美政府背景黑客組織被曝光

美國“截擊”網站證明，被稱為美國國家安全局（nsa）網絡“武器庫”的“方程式組織”近日遭黑客組織“影子經紀人”襲擊。

這讓一向低調卻有美國政府背景的黑客組織“方程式組織”曝光了一把。

與nsa關系密切的

“方程式組織”

“方程式組織”這個名字不是他們自己取的，而是最早由卡巴斯基發現命名的。之是以命名為“方程式組織”，是因為這個黑客團隊的加密水準無人能出其右。

“方程式組織”到底有多牛？2010年破壞伊朗核設施的“震網”病毒和 “火焰”病毒被廣泛認為出自他們之手，其水準由此可見一斑。2015年，網絡安全廠商卡巴斯基在全球42個國家發現了“方程組”的500個感染行為。但是連卡巴自己都承認，這隻是冰山一角，因為這個黑客團隊制造的“武器”擁有超強的自毀能力，絕大多數進攻完成之後，不會留下任何痕迹。

8月13日上午，一個名叫“影子經紀人”的黑客組織通過社交平台稱，通過跟蹤“方程式組織”的網絡通信流量，已攻入這個黑客組織，在這個被稱為nsa的“武器庫”中發現了大量網絡武器，并免費向所有人洩露了其中部分黑客工具和資料。不僅如此，“影子經紀人”還宣稱将通過網際網路拍賣所擷取的這些“最好的檔案”，如果他們收到100萬個比特币（總價值約為5.68億美元，1美元約合6.69元人民币），就會公布更多工具和資料。

而在“影子經紀人”從“方程式組織”擷取的檔案中，包括大量指令控制伺服器的安裝腳本和配置檔案。洩露檔案涉及的一些黑客工具名稱與斯諾登公布的内容吻合。

卡巴斯基去年釋出監測報告說，“方程式組織”已經活躍近20年，是全球技術“最牛”的黑客組織之一，堪稱網絡間諜中的“王冠制造者”。根據安全資訊領域的媒體報道，這一組織與美國國家安全局關系密切，是一個該局可能“不願承認”的部門，這在黑客圈幾乎是公開的秘密。

這一事件随即在網絡安全領域掀起軒然大波。一些專家認為，這是為讓美國政府顔面掃地精心炮制的騙局；而另一些專家則表示，他們對洩露的資料、漏洞和黑客工具進行了分析，結果顯示，這一驚人事件的可信度非常高。

風波掀起一周後，8月19日，美國“截擊”網站證明，根據斯諾登提供的最新檔案，可以确認這些被洩露的工具是美國國家安全局的軟體，其中部分屬于秘密攻擊全球計算機的強悍黑客工具。

最重要的證據，來源于斯諾登最新提供的一份絕密檔案——nsa“惡意軟體植入操作手冊”。手冊指導操作人員在使用一個惡意軟體程式seconddate時，需要借助一個特殊的16位字元串。而在“影子經紀人”從“方程式組織”已洩露出來的幾十個黑客工具中，工具seconddate就在其中，其相關代碼更是大量包含這一字元串。

在美國政府搭建的複雜全球網絡攻擊和監控體系中，seconddate這個工具起到特殊作用。在“影子經紀人”洩露的所有檔案中，有47個與seconddate工具相關，其中包含了該工具不同版本的源代碼、使用方法和其他相關檔案。“截擊”網站稱，斯諾登公布的其他檔案還顯示，nsa在巴基斯坦、黎巴嫩的行動中也使用過seconddate。但美國國家安全局目前尚未就這一事件作出回應。

“神行客”背景也不單純

“方程式組織”并不是近來唯一被認為有美國官方背景的黑客組織。8月初，美國網絡安全技術供應商賽門鐵克就爆料，黑客組織“神行客”對中國、俄羅斯、 瑞典、比利時等國進行網絡攻擊，并發現其有強烈的意圖性和政府背景。卡巴斯基實驗室和俄羅斯一家同類企業也發表聲明，指認“神行客”的不軌行為。

“神行客”也是美國相當低調、隐蔽性強、技術手段高明的網絡間諜式攻擊小組，已秘密行動5年之久，直至最近才被網絡安全機構捕獲蹤影。它的攻擊對象為涉及國家情報服務的個人或組織，主要利用的惡意軟體為remsec。remsec可用來開啟受害者電腦的後門，進而竊取檔案或側錄按鍵。

大多數時候，remsec後門在計算機記憶體運作，正常防毒軟體難以檢測。并且，該後門目标集中，很少染指普通計算機，進而使得該間諜組織隐秘攻擊長達5年之久而未被察覺。

迄今“神行客”已利用remsec感染了36台電腦，這個黑客小組目标選擇性極強。賽門鐵克追蹤發現，“神行客”借助網絡手段部署惡意軟體，可以在這些電腦内開設“後門”，繼而記錄鍵盤動作并竊取電腦文檔。

研究人員稱，之是以将remsec判斷為惡意軟體并帶有攻擊性質，是因為其在攻擊中展示出“超強”的諜報能力，如技術高度複雜、隐身防偵察能力極強、針對不同目标可以子產品化定制等，而且已知攻擊目标是典型政府情報部門感興趣的機構或個人。

研究分析證明，remsec不僅是極為罕見的進階惡意攻擊軟體，而且帶有政府背景。

之是以這麼說，首先它與“火焰”的攻擊模式十分相似。2012年“火焰”病毒在伊朗活躍了長達6個月的時間。賽門鐵克研究人員發現，火焰的攻擊特點十分奇怪，所謂的“大規模”感染，也僅僅1000台左右的電腦中毒。這些惡意軟體是帶有目的性的接近某些使用者，或隻感染目标，不觸及普通的個人計算機，這也許是伊朗石油部門電腦系統大面積遭到“火焰”侵入的根本原因。

“火焰”的自行毀滅系統令人吃驚，它一旦完成資料收集後，可開啟自我毀滅程式，不留下可追蹤線索。并且，“火焰”病毒約有20兆位元組，使用lua的程式設計語言，編寫複雜精密，很可能有國家或大型機構參與此事，提供了資金及技術支援。“這需要數量龐大的專業人員工作數百小時，花費高達數百萬美元才能被制造出來，而世界上隻有少數幾個國家和地區具備這個能力，包括美國、英國、德國。”美國網絡影響中心主任斯格特·伯格認為。這些特點，在remsec身上同樣具備。

其次，隐蔽性、目标性強于一般病毒。lua的使用本身代表着一種“自我保護機制”，這種語言不易被安全軟體檢測到。remsec的許多功能被植入計算機網絡系統中，通常藏身于使用者緩存而非硬碟中，是以極難被發現。據統計，盡管各國安全檢測機構不斷更新過濾系統，但像remsec這樣的進階精準間諜軟體，業界每年隻能追查出一兩個。卡巴斯基對此回應，盡管他們已然掌握對方的特點和路線，但這很可能是障眼法，“神行客”背後的資源要比想象的強大。

另外，目前發現的被“神行客”攻擊的4個機構大多集中于政府部門、科學研究中心、軍事實體、電信營運商及金融機構、企業it系統等，通過監測這些受感染的網站，開啟受損系統後門，竊取個人資訊，收集情報。

美政府：黑客軟體的最大購買方

據英國路透社早前報道，一直以來，美國政府才是黑客軟體的最大購買方，美國情報機構和國防部每年花費巨資用于購買商用計算機系統。nsa局長基思·亞曆山大将軍曾表示，美國政府每年花費數十億美元研制網絡防禦和構造日益複雜的網絡武器，“旨在必要時，對外國電腦網絡發動進攻。”

多個美國聯邦政府機構——國防部、國土安全部、美國宇航局、國家安全局曾參加過名為“防禦态勢”的年度黑客大會。意在為政府招募黑客人才，國家安全局網絡防禦負責人表示：“我們需要把最優秀、最聰明的人變成随時應戰的網絡武士。”但除了強化網絡安全任務之外，國家安全局對暗中從事的網絡間諜和其他的攻擊性活動，在公開場合幾乎隻字不提。

讓人們憂慮的是美國政府在“棱鏡”曝光後仍一意孤行，越走越遠。美國政府利用龐大的資訊優勢，可直接進入美國網際網路公司的中心伺服器裡挖掘資料、收集情報。同時，美國分布了絕大部分全球網際網路根伺服器，并擁有全球最強大的網際網路産業及壟斷市場，網絡霸權濫用陰影一直籠罩其他各國。

對于美國黑軟的戰略性入侵行徑，各國政府安全機構都作出了響應的對戰措施，在緊抓本國網絡核心資訊安全的基礎上，量體裁衣，制定發揮本土網絡優勢的防衛方案。

日本、南韓等國家，早已組建“網絡軍隊”，成立專門的“網絡武裝力量”，以防備黑客攻擊，加強保護機密資訊的能力。每年劃撥巨額的國防經費，用以研發和改進實施網絡戰的核心技術。英國、俄羅斯、印度等國也紛紛加入“招募黑客”行動，網絡部隊黑客優先，政府看重技術和智商優于常人的網絡精英，計劃把這些人才和技術快速轉變為軍事用途。

面對網絡霸權國的時時挑釁壓力，深感鄰國網絡安全系統積極建構的促動，中國網絡安全和資訊國産化步伐也在不斷加快，第四屆中國網際網路安全大會于8月16日召開，大會以“協同關聯，共建安全+命運共同體”為主題，并首次舉辦四國多邊閉門論壇，邀請多國軍方代表讨論國家間網絡空間安全，引領國家網絡資訊安全走向。 據《國際先驅導報》

本文轉自d1net（轉載）