟件的最大購買方,美國情報機構和國防部每年花費巨資用于購買商用計算機系統。NSA局長基思·亞歷山大將軍曾表示,美國政府每年花費數十億美元研制網絡防御和構造日益復雜的網絡武器,“旨在必要時,對外國計算器網絡發動進攻。”
多個美國聯邦政府機構——國防部、國土安全部、美國宇航局、國家安全局曾參加過名為“防御態勢”的年度黑客大會。意在為政府招募黑客人才,國家安全局網絡防御的負責人表示:“我們需要把最優秀、最聰明的人變成隨時應戰的網絡武士。”但除了強化網絡安全任務之外,國家安全局對暗中從事的網絡間諜和其他的攻擊性活動,在公開場合幾乎只字不提。
讓人們憂慮的是美國政府在“棱鏡”曝光后仍一意孤行,越走越遠。美國政府利用龐大的信息優勢,可直接進入美國網際網路公司的中心服務器里挖掘數據、收集情報。同時,美國分布了絕大部分全球互聯網根服務器,并擁有全球最強大的互聯網產業及壟斷市場,網絡霸權濫用陰影一直籠罩其他各國。
對于美國黑軟的戰略性入侵行徑,各國政府安全機構都作出了響應的對戰措施,在緊抓本國網絡核心信息安全的基礎上,量體裁衣,制定發揮本土網絡優勢的防衛方案。
日本、韓國等國家,早已組建“網絡軍隊”,成立專門的“網絡武裝力量”,以防備黑客攻擊,加強保護機密信息的能力。每年劃撥巨額的國防經費,用以研發和改進實施網絡戰的核心技術。英國、俄羅斯、印度等國也紛紛加入“招募黑客”行動,網絡部隊黑客優先,政府看重技術和智商優于常人的網絡精英,計劃把這些人才和技術快速轉變為軍事用途。
面對網絡霸權國的時時挑釁壓力,深感鄰國網絡安全系統積極構建的促動,中國網絡安全和信息國產化步伐也在不斷加快,第四屆中國互聯網安全大會于8月16日召開,大會以“協同聯動,共建安全+命運共同體”為主題,并首次舉辦四國多邊閉門論壇,邀請多國軍方代表討論國家間網絡空間安全,引領國家網絡信息安全走向。