黑客“已编写出了从NSA窃取的第二种网络武器：EsteemAudit”

云头条 · 公众号 · 科技媒体 · 2017-05-16 19:44

正文

先欣赏一个朋友圈流传的段子：

“扁鹊见蔡桓公”之“微软见客户”：

微软见用户，立有间，微软曰：“君有漏洞在电脑，不治将恐深”。用户曰：“寡人无疾。”微软出，用户曰：“医之好治不病以为功！”

居十日，微软复见，曰：“君之病在端口，不治将益深。”用户不应。微软出，用户又不悦。

居十日，微软复见，曰：“君之病在病毒，不治将益深。”用户又不应。微软出，用户又不悦。

居十日，微软望用户而还走。用户故使人问之，微软曰：“疾在漏洞，补丁之所及也：在端口，组策略之所及也；已中毒，司命之所属，无奈何也。今已中毒，臣是以无请也。”

居五月，用户电脑被锁，使人索微软，微软复述如上。用户文件遂亡。

继WannaCry攻击在全球造成重大影响之后，一款名为EsteemAudit的工具如今出现在了暗网（dark web）上。

继上周末席卷全球各地的WannaCry攻击得逞之后，黑客犯罪团伙如今对于从美国间谍那里偷来的第二个绝密网络武器作了改头换面，发布到了所谓的暗网上。

据安全分析师声称，美国国家安全局（NSA）开发的这款黑客工具代号为EsteemAudit，它被黑客经过了改动，现在可用于从事犯罪活动。

与NSA的“永恒之蓝”（EternalBlue，WannaCry正是基于这个工具）一样，EsteemAudit也钻了早期版本的微软Windows软件在联网机器彼此通信的方式上存在的一个安全漏洞的空子。

微软在周末刚刚为其易受攻击的Windows软件版本发布了补丁，不过专家们警告：许多组织还没有打上这些补丁。

情报官员和执法官员表示，他们担心WannaCry可能预示着接下来会出现一波破坏性同样大的攻击，因为犯罪分子及其他人在竞相利用数字化武器，而多年来，这种武器只被技术最先进的国家所使用。

目前在暗网上，黑客论坛上有人在讨论和研究至少另外十来种NSA工具，它们可能成为新的网络武器的基础。暗网是互联网上的一部分，人们通过普通的搜索引擎访问不了暗网。

周一，已袭击150个国家20万台计算机的WannaCry攻击似乎放缓了势头。欧洲警察机构欧洲刑警组织（Europol）表示，这个病毒在欧洲蔓延的势头已停了下来。

欧洲刑警组织的女发言人说：“让我们出乎意料的是，欧洲受影响的计算机数量略有下降。”不过她补充道：“我们认为这并不代表危机已过去。黑客已经在完善恶意软件，可能会继续大肆攻击。”

接受英国《金融时报》采访的六名分析师和情报官员表示，他们在开始追查WannaCry攻击的源头，不过仍不清楚犯罪分子的具体身份。

他们确定了三个主要源头：美国国家安全局，它开发了许多数字化间谍工具（https://www.ft.com/content/e96924f0-3722-11e7-99bd-13beb0903fa3）；一伙身份不明的黑客，那些武器在网上泄露后，他们在竭力使这些工具“武器化”；另一伙就是WannaCry的运营方，他们添加了索要赎金才能解锁被感染计算机的勒索软件。

网络安全公司比特梵德（Bitdefender）的首席安全战略家卡特林·柯索伊（Catalin Cosoi）表示：“我们认为，他们（WannaCry的运营方）是一群业余爱好者。他们看到了机会，并且逮住了机会。”

柯索伊先生表示，许多团伙在暗网上非常活跃，企图将泄露的NSA工具变成切实可行的武器。

从去年开始，一个名为Shadow Brokers的匿名组织（西方情报官员认为这是俄罗斯情报机构的代理人，https://www.ft.com/content/d63c5b3a-65ff-11e6-a08a-c7ac04ef00aa）开始在网上泄露NSA网络武器。

WannaCry攻击风险依然存在。

然而，俄罗斯总统弗拉基米尔·普京周一炮轰是美国情报机构造成了WannaCry大爆发。

普京在北京发言时引用了一名微软高管的话（https://www.ft.com/content/5540194a-38fe-11e7-821a-6027b8a20f23），这位高管批评美国政府“囤积”大批网络武器；普京否认WannaCry与俄罗斯之间有任何关联。

普京先生说：“微软直截了当地表示：这个病毒的最初源头就是美国的安全机构，俄罗斯与此绝对没有任何关系。”

据总部位于莫斯科的网络安全公司卡巴斯基实验室声称，除了其他许多政府部门和国营公司外，这次攻击还严重影响了俄罗斯内政部、移动提供商MegaFon以及国有金融集团俄罗斯联邦含储蓄银行（Sberbank），俄罗斯因此成为受此攻击影响最大的国家。

英国国家网络安全中心主任夏兰·马丁（Ciaran Martin）说：“外头有一个由网络犯罪分子和狡猾黑客组成的全球生态系统，他们正在开源许多攻击方法。”

“黑客工具被人修改后，重复使用，并经过了升级。开源漏洞的数量以及这个生态系统的规模越来越大。”马丁先生拒绝对WannaCry或网上发布的其他工具的具体源头发表评论。

马丁先生呼吁各组织立即给软件打上目前可以从微软获得的补丁（https://www.ft.com/content/348d4f7a-3808-11e7-821a-6027b8a20f23），那样才能保护它们，避免基于泄露的NSA工具发动的任何攻击。