山西在线

当前位置:山西在线 山西人自己的资讯平台 > 新闻中心 >> 热点新闻 >> 正文

揭秘勒索病毒背后黑客组织:偷了官方网络武器库

5月12日,全球多个国家的网络遭遇名为“想哭”的勒索软件攻击,据统计,涉及中国、英国、西班牙、俄罗斯等上百个国家和地区。电脑被勒索软件感染后文件会被加密锁定,支付黑客所要赎金后才能解密恢复,受攻击对象甚至包括医院、高校等公益性机构。欧盟刑警组织说,这次网络攻击“达到史无前例的级别”。

据《华盛顿邮报》报道,这种病毒被广泛认定为是根据美国国家安全局(NSA)此前泄露的黑客渗透工具之一——永恒之蓝(Eternal Blue)升级而来。网络专家称,这份文件被叫做影子经纪人(Shadow Brokers)的黑客组织偷走。

根据此前的报道,影子经纪人盗走的黑客工具远不止“永恒之蓝”,他们声称入侵了NSA的网络武器库,获得了大量的互联网攻击工具。

影子经纪人近日宣称,它将从6月开始披露更多窃取自美国国家安全局的黑客工具和情报,其中包括俄罗斯等国的核计划信息。

曾挑战最顶尖黑客团队“方程式组织”

历史资料显示,影子经纪人在互联网上初露锋芒是在2016年8月。这个神秘黑客组织宣布自己攻破了NSA的防火墙,并且公布了思科ASA系列防火墙、思科PIX防火墙的漏洞。

据《连线》报道,当时影子经纪人明目张胆地在推特上表示,他们将免费提供一些网络攻击和黑客工具的下载,而这些攻击武器均来自另一黑客团队“方程式组织”。

“方程式组织”隶属于NSA,被称为NSA的网络武器库。有业内人士表示,“方程式组织”是全球最顶尖的黑客团队,这个团队的加密程度无人能及。2010年毁掉伊朗核设备的震网病毒和火焰病毒,也被广泛认为出自“方程式组织”之手。

网络安全厂商卡巴斯基在2015年发布监测报告称,“方程式组织”是全球技术最牛的黑客组织之一,在网上活跃近20年,是网络间谍中的“王冠制造者”。当年,卡巴斯基在全球42个国家发现了“方程式组织”的500个感染行为。同时卡巴斯基还表示,这只是冰山一角,由于这个黑客团队制造的“武器”拥有超强的自毁能力,绝大多数进攻完成之后,不会留下任何痕迹。

黑客中的“军火贩子”

在声称盗取了“方程式组织”的攻击武器之后,影子经纪人开始在网上拍卖这些文件。

影子经纪人表示,如果他们收到超过100万比特币,他们就会释放他们已经拥有的更多的黑客工具。但那次拍卖最终只获得了价值25美元的比特币。

2016年10月,影子经纪人停止了销售,并开通了类似众筹的活动。他们表示,如果最终他们完成10000比特币的众筹目标,就将提供给参与众筹的人每人一份黑客工具。两个月后,该组织的众筹尝试再次宣告失败。

但影子经纪人并没有因此放弃利用这批文件赚钱的努力。他们之后开始在Zer-oBin上小批量地销售黑客工具。2017年1月,该组织以750比特币的价格出售一批能够绕过杀毒软件的Windows黑客工具。

有媒体评价称,“影子经纪人”好像黑客中的军火商。他们时常会贩卖高级的攻击武器,有时也贩卖重要的世界军政信息。他们喜欢在竞争对手之间贩卖武器,客户在发现对手的攻击能力和本人一样后,很自然就会成为“影子经纪人”的回头客,以求购更新的“武器”配备。

今年4月8日,影子经纪人在medium.com博客网站上发表博文,其中公开了曾经多次拍卖失败的方程式组织Equation Group(为NSA提供服务专门对国外进行间谍活动的组织的黑客工具包——EQ-GRP-Auction-Files)。现在任何人都可以去解密这个文件,获取其中的一些有价值的东西。

泄密美国国安局资料

继2016年的拍卖失败以后,影子经纪人最重要的发布发生在今年4月中旬,该组织声称获得了NSA黑客工具的详细信息,据说美国政府正是利用这些工具入侵国际银行系统,侦查各国间资金流向,监控中东和拉美国家银行间的资金往来。

影子经纪人从“方程式组织”获取的这份300M的泄密文档显示,其中的黑客工具主要针对微软的Windows系统和装载环球银行间金融通信协会(SWIFT)系统的银行。这些恶意攻击工具中,包括恶意软件、私有的攻击框架及其他攻击工具。根据已知资料,其中至少有涉及微软23个系统漏洞的12种攻击工具,而这次造成勒索病毒的永恒之蓝,不过是12种的其中之一。

不过,随后SWIFT否认了曾被黑客攻入。

按照英国广播公司的说法,如果4月曝光的资料和工具被确认来自NSA,这将是“棱镜”事件后,NSA遭遇的最严重“爆料”。

《连线》在报道中称,连前美国国家安全局工作人员爱德华·斯诺登也认为,影子经纪人盗取了NSA的“武器库”似乎是真的。因为由该组织提供的恶意软件中,包含了与NSA在内部文件中使用的相同的16个字符的识别码。