据外媒报道,众所周知,近期肆虐全球的勒索病毒WannaCry利用了Windows漏洞发动攻击。该漏洞是由美国国家安全局(NSA)发现的,由黑客组织Shadow Brokers对外泄漏。那么Shadow Brokers是怎样一家黑客组织呢?他们是如何窃取这些机密文件的呢?
2013年,一个自称为“Shadow Brokers”的黑客组织窃取了美国国家安全局(NSA)的大量机密文件。去年夏季,Shadow Brokers开始在互联网上泄漏这些文件。这不仅让NSA倍感尴尬,限制了其信息收集能力,也让一些高级网络攻击工具流入市场。
这些机密文件包含了思科路由器、微软Windows、以及Linux邮件服务器的许多重大漏洞,让这些公司和消费者倍感焦虑。也正是因为这些机密文件的泄漏,才导致勒索病毒WannaCry泛滥全球。据悉,WannaCry正是利用了NSA发现的一处Windows漏洞而发动攻击。
WannaCry病毒爆发后,Shadow Brokers扬言每月都要泄漏更多的NSA机密文件。毫无疑问,这将赋予黑客更丰富的攻击武器。
那么Shadow Brokers是由怎样一群黑客组成?他们是如何窃取NSA机密文件的?答案可能会令人失望:我们不知道。但是,我们可以基于他们发布的材料进行一些合理的猜测。
Shadow Brokers或来自俄罗斯
Shadow Brokers去年8月突然出现在人们的视线中。当时,他们发布了从NSA窃取的一些黑客工具和计算机软件漏洞。这些资料是他们2013年窃取的,来自NSA服务器。这些黑客工具和漏洞本来是NSA研究人员自己使用的,没想到被Shadow Brokers窃取。
到目前为止,Shadow Brokers共发布了四套NSA机密文件:一套是攻击路由器的黑客工具,另一套攻击邮件服务器,还有一套是Windows漏洞大全,最后一套是NSA攻击SWIFT(环球银行金融电信协会)系统的操作说明。
这些文件来自NSA的多个服务器,其中SWIFT文件似乎来自一台NSA内部计算机,还有一些文件来自外部NSA服务器。Shadow Brokers泄漏的这些文件都是未经编辑的,没有像爱德华-斯诺登(Edward Snowden)当年泄漏美国中央情报局(CIA)机密文件那样得到记者的极大关注。从所发布的信息来看,Shadow Brokers的英语水平一般,但参考了美国的文化。
基于上述信息,我们认为这些机密信息并非NSA内部人士泄漏。如果是内部人士,没有必要等待三年之后再公开这些机密文件。相反,应该像斯诺登那样,获得机密信息后立即公开。而事实并非如此。
他们公布的只是一些攻击工具和漏洞代码,没有明显的政治目的或种族牵连。当然,这也不可能是普通的黑客,仅仅想损害NSA或整个美国的声誉,因为这也没必要等待三年。此外,泄密者也不会是网络犯罪分子。如果是网络犯罪分子,他们完全可以保留这些黑客工具自己用,而不会选择公开,这样做的裨益更大。
排除上述对象后,泄密行为很可能是一个国家所为。以色列和法国这些国家有入侵NSA服务器的能力,但他们不会选择公开这些机密文件,因为他们不想招惹美国。相比之下,朝鲜和伊朗等国似乎还没有这个能力,虽然有人怀疑WannaCry病毒与朝鲜有关。
可能性最大的两个国家是俄罗斯和中国,但中国和美国希望保持良好的外交关系,因此,可能性最大的应该是俄罗斯。事实上,斯诺登也是这样认为的。但问题是:俄罗斯为什么要公开这些信息呢?保留这些信息的价值更大,俄罗斯可以利用这些信息来监测NSA的入侵,也可以对其他国家发动攻击。
有一种可能是:黑客们很清楚,NSA已经知道他们窃取了机密信息。对于谁窃取了机密信息,NSA了如指掌。例如,NSA曾指控俄罗斯在2014年11月入侵了美国国务院。如果这样,保留这些信息也就没有太大的价值了。
机密信息是如何被窃取的?
那么Shadow Brokers是如何窃取这些机密信息的呢?是因为NAS内部人士不经意间错误地登录了外部网络上的服务器吗?有这种可能,但对于像NAS这样的机构,这种可能性很小。
难道是NSA内部有间谍?如果真是间谍所为,相信他在Shadow Brokers公布这些机密文件前已经被捕了。否则,出于间谍人身安全考虑,Shadow Brokers是不会公布这些信息的。
因此,这些机密文件的来源有两种可能。一是来自NSA承包商哈罗德o马丁(Harold Martin)。马丁已于去年8月被捕,原因是被指控窃取机密文件。当前,美国政府正在调查马丁是否与Shadow Brokers有关。
马丁本人不可能是信息的直接泄露者,因为Shadow Brokers泄漏信息时,马丁还在狱中。但是,有可能是马丁将这些机密文件提供给黑客的,或者是马丁的电脑被黑客入侵。
如果这些机密文件来自马丁,那么我们有理由相信,随便一个黑客就可能入侵他的电脑,而无需由特定国家组织的黑客团队来发起攻击。
第二种可能是:是另一位神秘人物泄漏了这些机密信息。这个人可能窃取了NSA文档,然后交给其他人。据《华盛顿邮报》报道称,除了马丁,还有另外一人被捕,只是没有公开。但美国政府官员称,此人向其他国家共享机密文件的可能性不大。但是,“可能性不大”并不代表没有这种可能。另外,此人被捕没有向外界公开,也耐人寻味。
每月定期出售NSA黑客工具
该信息泄漏事件还远未结束。近日,Shadow Brokers又卷土重来,宣布将推出一项新的月度订阅服务,每月定期出售NSA黑客工具,会员可根据自身意愿对这些数据加以使用。
可以想象,未来数月我们将看到更多的新漏洞,涵盖浏览器、网络设备、智能手机和操作系统等,甚至还包括SWIFT及各国中央银行的机密数据,以及俄罗斯或朝鲜的核武器与导弹计划等。
无论Shadow Brokers是谁,如何窃取了NSA的机密文件,以及出于何种原因而公布这些信息,对于NSA而言,今年的夏天将是一个炎热难熬的季节。
来源:新科技前沿