4月25日訊根據最新掃描與評估結果顯示,兩周前由Shadow Brokers(影子經紀人)黑客組織曝光的美國國家安全局(后簡稱NSA)后門工具已對超過20萬臺設備造成感染。專家們預計在未來數年當中,其它來自NSA的安全漏洞、植入代碼及其它黑客工具將被進一步廣泛用于實施攻擊。
全球每天都有至少25000臺計算機被感染根據瑞士安全企業Binary Edge公司提供的數據,美國計算機已經成為DOUBLEPULSAR的主要攻擊目標,這款后門允許攻擊者潛伏在目標設備之上收集信息并運行惡意代碼。
截至本周一早晨,該后門已經感染了183107臺設備。其中超過67000臺來自美國,其余設備則分別位于中國、俄羅斯以及英國。上周五,全球10萬臺設備遭遇感染。而在過去一周中,每天遭受感染的設備數量平均高達2.5萬臺。專家指出,實際數字很可能高于周一發布的評估結果。這是因為每一輪計數皆相當緩慢,且始終無法涵蓋全部遭受感染的設備,與此同時,感染活動范圍則仍在日益增長。
安全企業Phobos Group CEO丹-坦特勒(Dan Tentler)在本周一接受采訪時指出,“幾乎可以肯定的是,互聯網上已經有20萬到30萬臺設備受到不同程度的感染。”
相比其他國家,美國計算機感染情況可能更糟他認為這場血腥的網絡攻擊還將持續下去。情況之所以還將變得更糟,是因為目前使用這些計算機的用戶對設備毫不關心,亦不會對系統進行修復。一個月前對應的補丁就已經出現,但如今人們仍然沒有進行切實安裝。”
不過由此帶來的影響恐怕絕不僅限于感染活動的受害者。缺失的安全保障舉措除了令眾多設備遭受感染之外,這些機器未來還將構成新的僵尸網絡并為犯罪分子提供極為高效的進攻武器。最終,整個互聯網都將因此受到嚴重沖擊。
就在上周末,安全研究員凱文·博蒙特(Kevin Beaumont)設立了一套蜜罐(一種易受攻擊的設備)觀察黑客攻擊活動。該蜜罐在設立后15分鐘就受到感染。
Binary Edge公司的提雅戈·亨瑞奎斯(Tiago Henriques)在采訪中表示,美國是目前IP地址分配量最多的國家,因此一旦這些植入代碼被黑客大規模采用,美國也將因為擁有最大攻擊面而承受最為嚴重的后果。
DOUBLEPULSAR已被描述為“用于其它惡意軟件的裝載碼頭”。其通過微軟Server Message Block端口進行通信、竊聽、接收指令并執行攻擊。根據安全廠商Phobos Group CEO丹·坦特勒的介紹,設備感染數量應該還將持續上升:所有易受DOUBLEPULSAR攻擊的設備中已經有20%受到感染。另外80%的易感染設備則仍在等待著這一殘酷命運。
世界各地的黑客團體已經開始利用此次流出的NSA惡意工具實現自己的目標。在感染之后,攻擊者將能夠竊取數據、滲透至內部網絡、攻擊其它設備并保留更多持續性后門。
安全漏洞的威脅并不會隨著漏洞修復補丁出現而終止另一項實例則證明了黑客確實會長期利用不慎泄露的惡意工具,2015年與2016年中最受關注的軟件漏洞使得震網(Stuxnet)病毒瘋狂傳播。盡管相關漏洞早在2010年就已經被發現,但其沖擊著眾多未及時安裝修復補丁的Windows設備,仍繼續產生廣泛影響。
卡巴斯基實驗室的J·A·古諾·薩義德(J.A. Guerro-Saade)本周一表示,他預計國家安全局流出的工具可能會在未來五年甚至更長時間內持續引發問題。
而考慮到此次泄露的工具的實際“可靠性與易用性”,博蒙特認為其將在未來十年內持續肆虐。
博蒙特在采訪中解釋稱,這些存在于操作系統之內、可被遠程利用且無法進行驗證的核心Windows問題直到2016年仍然作為受震網病毒影響的頂級安全威脅存在,而此次泄露的新型惡意工具也擁有跟震網病毒類似的特性。
盡管各最新Windows操作系統版本已經擁有能夠解決此類安全漏洞的補丁,但亨瑞奎斯強調稱,“遺憾的是不少企業在系統全面升級(即完整的操作系統更新等)方面遇到了不少問題,并因此仍在使用Windows XP以及Solaris等陳舊系統。并對未來的安全前景表示擔憂。”
卡巴斯基實驗室的研究人員們于上周發布博文指出,“一項安全漏洞的生命周期并不會隨著對應的漏洞修復補丁出現而終止。一旦得到公開,由此帶來的威脅性將進一步提升:惡意人士往往在數個小時內即可獲得信息并加以利用。”
震網病毒與最新的Shadow Brokers工具皆來自同一來源:The Equation Group,全球水平最高的攻擊組織之一,并被廣泛懷疑其真實身份實際上正是美國國家安全局。而無論工具何時被泄露在公眾視野當中,互聯網都將在其后多年受到與之相關的嚴重困擾。
京公網安備 11010502049343號