真相究竟是什麼?5大問題回顧NSA被黑事件

雷鋒網 於 25/08/2016 發表 收藏文章
這兩天,NSA被黑事件,(或者叫方程式事件)或者叫 The Shadow Brokers(國內有媒體將之譯作“影子經紀人”)事件仍在如火如荼地發酵中。很多小夥伴恐怕都已經看過了大量報道,如果你錯過了本次事件的諸多細節也沒關係,這篇文章將為各位梳理NSA被黑事件的來龍去脈,以及這些被人們提起的熱門詞彙,究竟都是什麼意思。

問題一:究竟是誰被黑了?

上週,一羣黑客宣稱侵入NSA,也就是美國國家安全局——其實只看“NSA被黑”這幾個字就已經足夠震撼了。NSA就是前兩年稜鏡門事件的主角,這個機構隸屬於美國國防部,是美國政府機構中最大的情報部門,專門負責收集和分析通訊資料(包括美國國外的)。

當年稜鏡門事件爆發,前NSA僱員Edward Snowden公開了大量令人瞠目結舌的NSA內部文檔,劍指NSA通過各種手段,甚至和科技企業合作的方式,大肆監聽美國國民的網絡活動,且觸角也延伸到國外。

而這次居然是NSA被黑了,被黑的目標,具體是NSA的方程式組織(Equation Group)。這個方程式組織究竟是個啥組織呢?早在2015年2月份,卡巴斯基實驗室公佈了一份研究報告,指出NSA自2001年以來,內部就存在一個黑客組織。卡巴斯基將該組織命名為方程式組織。


方程式的特色在於,採用“複雜的”0-day惡意程序,以各行各業為目標發起情報刺探活動。據卡巴斯基的報告所説,方程式組織結合了各種複雜且高端的戰略戰術、技術和高度一致化的流程。該組織內部有諸多複雜的入侵工具——據説這些工具是需要花大量精力才能開發出來的。

當時卡巴斯基對方程式組織的評價相當“高”:這個祕密組織所用技術的複雜性和精製性“超越任何已知情報”。比如説赫赫有名的Stuxnet震網和Flame火焰病毒在出現之前,其中涉及到的0day漏洞就已經為方程式所用了——而方程式與這些惡意活動的幕後推手也有聯繫。比如2008年就已經在用的Fanny惡意程序,震網的新型變體到2009年和2010年才開始應用。


方程式的觸角可能波及到全球範圍內超過30個國家數萬(even tens of thousands)受害者。方程式“特別照顧”的領域主要包括了政府和外交機關、通訊、航空航天、能源、石油、軍隊、納米技術、核研究、大眾傳媒、交通、金融、開發加密技術的企業、穆斯林等。對方程式感興趣的同學可前往閲讀卡巴斯基的報告。

這麼牛掰的一個APT組織,竟然被別人給黑了!?

問題二:究竟被誰黑了?

這個侵入方程式內部的黑客組織名為The Shadow Brokers。這其實就是目前已經掌握的攻擊者的全部確切信息,名稱“The Shadow Brokers”。

問題三:侵入目的是什麼?

前面我們就提到了,方程式內部開發了各種高端的情報竊取工具,而且絕大部分還是利用各類產品,包括安全產品的0-day漏洞來入侵。所以The Shadow Brokers在侵入NSA方程式組織內部之後,竊取了這家組織的大量工具,確切地説是本月13日就將其中大量文件公佈到了網上(GitHub和Tumblr之上,不過目前都已經被刪),包括惡意程序、黑客攻擊工具、漏洞利用工具等。

不過The Shadow Brokers將這些工具分成了兩部分,其中一部分免費提供下載試用,還有一部分(據説是剩餘40%的best files)則明碼標價出售,售價100萬比特幣(約合5.78億美元,搞笑啊!收購一家公司也就這點錢)。GitHub很快就刪除了相關頁面,不過有趣的是,刪除的原因並不是政府施壓,而是GitHub的政策不允許對盜竊資產標價出售。

從這個明面的行為來看,我們是否可以認為,The Shadow Brokers的目的其實是為了錢呢


事情發展到這個地步,安全從業人員最想知道的,其實是公佈的這些文件是不是真的,是否可靠。這件事在隨後幾天的發酵中,才讓人感覺異常恐怖。首先是卡巴斯基出面確認,這些文件絕對是真實有效的(國外媒體的用詞是legitimate),而且從種種跡象看來,都和方程式組織相關。

卡巴斯基實驗室的研究人員公佈了這些材料的研究細節

引用The Shadow Brokers公開提供免費下載的這份數據尺寸大約是300MB,裏面具體包含針對某些防火牆產品的漏洞利用,黑客工具和腳本,工具具體名稱像是BANANAUSURPER、BLATSTING、BUZZDIRECTION。不過這些文件都至少有3年的歷史了,最新的時間戳所標的時間點是在2013年10月。

那麼究竟憑什麼説跟方程式有關呢?卡巴斯基實驗室有提到:“雖然我們無法確定攻擊者的身份或者動機,也不知道這些工具是從哪裏或者怎麼得來的,但我們可以明確,泄露的數百款工具,和方程式組織絕對有密切的關聯。”
The Shadow Brokers公佈的文檔中大約有超過300個文件,採用RC5和RC6加密算法作為通用策略,手法和方程式如出一轍。


“其代碼相似性讓我們高度確認,The Shadow Brokers泄露的工具和方程式的惡意程序的確是有關聯的。”上圖比對的就是較早方程式RC6代碼,和這次The Shadow Brokers泄露文檔中的代碼,相同的函數、約束條件,還有些比較罕見的特徵都很能説明問題。

除了卡巴斯基之外,NSA另一個神祕組織TAO(特定入侵行動辦公室)的前員工也認為這些工具和方程式所用的工具一樣。華盛頓郵報也已經對此進行了報道。


上週五,The Intercept公佈了新一輪的Snowden泄密文檔,其中有許多工具與本次泄露的工具存在很強的關聯,這些都是證據:比如説Snowden披露的文檔中包含一款SECONDDATE利用工具,這個工具可在網絡層干涉web請求,並將之重定向至FOXACID服務器,“操作手冊”第28頁提到,NSA僱員必須使用ID,來標記發往FOXACID服務器的受害者,裏面提到ID為ace20468bdf13579,這個ID就在本次The Shadow Brokers泄露的14個不同的文件中有出現。

這些工具究竟可以用來做什麼,我們還可以稍舉一些例子,比如説安全研究人員測試了EXTRABACON利用工具,確認利用這款工具,在不需要提供有效身份憑證的情況下,就可以訪問思科防火牆:這款工具利用Cisco ASA軟件SNMP協議中的0-day漏洞(CVE-2016-6366),可致“未經授權的遠程攻擊者”完全控制設備。

此外,還有利用思科一些更早漏洞的0-day利用工具,比如利用思科CVE-2016-6367漏洞的,這個漏洞存在於Cisco ASA軟件的命令行界面解析器中,可致未經授權的本地攻擊者構造DoS攻擊條件,以及存在執行任意代碼的風險——泄露的EPICBANANA以及JETPLOW工具都利用了該漏洞。


再舉個例子,其中還有一款工具能夠解密思科PIX VPN流量,在主板固件中植入惡意程序,這種攻擊方式幾乎無法檢測到,也沒法刪除…這次波及到的廠商包括了思科、Juniper、Fortinet等,尤為值得一提的是,泄露工具中也包含針對國內天融信防火牆產品的漏洞利用工具。思科實際上也第一時間確認了這些漏洞的存在,併發布了相應的補丁——想一想,前文提到這些泄露文件的時間戳至少也是3年前的,可想而知這些0day漏洞有多0day。

FreeBuf最近也發了幾篇有關解析泄露文檔的文章,像是這一篇:《NSA(美國國安局)泄漏文件深度分析(PART 1)》,這些本質上其實都是表現方程式有多恐怖的。

問題四:真的是為了100萬比特幣?

有關這個問題,業內觀點眾所紛紜。要答這個問題,這就得摸清發起本次攻擊的幕後主使究竟是誰了,目前比較主流的態度有兩種,其一是NSA內部人員所為(老外的用詞是insider’s job)——業界著名的Matt Suiche就是這麼認為的,他説他和前NSA TAO僱員就此事聊了聊。他在博客中是這麼寫的:

引用“這次泄露的文件實際上也包含了NSA TAO工具套裝,這些工具原本是儲存在被物理隔離的網絡上的,根本就不會接觸到互聯網。”

“那些文件根本就沒有理由放在staging server服務器上,除非有人故意這麼做。文件層級關係,還有文件名都沒變,這應該表明這些文件是直接從源複製過來的。”

除了認為是內部人員乾的,Snowden有在Twitter上就此事特別發聲,他認為這件事是“俄羅斯對美國的迴應”,雖然這個“迴應”有點兒讓人摸不着頭腦,據説是針對先前美國譴責俄羅斯有關DNC民主黨國家委員會入侵一事(Lol)。前兩週,維基泄密公佈了大量來自DNC(還有另外針對DCCC民主黨國會競選委員會的)的內部文檔,美國多家安全企業和情報機構都認為,此事與俄羅斯相關,雖然俄羅斯方面予以否認。


引用“本次泄露事件,看起來像是有人發出的信號,表明這場戲還將持續快速擴大。這像是種警告,有人想要證明,美國需要為這台惡意程序服務器發起的所有攻擊負責。這次事件可能對國外後續的策略會發生很大影響,尤其那些以美國為目標,和那些想要針對美國大選的外部組織。”

在Snowden看來,侵入方程式服務器對俄羅斯的黑客來説也沒有那麼難。即便NSA有如此複雜的工具做後盾,俄羅斯的網絡部門對NSA有着非常深刻的認識,也有能力檢測NSA發起的所有攻擊。他還説,這些黑客之所以沒有得到2013年6月份之後的數據,是因為那段時間恰逢Snowden公佈NSA的機密文檔,NSA很有可能因此更換這方面的基礎設施。

所以國外媒體的主流觀點都認為,The Shadow Brokers索要這100萬比特幣不過是煙幕彈,根本就是混淆視聽的。至於真相究竟如何,估計還需要等後續更多的分析。

問題五:新進展如何?

其實我們還有個很大的問題沒有解決,就是這次The Shadow Brokers到底是如何侵入方程式的服務器的——這件事目前當然還沒有人能夠揭曉。著名意大利研究人員Claudio Guarnieri推測,這個黑客組織可能是黑入了“listening post”(監聽站?),這是方程式整個情報基礎設施的一個組成部分。


詭異的交易,每筆0.001337比特幣

還有The Shadow Brokers究竟是什麼身份,可能也是許多人好奇的。還有一件有趣的事:來自Security Affairs的報道,前兩天網上出現一則很奇怪的交易,The Shadow Brokers賬户發生一些變化,幾天之前匯入了大約990美元。比較讓人感覺奇怪的是,這990美元來自Silk Road比特幣賬户。等等!Silk Road Bitcoin不是已經在FBI的控制下了嗎(針對黑市的抓捕行動後)?不僅如此,另外還有其它匯錢的賬户(分流?)。這是個謎啊!

這次NSA被黑事件仍然是問題一堆,我們還會持續等待事件的進一步發酵,並進行追蹤報道。不過話説,這個世界還有安全可言嗎?

雷鋒網注:本文作者歐陽洋葱,FreeBuf黑客與極客(FreeBuf.COM)授權發佈雷鋒網(搜索“雷鋒網”公眾號關注),轉載請註明出處和作者,不得刪減內容。


資料來源:雷鋒網
作者/編輯:FreeBuf

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→