专栏名称: 安在
人物、热点、互动、传播,最有内涵的信息安全新媒体。
目录
相关文章推荐
中关村储能产业技术联盟  ·  "第十三届储能国际峰会暨展览会"演讲报告全球 ... ·  13 小时前  
中关村储能产业技术联盟  ·  "第十三届储能国际峰会暨展览会"演讲报告全球 ... ·  13 小时前  
看雪学苑  ·  欢迎报名!内核驱动高级班 ·  1 周前  
法学学术前沿  ·  学术 | 郭旨龙:论预备行为的风险评价 ·  3 天前  
法学学术前沿  ·  学术 | 郭旨龙:论预备行为的风险评价 ·  3 天前  
程序员大咖  ·  你知道 XHR 和 Fetch 的区别吗? ·  5 天前  
美股研究社  ·  90亿美元!“AI搜索新贵”Perplexi ... ·  6 天前  
美股研究社  ·  90亿美元!“AI搜索新贵”Perplexi ... ·  6 天前  
51好读  ›  专栏  ›  安在

揭秘最神秘黑客组织:来自战斗民族,专黑美国

安在  · 公众号  · 互联网安全  · 2017-06-11 17:25

正文


据外媒报道,众所周知,近期肆虐全球的勒索病毒WannaCry利用了Windows漏洞发动攻击。该漏洞是由美国国家安全局(NSA)发现的,由黑客组织Shadow Brokers对外泄漏。那么Shadow Brokers是怎样一家黑客组织呢?他们是如何窃取这些机密文件的呢?


2013年,一个自称为“Shadow Brokers”的黑客组织窃取了美国国家安全局(NSA)的大量机密文件。去年夏季,Shadow Brokers开始在互联网上泄漏这些文件。这不仅让NSA倍感尴尬,限制了其信息收集能力,也让一些高级网络攻击工具流入市场。



这些机密文件包含了思科路由器、微软Windows、以及Linux邮件服务器的许多重大漏洞,让这些公司和消费者倍感焦虑。也正是因为这些机密文件的泄漏,才导致勒索病毒WannaCry泛滥全球。据悉,WannaCry正是利用了NSA发现的一处Windows漏洞而发动攻击。


WannaCry病毒爆发后,Shadow Brokers扬言每月都要泄漏更多的NSA机密文件。毫无疑问,这将赋予黑客更丰富的攻击武器。


那么Shadow Brokers是由怎样一群黑客组成?他们是如何窃取NSA机密文件的?答案可能会令人失望:我们不知道。但是,我们可以基于他们发布的材料进行一些合理的猜测。



Shadow Brokers或来自俄罗斯



Shadow Brokers去年8月突然出现在人们的视线中。当时,他们发布了从NSA窃取的一些黑客工具和计算机软件漏洞。这些资料是他们2013年窃取的,来自NSA服务器。这些黑客工具和漏洞本来是NSA研究人员自己使用的,没想到被Shadow Brokers窃取。


到目前为止,Shadow Brokers共发布了四套NSA机密文件:一套是攻击路由器的黑客工具,另一套攻击邮件服务器,还有一套是Windows漏洞大全,最后一套是NSA攻击SWIFT(环球银行金融电信协会)系统的操作说明。


这些文件来自NSA的多个服务器,其中SWIFT文件似乎来自一台NSA内部计算机,还有一些文件来自外部NSA服务器。Shadow Brokers泄漏的这些文件都是未经编辑的,没有像爱德华-斯诺登(Edward Snowden)当年泄漏美国中央情报局(CIA)机密文件那样得到记者的极大关注。从所发布的信息来看,Shadow Brokers的英语水平一般,但参考了美国的文化。


基于上述信息,我们认为这些机密信息并非NSA内部人士泄漏。如果是内部人士,没有必要等待三年之后再公开这些机密文件。相反,应该像斯诺登那样,获得机密信息后立即公开。而事实并非如此。


他们公布的只是一些攻击工具和漏洞代码,没有明显的政治目的或种族牵连。当然,这也不可能是普通的黑客,仅仅想损害NSA或整个美国的声誉,因为这也没必要等待三年。此外,泄密者也不会是网络犯罪分子。如果是网络犯罪分子,他们完全可以保留这些黑客工具自己用,而不会选择公开,这样做的裨益更大。


排除上述对象后,泄密行为很可能是一个国家所为。以色列和法国这些国家有入侵NSA服务器的能力,但他们不会选择公开这些机密文件,因为他们不想招惹美国。相比之下,朝鲜和伊朗等国似乎还没有这个能力,虽然有人怀疑WannaCry病毒与朝鲜有关。


可能性最大的两个国家是俄罗斯和中国,但中国和美国希望保持良好的外交关系,因此,可能性最大的应该是俄罗斯。事实上,斯诺登也是这样认为的。但问题是:俄罗斯为什么要公开这些信息呢?保留这些信息的价值更大,俄罗斯可以利用这些信息来监测NSA的入侵,也可以对其他国家发动攻击。


有一种可能是:黑客们很清楚,NSA已经知道他们窃取了机密信息。对于谁窃取了机密信息,NSA了如指掌。例如,NSA曾指控俄罗斯在2014年11月入侵了美国国务院。如果这样,保留这些信息也就没有太大的价值了。



机密信息是如何被窃取的?



那么Shadow Brokers是如何窃取这些机密信息的呢?是因为NAS内部人士不经意间错误地登录了外部网络上的服务器吗?有这种可能,但对于像NAS这样的机构,这种可能性很小。


难道是NSA内部有间谍?如果真是间谍所为,相信他在Shadow Brokers公布这些机密文件前已经被捕了。否则,出于间谍人身安全考虑,Shadow Brokers是不会公布这些信息的。


因此,这些机密文件的来源有两种可能。一是来自NSA承包商哈罗德o马丁(Harold Martin)。马丁已于去年8月被捕,原因是被指控窃取机密文件。当前,美国政府正在调查马丁是否与Shadow Brokers有关。


马丁本人不可能是信息的直接泄露者,因为Shadow Brokers泄漏信息时,马丁还在狱中。但是,有可能是马丁将这些机密文件提供给黑客的,或者是马丁的电脑被黑客入侵。


如果这些机密文件来自马丁,那么我们有理由相信,随便一个黑客就可能入侵他的电脑,而无需由特定国家组织的黑客团队来发起攻击。


第二种可能是:是另一位神秘人物泄漏了这些机密信息。这个人可能窃取了NSA文档,然后交给其他人。据《华盛顿邮报》报道称,除了马丁,还有另外一人被捕,只是没有公开。但美国政府官员称,此人向其他国家共享机密文件的可能性不大。但是,“可能性不大”并不代表没有这种可能。另外,此人被捕没有向外界公开,也耐人寻味。



每月定期出售NSA黑客工具



该信息泄漏事件还远未结束。近日,Shadow Brokers又卷土重来,宣布将推出一项新的月度订阅服务,每月定期出售NSA黑客工具,会员可根据自身意愿对这些数据加以使用。


可以想象,未来数月我们将看到更多的新漏洞,涵盖浏览器、网络设备、智能手机和操作系统等,甚至还包括SWIFT及各国中央银行的机密数据,以及俄罗斯或朝鲜的核武器与导弹计划等。


无论Shadow Brokers是谁,如何窃取了NSA的机密文件,以及出于何种原因而公布这些信息,对于NSA而言,今年的夏天将是一个炎热难熬的季节。


来源:新科技前沿




推荐人物阅读



人物


白健 | Coolfire |段海新杜跃进董志强于旸方小顿方兴范渊龚蔚黄鑫 |韩争光 |姜开达 |季昕华金湘宇刘春泉林伟马杰马坤聂万泉|潘柱廷|孙小美谈剑峰谭晓生吴翰清吴鲁加 王琦薛峰杨卿 |云舒 |赵武 | 张照龙


白帽


聂万泉 | 笑然 |“先知”| 叶敏  | 黄源 | 刘健皓 | MJ |  大菠萝 | 衰大 | 乌云301


新锐


陈奋 | 陈新龙 | 陈宇森 | 高瀚昭 | 韩争光 | 罗启武 | 李术夫 | 刘士烨 | 马坤 | 吴志雄 | 宋国徽 | 权小文 | 薛锋 |   袁劲松 | 云舒 | 姚威 | 裔云天 |  赵武 | 朱林 


安在

新锐丨大咖丨视频丨白帽丨深度

长按识别二维码 关注更多精彩