这两天,NSA被黑事件,(或者叫方程式事件)或者叫 The Shadow Brokers(国内有媒体将之译作“影子经纪人”)事件仍在如火如荼地发酵中。很多小伙伴恐怕都已经看过了大量报道,如果你错过了本次事件的诸多细节也没关系,这篇文章将为各位梳理NSA被黑事件的来龙去脉,以及这些被人们提起的热门词汇,究竟都是什么意思。
上周,一群黑客宣称侵入NSA,也就是美国国家安全局——其实只看“NSA被黑”这几个字就已经足够震撼了。NSA就是前两年棱镜门事件的主角,这个机构隶属于美国国防部,是美国政府机构中最大的情报部门,专门负责收集和分析通讯资料(包括美国国外的)。
当年棱镜门事件爆发,前NSA雇员Edward Snowden公开了大量令人瞠目结舌的NSA内部文档,剑指NSA通过各种手段,甚至和科技企业合作的方式,大肆监听美国国民的网络活动,且触角也延伸到国外。
而这次居然是NSA被黑了,被黑的目标,具体是NSA的方程式组织(Equation Group)。这个方程式组织究竟是个啥组织呢?早在2015年2月份,卡巴斯基实验室公布了一份研究报告,指出NSA自2001年以来,内部就存在一个黑客组织。卡巴斯基将该组织命名为方程式组织。
方程式的特色在于,采用“复杂的”0-day恶意程序,以各行各业为目标发起情报刺探活动。据卡巴斯基的报告所说,方程式组织结合了各种复杂且高端的战略战术、技术和高度一致化的流程。该组织内部有诸多复杂的入侵工具——据说这些工具是需要花大量精力才能开发出来的。
当时卡巴斯基对方程式组织的评价相当“高”:这个秘密组织所用技术的复杂性和精制性“超越任何已知情报”。比如说赫赫有名的Stuxnet震网和Flame火焰病毒在出现之前,其中涉及到的0day漏洞就已经为方程式所用了——而方程式与这些恶意活动的幕后推手也有联系。比如2008年就已经在用的Fanny恶意程序,震网的新型变体到2009年和2010年才开始应用。
方程式的触角可能波及到全球范围内超过30个国家数万(even tens of thousands)受害者。方程式“特别照顾”的领域主要包括了政府和外交机关、通讯、航空航天、能源、石油、军队、纳米技术、核研究、大众传媒、交通、金融、开发加密技术的企业、穆斯林等。对方程式感兴趣的同学可前往阅读卡巴斯基的报告。
这么牛掰的一个APT组织,竟然被别人给黑了!?
这个侵入方程式内部的黑客组织名为The Shadow Brokers。这其实就是目前已经掌握的攻击者的全部确切信息,名称“The Shadow Brokers”。
前面我们就提到了,方程式内部开发了各种高端的情报窃取工具,而且绝大部分还是利用各类产品,包括安全产品的0-day漏洞来入侵。所以The Shadow Brokers在侵入NSA方程式组织内部之后,窃取了这家组织的大量工具,确切地说是本月13日就将其中大量文件公布到了网上(GitHub和Tumblr之上,不过目前都已经被删),包括恶意程序、黑客攻击工具、漏洞利用工具等。
不过The Shadow Brokers将这些工具分成了两部分,其中一部分免费提供下载试用,还有一部分(据说是剩余40%的best files)则明码标价出售,售价100万比特币(约合5.78亿美元,搞笑啊!收购一家公司也就这点钱)。GitHub很快就删除了相关页面,不过有趣的是,删除的原因并不是政府施压,而是GitHub的政策不允许对盗窃资产标价出售。
从这个明面的行为来看,我们是否可以认为,The Shadow Brokers的目的其实是为了钱呢?
事情发展到这个地步,安全从业人员最想知道的,其实是公布的这些文件是不是真的,是否可靠。这件事在随后几天的发酵中,才让人感觉异常恐怖。首先是卡巴斯基出面确认,这些文件绝对是真实有效的(国外媒体的用词是legitimate),而且从种种迹象看来,都和方程式组织相关。
卡巴斯基实验室的研究人员公布了这些材料的研究细节:
The Shadow Brokers公开提供免费下载的这份数据尺寸大约是300MB,里面具体包含针对某些防火墙产品的漏洞利用,黑客工具和脚本,工具具体名称像是BANANAUSURPER、BLATSTING、BUZZDIRECTION。不过这些文件都至少有3年的历史了,最新的时间戳所标的时间点是在2013年10月。
那么究竟凭什么说跟方程式有关呢?卡巴斯基实验室有提到:“虽然我们无法确定攻击者的身份或者动机,也不知道这些工具是从哪里或者怎么得来的,但我们可以明确,泄露的数百款工具,和方程式组织绝对有密切的关联。”
The Shadow Brokers公布的文档中大约有超过300个文件,采用RC5和RC6加密算法作为通用策略,手法和方程式如出一辙。
“其代码相似性让我们高度确认,The Shadow Brokers泄露的工具和方程式的恶意程序的确是有关联的。”上图比对的就是较早方程式RC6代码,和这次The Shadow Brokers泄露文档中的代码,相同的函数、约束条件,还有些比较罕见的特征都很能说明问题。
除了卡巴斯基之外,NSA另一个神秘组织TAO(特定入侵行动办公室)的前员工也认为这些工具和方程式所用的工具一样。华盛顿邮报也已经对此进行了报道。
上周五,The Intercept公布了新一轮的Snowden泄密文档,其中有许多工具与本次泄露的工具存在很强的关联,这些都是证据:比如说Snowden披露的文档中包含一款SECONDDATE利用工具,这个工具可在网络层干涉web请求,并将之重定向至FOXACID服务器,“操作手册”第28页提到,NSA雇员必须使用ID,来标记发往FOXACID服务器的受害者,里面提到ID为ace20468bdf13579,这个ID就在本次The Shadow Brokers泄露的14个不同的文件中有出现。
这些工具究竟可以用来做什么,我们还可以稍举一些例子,比如说安全研究人员测试了EXTRABACON利用工具,确认利用这款工具,在不需要提供有效身份凭证的情况下,就可以访问思科防火墙:这款工具利用Cisco ASA软件SNMP协议中的0-day漏洞(CVE-2016-6366),可致“未经授权的远程攻击者”完全控制设备。
此外,还有利用思科一些更早漏洞的0-day利用工具,比如利用思科CVE-2016-6367漏洞的,这个漏洞存在于Cisco ASA软件的命令行界面解析器中,可致未经授权的本地攻击者构造DoS攻击条件,以及存在执行任意代码的风险——泄露的EPICBANANA以及JETPLOW工具都利用了该漏洞。
再举个例子,其中还有一款工具能够解密思科PIX VPN流量,在主板固件中植入恶意程序,这种攻击方式几乎无法检测到,也没法删除…这次波及到的厂商包括了思科、Juniper、Fortinet等,尤为值得一提的是,泄露工具中也包含针对国内天融信防火墙产品的漏洞利用工具。思科实际上也第一时间确认了这些漏洞的存在,并发布了相应的补丁——想一想,前文提到这些泄露文件的时间戳至少也是3年前的,可想而知这些0day漏洞有多0day。
FreeBuf最近也发了几篇有关解析泄露文档的文章,像是这一篇:《NSA(美国国安局)泄漏文件深度分析(PART 1)》,这些本质上其实都是表现方程式有多恐怖的。
有关这个问题,业内观点众所纷纭。要答这个问题,这就得摸清发起本次攻击的幕后主使究竟是谁了,目前比较主流的态度有两种,其一是NSA内部人员所为(老外的用词是insider’s job)——业界著名的Matt Suiche就是这么认为的,他说他和前NSA TAO雇员就此事聊了聊。他在博客中是这么写的:
“这次泄露的文件实际上也包含了NSA TAO工具套装,这些工具原本是储存在被物理隔离的网络上的,根本就不会接触到互联网。”
“那些文件根本就没有理由放在staging server服务器上,除非有人故意这么做。文件层级关系,还有文件名都没变,这应该表明这些文件是直接从源复制过来的。”
除了认为是内部人员干的,Snowden有在Twitter上就此事特别发声,他认为这件事是“俄罗斯对美国的回应”,虽然这个“回应”有点儿让人摸不着头脑,据说是针对先前美国谴责俄罗斯有关DNC民主党国家委员会入侵一事(Lol)。前两周,维基泄密公布了大量来自DNC(还有另外针对DCCC民主党国会竞选委员会的)的内部文档,美国多家安全企业和情报机构都认为,此事与俄罗斯相关,虽然俄罗斯方面予以否认。
“本次泄露事件,看起来像是有人发出的信号,表明这场戏还将持续快速扩大。这像是种警告,有人想要证明,美国需要为这台恶意程序服务器发起的所有攻击负责。这次事件可能对国外后续的策略会发生很大影响,尤其那些以美国为目标,和那些想要针对美国大选的外部组织。”
在Snowden看来,侵入方程式服务器对俄罗斯的黑客来说也没有那么难。即便NSA有如此复杂的工具做后盾,俄罗斯的网络部门对NSA有着非常深刻的认识,也有能力检测NSA发起的所有攻击。他还说,这些黑客之所以没有得到2013年6月份之后的数据,是因为那段时间恰逢Snowden公布NSA的机密文档,NSA很有可能因此更换这方面的基础设施。
所以国外媒体的主流观点都认为,The Shadow Brokers索要这100万比特币不过是烟幕弹,根本就是混淆视听的。至于真相究竟如何,估计还需要等后续更多的分析。
其实我们还有个很大的问题没有解决,就是这次The Shadow Brokers到底是如何侵入方程式的服务器的——这件事目前当然还没有人能够揭晓。著名意大利研究人员Claudio Guarnieri推测,这个黑客组织可能是黑入了“listening post”(监听站?),这是方程式整个情报基础设施的一个组成部分。
诡异的交易,每笔0.001337比特币
还有The Shadow Brokers究竟是什么身份,可能也是许多人好奇的。还有一件有趣的事:来自Security Affairs的报道,前两天网上出现一则很奇怪的交易,The Shadow Brokers账户发生一些变化,几天之前汇入了大约990美元。比较让人感觉奇怪的是,这990美元来自Silk Road比特币账户。等等!Silk Road Bitcoin不是已经在FBI的控制下了吗(针对黑市的抓捕行动后)?不仅如此,另外还有其它汇钱的账户(分流?)。这是个谜啊!
这次NSA被黑事件仍然是问题一堆,我们还会持续等待事件的进一步发酵,并进行追踪报道。不过话说,这个世界还有安全可言吗?
雷锋网注:本文作者欧阳洋葱,FreeBuf黑客与极客(FreeBuf.COM)授权发布雷锋网,转载请注明出处和作者,不得删减内容。