美國政府正在追蹤“影子經(jīng)紀人”(Shadow Brokers)的身份。Shadow Brokers 4月泄露了大量NSA Windows漏洞利用,其中某些漏洞被利用來實施了兩起席卷全球的勒索軟件攻擊。
Shadow Brokers正式被美三方聯(lián)合立案調(diào)查據(jù)報道,美國政府接觸大量前NSA雇員試圖解開這些工具如何落入Shadow Brokers之手。FBI、國家反情報與安全中心以及NSA內(nèi)部警務(wù)小組Q Group聯(lián)合展開調(diào)查。
雖然調(diào)查人員認為,NSA前雇員(NSA內(nèi)部雇員或承包商)難脫嫌疑,但進一步調(diào)查無法排除其它可能性,即現(xiàn)任NSA雇員也可能與Shadow Brokers有關(guān)聯(lián)。
Shadow Brokers用蹩腳的英文定期發(fā)布消息,推銷新一批漏洞利用。兩名研究人員試圖購買這些漏洞,但被告知可能會違法后打消了念頭。
目前尚不清楚,Shadow Brokers究竟是NSA員工或承包商。但兩名知情人士透露,調(diào)查排除了哈羅德·馬丁(NSA承包商博思艾倫漢密爾頓公司的雇員)的可能性,畢竟他目前正在監(jiān)獄服刑。
NSA對研究人員的這一猜測并未予以置評。
影子經(jīng)紀人如何一步步博得關(guān)注度?近一年來,Shadow Brokers出盡風頭。
2016年8月Shadow Brokers于去年8月首度浮出水面,出售“方程式組織”(Equation Group)使用的黑客工具。江湖傳言“方程式組織”是為NSA效力的黑客組織。
2017年1月Shadow Brokers出售NSA大量Windows漏洞利用。
在此之后,Shadow Brokers又將這些漏洞利用公開泄露在網(wǎng)上。
其中一個漏洞 “永恒之藍”(ETERNALBLUE)被黑客利用開發(fā)了WannaCry勒索軟件。WannaCry勒索軟件今年5月在全球范圍內(nèi)爆發(fā),150多個國家受到影響,30萬名用戶中招,造成損失達80億美元。
另一個漏洞是“永恒浪漫”(ETERNALROMANCE),被黑客用來開發(fā)Petya(也被稱為NotPetya、ExPetr、Nyetya和GoldenEye),該惡意軟件于今年6月攻擊了歐洲的Windows電腦,并散布至其它國家。
2017年5月Shadow Brokers宣稱:將從今年6月開始,逐月出售包括瀏覽器、路由器、手機漏洞及相關(guān)工具、新的攻擊行動disk(和此次傳播勒索蠕蟲病毒的Windows武器庫一樣,包括NSA支持的Windows 10網(wǎng)絡(luò)攻擊武器),還有更多的SWIFT供應商和央行入侵數(shù)據(jù),以及針對中國、俄羅斯、伊朗和朝鮮的導彈和核彈計劃的內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)。
2017年7月Shadow Brokers再次宣布推出訂閱服務(wù),將會為愿意支付數(shù)千美元的買家提供更多NSA工具。近幾個月Shadow Brokers的行事作風有些變化,他們改變了機密信息的分享方式,其余方面照舊。
考慮Shadow Brokers的行事作風,也有人認為該組織是國家攻擊者,可能是俄羅斯黑客組織。其身份之謎是今年信息安全行業(yè)最熱門的話題之一。
黑帽大會上關(guān)于Shadow Brokers是NSA內(nèi)鬼的分析在Black Hat 2017安全盛會上,威脅檢測公司Comae Technologies創(chuàng)始人馬特·弗西對Shadow Brokers做出了自己的解讀,他也認為Shadow Brokers是NSA內(nèi)鬼,而非外部國家攻擊者。
弗西表示,美國國防與情報界雇用了數(shù)萬個承包商,而大量內(nèi)鬼近幾年浮出水面,包括斯諾登和馬丁。Shadow Brokers最初泄露的工具相對較少,第一批免費漏洞利用包括許多常用防火墻產(chǎn)品中的漏洞,隨后又曝光了Solaris操作系統(tǒng)漏洞利用, 還包括“方程式組織”針對目標(包括中國和伊朗等國的域名)等詳情。
弗西指出,Shadow Brokers要做的不只是泄露并出售NSA網(wǎng)絡(luò)武器,種種不算低調(diào)的行為表明,其還想博得頭條,贏得關(guān)注。
據(jù)報道,共和黨人威爾·赫德表示,“了解真相”是美國情報機構(gòu)和眾議院情報委員會的“重中之重”。而赫德是唯一公開評論Shadow Brokers的國會議員。