近期,國外一篇博客披露,著名的反惡意軟件組織MalwareMustDie決定關閉其博客網站,以抗議NSA(美國國家安全局)利用黑客工具入侵無辜國家的教育和公共服務器。
文章指出,Shadow Brokers(影子經紀人)團隊之前曾泄露NSA黑客工具,其文件內容可任意下載。此外,該組織還公布了其他文件,包括NSA入侵過的49個國家的IP地址。多家新聞媒體的安全專家認為這些節點與“方程式組織”的活動有關。
從公布的目標列表來看,日本是受影響第二大的國家,但卻并不在“方程式組織”的目標列表之中。因此,MalwareMustDie團隊開始關注該事件。
同時,文章援引安天實驗室對“方程式組織”的系列分析報告,在報告中,安天研究人員逆向了“方程式組織”使用惡意軟件感染Linux和Solaris平臺進行入侵活動的結果,并公開了除了哈希以外的全部細節信息。原文引用了一篇微信報告,我們在安天官網找到原報告,地址為:http://www.antiy.com/response/EQUATIONS/EQUATIONS.html
圖1:逆向“方程式”使用的Linux和Solaris惡意軟件
安天實驗室發現了“方程式組織”使用惡意軟件(Double Fantacy組件)感染Linux和Solaris平臺的入侵活動。(中文版)
(為方便閱讀,下劃線字體部分為圖片譯文)
MalwareMustDie團隊的研究人員開始挖掘細節并發現,通過在特定時期內的環境列表中可訪問的部分追蹤到了未知可疑惡意代碼及活動,其時期和活動與之前公開提到的內容一致。到目前為止,該團隊正避免公開披露發現結果。
這次調查之后,有新證據表明大學或學院、互聯網服務供應商(ISP)、公共郵件服務、有線電視網絡、國家NIC網絡、娛樂網絡、政府辦公區等遭到了非授權訪問和惡意活動攻擊。因為調查根據Shadow Brokers(影子經紀人)泄露的列表展開,所以假設攻擊者所屬國家的間諜組織應為此次事件負責。
圖2:影子經紀人公布的標有PITCHIMPAIR &INNOVATION代號的日本被感染節點列表
根據平臺使用情況,該事件調查的事實或許還與《明鏡周刊》(Der Spiegel)之前報道的NSA被泄露的文件有關:
圖3:《明鏡周刊》對NSA入侵查詢的描述
根據平臺使用情況,該事件調查的事實或許還與《明鏡周刊》(Der Spiegel)之前報道的NSA被泄露的文件有關:
(TS//SI//REL FVEY)TAO/ATO 持久化 POLITERAIN(CAN) 團隊正需要有創新意識的實習生。我們的任務是通過使用低級編程攻擊硬件來遠程降級或破壞對手的計算機、路由器、服務器和網絡使能設備。我們的實習生將學會:
(U//FOUO)為LINUX、Windows、Solaries及Apple OS編寫驅動程序。
(U//FOUO)在組環境中使用SVN 。
(TS//SI//REL)反向工程嵌入式系統。
(TS//SI//REL)提供符合Up-sec和拒絕性要求的代碼。
(TS//SI//REL)恢復被攻擊的設備。
(U//FOUO)與多個中小企業合作打造獨特產品。
(TS//SI//REL)開發攻擊者思維模式。
(TS//SI//REL FVEY)POLITERAIN 總會積壓一些下面會列出的需要產品化的小型攻擊。我們歡迎開放的意見,但我們重點關注固件、BIOS、BUS或驅動程序級別的攻擊。實習生可以在4-6個月左右完成以下項目。大多數項目都足夠特殊到在機密機構簡介或發表。
(下劃線字體部分為圖片譯文)
一個友好國家被指入侵其聯盟國的服務,這個結論讓人難以接受,但證據確鑿。通過入侵和惡意軟件實施大規模攻擊活動需要攻擊者當局的批準,顯然當局認可并授權執行了攻擊活動。
調查的當前結論是,MalwareMustDie 作為一個眾所周知的對抗任何形式惡意軟件的實體組織,四年以來,其博客網站一直發布反惡意軟件研究和分析博客,旨在反對惡意軟件、網絡犯罪及利用惡意軟件在互聯網上實施破壞行為,現決定關閉博客網站malwaremustdie.org,恢復時間不確定,并在twitter頁面發表聲明:
圖4:MalwareMustDie針對NSA入侵的抗議聲明
官方抗議聲明:
“我們不進行抗議,也并非有此目的的組織。然而,DFIR 和 RE從公共網絡中發現的惡意對象表明,NSA或CIA(或任何美國機構)正利用或曾利用rootkit安裝木馬后門(惡意軟件)。不能容許在一些友好國家的大學和教育網絡、有線網絡、公共NIC服務器和政府服務器中形成緩沖攻擊平臺,而批準執行的人必須對此行動負責。
為此,我們決定關閉MMD博客網站,恢復時間不確定。美國有關實體機構和研究人員禁止直接訪問通信與研究。
另外,我們會在研究中停止使用美國的服務或產品。由于NSA 或 CIA“自己”就可獲得許多信息,美國公民完全可以通過本國間諜實體機構詢問我們所能提供的所有研究信息,不必直接訪問本站。本文為MalwareMustDie團隊的官方聲明。錯了便是錯了,無論你是誰。如果我們無法行得正,那么將永遠無法扼制互聯網中的“不正之風”。”
MalwareMustDie, NPO/www.malwareemustdie.org
(下劃線字體部分為圖片譯文)
“為此,我們決定關閉MMD博客網站,恢復時間不確定。美國有關實體機構和研究人員禁止直接訪問通信與研究。另外,我們會在研究中停止使用美國的服務或產品。”
博客標題表明了MalwareMustDie的立場:以任何目的在任何活動中使用惡意軟件都不能被接受。“錯了便是錯了,無論你是誰。如果我們無法行得正,那么將永遠無法扼制互聯網中的‘不正之風’。”這是正確的立場,因為惡意軟件必須扼殺。
關于作者:Odisseus,獨立安全研究員,曾參與意大利及全球入侵、滲透測試和開發等相關主題的研究。
原文鏈接:http://securityaffairs.co/wordpress/53285/malware/malwaremustdie-closed.html
京公網安備 11010502049343號