美國(guó)，技術(shù)“最牛”黑客組織的隱密主子

徐陽(yáng)晨+郭爽

根據(jù)安全信息領(lǐng)域的媒體報(bào)道，“方程式組織”與美國(guó)國(guó)家安全局關(guān)系密切，是一個(gè)該局可能“不愿承認(rèn)”的部門，這在黑客圈幾乎是公開(kāi)的秘密。

美國(guó)“截?fù)簟本W(wǎng)站8月19日證實(shí)，被稱為美國(guó)國(guó)家安全局（NSA）網(wǎng)絡(luò)“武器庫(kù)”的“方程式組織”（Equation Group）近日遭黑客組織“影子經(jīng)紀(jì)人”（The Shadow Brokers）襲擊。這讓一向低調(diào)卻有美國(guó)政府背景的黑客組織“方程式組織”曝光了一把。

美政府背景黑客組織被曝光

與NSA關(guān)系密切的“方程式組織”

“方程式組織”這個(gè)名字不是他們自己取的，而是最早由卡巴斯基發(fā)現(xiàn)命名的。之所以命名為“方程式組織”，是因?yàn)檫@個(gè)黑客團(tuán)隊(duì)的加密水平無(wú)人能出其右。

“方程式組織”到底有多牛？2010年破壞伊朗核設(shè)施的“震網(wǎng)”病毒和 “火焰”病毒被廣泛認(rèn)為出自他們之手，其水平由此可見(jiàn)一斑。2015年，網(wǎng)絡(luò)安全廠商卡巴斯基在全球42個(gè)國(guó)家發(fā)現(xiàn)了“方程組”的500個(gè)感染行為。但是連卡巴斯基自己都承認(rèn)，這只是冰山一角，因?yàn)檫@個(gè)黑客團(tuán)隊(duì)制造的“武器”擁有超強(qiáng)的自毀能力，絕大多數(shù)進(jìn)攻完成之后，不會(huì)留下任何痕跡。

8月13日上午，一個(gè)名叫“影子經(jīng)紀(jì)人”的黑客組織通過(guò)社交平臺(tái)稱，通過(guò)跟蹤“方程式組織”的網(wǎng)絡(luò)通信流量，已攻入這個(gè)黑客組織，在這個(gè)被稱為NSA的“武器庫(kù)”中發(fā)現(xiàn)了大量網(wǎng)絡(luò)武器，并免費(fèi)向所有人泄露了其中部分黑客工具和數(shù)據(jù)。不僅如此，“影子經(jīng)紀(jì)人”還宣稱將通過(guò)互聯(lián)網(wǎng)拍賣所獲取的這些“最好的文件”，如果他們收到100萬(wàn)個(gè)比特幣（總價(jià)值約為5.68億美元，1美元約合6.69元人民幣），就會(huì)公布更多工具和數(shù)據(jù)。

而在“影子經(jīng)紀(jì)人”從“方程式組織”獲取的文件中，包括大量命令控制服務(wù)器的安裝腳本和配置文件。泄露文件涉及的一些黑客工具名稱與斯諾登公布的內(nèi)容吻合。

卡巴斯基去年發(fā)布監(jiān)測(cè)報(bào)告說(shuō)，“方程式組織”已經(jīng)活躍近20年，是全球技術(shù)“最?！钡暮诳徒M織之一，堪稱網(wǎng)絡(luò)間諜中的“王冠制造者”。根據(jù)安全信息領(lǐng)域的媒體報(bào)道，這一組織與美國(guó)國(guó)家安全局關(guān)系密切，是一個(gè)該局可能“不愿承認(rèn)”的部門，這在黑客圈幾乎是公開(kāi)的秘密。

風(fēng)波掀起一周后，8月19日，美國(guó)“截?fù)簟本W(wǎng)站證實(shí)，根據(jù)斯諾登提供的最新文件，可以確認(rèn)這些被泄露的工具是美國(guó)國(guó)家安全局的軟件，其中部分屬于秘密攻擊全球計(jì)算機(jī)的強(qiáng)悍黑客工具。

最重要的證據(jù)，來(lái)源于斯諾登最新提供的一份絕密文件——NSA“惡意軟件植入操作手冊(cè)”。手冊(cè)指導(dǎo)操作人員在使用一個(gè)惡意軟件程序SECONDDATE時(shí)，需要借助一個(gè)特殊的16位字符串。而在“影子經(jīng)紀(jì)人”從“方程式組織”已泄露出來(lái)的幾十個(gè)黑客工具中，工具SECONDDATE就在其中，其相關(guān)代碼更是大量包含這一字符串。

在美國(guó)政府搭建的復(fù)雜全球網(wǎng)絡(luò)攻擊和監(jiān)控體系中，SECONDDATE這個(gè)工具起到特殊作用。在“影子經(jīng)紀(jì)人”泄露的所有文件中，有47個(gè)與SECONDDATE工具相關(guān)，其中包含了該工具不同版本的源代碼、使用方法和其他相關(guān)文件?！敖?fù)簟本W(wǎng)站稱，斯諾登公布的其他文件還顯示，NSA在巴基斯坦、黎巴嫩的行動(dòng)中也使用過(guò)SECONDDATE。但美國(guó)國(guó)家安全局目前尚未就這一事件做出回應(yīng)。

這一事件隨即在網(wǎng)絡(luò)安全領(lǐng)域掀起軒然大波。一些專家認(rèn)為，這是為讓美國(guó)政府顏面掃地精心炮制的騙局;而另一些專家則表示，他們對(duì)泄露的數(shù)據(jù)、漏洞和黑客工具進(jìn)行了分析，結(jié)果顯示，這一驚人事件的可信度非常高。前美國(guó)國(guó)家安全局工作人員對(duì)媒體表示，“毫無(wú)疑問(wèn)，這就是通向這個(gè)王國(guó)的鑰匙?！?/p>

事件發(fā)生后，斯諾登在推特網(wǎng)站上發(fā)文稱，美國(guó)國(guó)家安全局留下了災(zāi)難性的網(wǎng)絡(luò)漏洞，但“3年多寧愿去攻擊（他人），也不去修復(fù)”，“美國(guó)產(chǎn)品中維護(hù)已知漏洞的直接結(jié)果，就是被他們的敵人發(fā)現(xiàn)”。

黑客中的軍火商

再來(lái)說(shuō)說(shuō)“影子經(jīng)紀(jì)人”。

黑掉頂級(jí)黑客組織“方程式組織”這一舉動(dòng)，立即讓“影子經(jīng)紀(jì)人”名聲大噪。沒(méi)過(guò)幾天，這一可以“自在出入”NSA的黑客組織就已位列媒體排出的全球“最牛黑客組織排行榜”第三名。

“影子經(jīng)紀(jì)人”好像黑客中的軍火商。他們時(shí)常會(huì)販賣高級(jí)的攻擊武器，有時(shí)也販賣重要的世界軍政信息。他們喜歡在競(jìng)爭(zhēng)對(duì)手之間販賣武器，客戶在發(fā)現(xiàn)對(duì)手的攻擊能力和本人一樣后，很自然就會(huì)成為“影子經(jīng)紀(jì)人”的回頭客，以求購(gòu)更新的“武器”配備。

沒(méi)有人知道“影子經(jīng)紀(jì)人”背后藏著誰(shuí)。按照斯諾登的分析，這一黑客集團(tuán)可能與俄羅斯方面有關(guān)。他在推特上說(shuō)，“間接證據(jù)表明，這件事情與俄羅斯有關(guān)。這種泄露有可能是個(gè)警告，用以告訴世界，美國(guó)實(shí)際上策劃了世界上很多黑客攻擊的事情。”

此外，也有專家分析說(shuō)，這一黑客組織可能來(lái)自NSA內(nèi)部知情人員，甚至有可能是又一個(gè)斯諾登一樣的存在。

迄今，尚無(wú)有力證據(jù)證明這些說(shuō)法的精確性。不過(guò)，“影子經(jīng)紀(jì)人”發(fā)布過(guò)幾次看似雜亂無(wú)章的“對(duì)外宣言”，讓言語(yǔ)學(xué)家抓住了一些把柄。

一份言語(yǔ)學(xué)分析報(bào)告顯示，“影子經(jīng)紀(jì)人”在運(yùn)用英語(yǔ)時(shí)有明顯錯(cuò)誤，顯然是為了迷惑別人，讓人誤以為這一黑客組織成員并非以英語(yǔ)為母語(yǔ)。

英俄雙語(yǔ)翻譯阿列克謝·科瓦列夫也贊同這種觀點(diǎn)，“有太多破綻暴露了作者的母語(yǔ)是英語(yǔ)?！?/p>

“神行客”背景也不單純

“方程式組織”并不是近來(lái)唯一被認(rèn)為有美國(guó)官方背景的黑客組織。8月初，美國(guó)網(wǎng)絡(luò)安全技術(shù)供應(yīng)商賽門鐵克就爆料，黑客組織“神行客”（Strider）對(duì)中國(guó)、俄羅斯、 瑞典、比利時(shí)等國(guó)進(jìn)行網(wǎng)絡(luò)攻擊，并發(fā)現(xiàn)其有強(qiáng)烈的意圖性和政府背景。卡巴斯基實(shí)驗(yàn)室和俄羅斯一家同類企業(yè)也發(fā)表聲明，指認(rèn)“神行客”的不軌行為。

“神行客”也是美國(guó)相當(dāng)?shù)驼{(diào)，隱蔽性強(qiáng)、技術(shù)手段高明的網(wǎng)絡(luò)間諜式攻擊小組，已秘密行動(dòng)5年之久，直至最近才被網(wǎng)絡(luò)安全機(jī)構(gòu)捕獲蹤影。它的攻擊對(duì)象為涉及國(guó)家情報(bào)服務(wù)的個(gè)人或組織，主要利用的惡意軟件為Remsec。

大多數(shù)時(shí)候，Remsec后門在計(jì)算機(jī)內(nèi)存運(yùn)行，常規(guī)殺毒軟件難以檢測(cè)。并且，該后門目標(biāo)集中，很少染指普通計(jì)算機(jī)，從而使得該間諜組織隱秘攻擊長(zhǎng)達(dá)5年之久而未被察覺(jué)。

迄今“神行客”已利用Remsec感染了36臺(tái)電腦，這個(gè)黑客小組目標(biāo)選擇性極強(qiáng)。賽門鐵克追蹤發(fā)現(xiàn)，“神行客”借助網(wǎng)絡(luò)手段部署惡意軟件，可以在這些電腦內(nèi)開(kāi)設(shè)“后門”，繼而記錄鍵盤動(dòng)作并竊取電腦文檔。

研究人員稱，之所以將Remsec判斷為惡意軟件并帶有攻擊性質(zhì)，是因?yàn)樗糁姓故境觥俺瑥?qiáng)”的諜報(bào)能力，如技術(shù)高度復(fù)雜、隱身防偵察能力極強(qiáng)、針對(duì)不同目標(biāo)可以模塊化定制等，而且已知攻擊目標(biāo)是典型政府情報(bào)部門感興趣的機(jī)構(gòu)或個(gè)人。

研究分析證明，Remsec不僅是極為罕見(jiàn)的高級(jí)惡意攻擊軟件，而且?guī)в姓尘啊?/p>

之所以這么說(shuō)，首先它與“火焰”的攻擊模式十分相似。2012年“火焰”病毒在伊朗活躍了長(zhǎng)達(dá)6個(gè)月的時(shí)間。賽門鐵克研究人員發(fā)現(xiàn)，“火焰”的攻擊特點(diǎn)十分奇怪，所謂的“大規(guī)?！备腥?，也僅僅有1000臺(tái)左右的電腦中毒。這些惡意軟件是帶有目的性的接近某些用戶，或只感染目標(biāo)，不觸及普通的個(gè)人計(jì)算機(jī)，這也許是伊朗石油部門電腦系統(tǒng)大面積遭到“火焰”侵入的根本原因。

“火焰”的自行毀滅系統(tǒng)令人吃驚，它一旦完成數(shù)據(jù)收集后，可開(kāi)啟自我毀滅程序，不留下可追蹤線索。并且，“火焰”病毒約有20兆字節(jié)，使用Lua的編程語(yǔ)言，編寫復(fù)雜精密，很可能有國(guó)家或大型機(jī)構(gòu)參與此事，提供了資金及技術(shù)支持。“這需要數(shù)量龐大的專業(yè)人員工作數(shù)百小時(shí)，花費(fèi)高達(dá)數(shù)百萬(wàn)美元才能被制造出來(lái)，而世界上只有少數(shù)幾個(gè)國(guó)家和地區(qū)具備這個(gè)能力，包括美國(guó)、英國(guó)、德國(guó)?！泵绹?guó)網(wǎng)絡(luò)影響中心主任斯格特·伯格認(rèn)為。這些特點(diǎn)，在Remsec身上同樣具備。

其次，隱蔽性、目標(biāo)性強(qiáng)于一般病毒。Lua的使用本身代表著一種“自我保護(hù)機(jī)制”，這種語(yǔ)言不易被安全軟件檢測(cè)到。Remsec的許多功能被植入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，通常藏身于用戶緩存而非硬盤中，因此極難被發(fā)現(xiàn)。據(jù)統(tǒng)計(jì)，盡管各國(guó)安全檢測(cè)機(jī)構(gòu)不斷升級(jí)過(guò)濾系統(tǒng)，但像Remsec這樣的高級(jí)精準(zhǔn)間諜軟件，業(yè)界每年只能追查出一兩個(gè)?？ò退够鶎?duì)此回應(yīng)，盡管他們已然掌握對(duì)方的特點(diǎn)和路線，但這很可能是障眼法，“神行客”背后的資源要比想象的強(qiáng)大。

另外，目前發(fā)現(xiàn)的被“神行客”攻擊的機(jī)構(gòu)大多集中于政府部門、科學(xué)研究中心、軍事實(shí)體、電信運(yùn)營(yíng)商及金融機(jī)構(gòu)、企業(yè)IT系統(tǒng)等，通過(guò)監(jiān)測(cè)這些受感染的網(wǎng)站，開(kāi)啟受損系統(tǒng)后門，竊取個(gè)人信息，收集情報(bào)。

美政府是黑客軟件最大購(gòu)買方

據(jù)英國(guó)路透社早前報(bào)道，一直以來(lái)，美國(guó)政府才是黑客軟件的最大購(gòu)買方，美國(guó)情報(bào)機(jī)構(gòu)和國(guó)防部每年花費(fèi)巨資用于購(gòu)買商用計(jì)算機(jī)系統(tǒng)。NSA局長(zhǎng)基思·亞歷山大將軍曾表示，美國(guó)政府每年花費(fèi)數(shù)十億美元研制網(wǎng)絡(luò)防御和構(gòu)造日益復(fù)雜的網(wǎng)絡(luò)武器，“旨在必要時(shí)，對(duì)外國(guó)計(jì)算器網(wǎng)絡(luò)發(fā)動(dòng)進(jìn)攻?！?/p>

多個(gè)美國(guó)聯(lián)邦政府機(jī)構(gòu)——國(guó)防部、國(guó)土安全部、美國(guó)宇航局、國(guó)家安全局曾參加過(guò)名為“防御態(tài)勢(shì)”的年度黑客大會(huì)。意在為政府招募黑客人才，國(guó)家安全局網(wǎng)絡(luò)防御的負(fù)責(zé)人表示：“我們需要把最優(yōu)秀、最聰明的人變成隨時(shí)應(yīng)戰(zhàn)的網(wǎng)絡(luò)武士。”但除了強(qiáng)化網(wǎng)絡(luò)安全任務(wù)之外，國(guó)家安全局對(duì)暗中從事的網(wǎng)絡(luò)間諜和其他的攻擊性活動(dòng)，在公開(kāi)場(chǎng)合幾乎只字不提。

讓人們憂慮的是美國(guó)政府在“棱鏡”曝光后仍一意孤行，越走越遠(yuǎn)。美國(guó)政府利用龐大的信息優(yōu)勢(shì)，可直接進(jìn)入美國(guó)國(guó)際網(wǎng)絡(luò)公司的中心服務(wù)器里挖掘數(shù)據(jù)、收集情報(bào)。同時(shí)，美國(guó)分布了絕大部分全球互聯(lián)網(wǎng)根服務(wù)器，并擁有全球最強(qiáng)大的互聯(lián)網(wǎng)產(chǎn)業(yè)及壟斷市場(chǎng)，網(wǎng)絡(luò)霸權(quán)濫用陰影一直籠罩其他各國(guó)。

對(duì)于美國(guó)黑客的戰(zhàn)略性入侵行徑，各國(guó)政府安全機(jī)構(gòu)都作出了相應(yīng)的對(duì)戰(zhàn)措施，在緊抓本國(guó)網(wǎng)絡(luò)核心信息安全的基礎(chǔ)上，量體裁衣，制定發(fā)揮本土網(wǎng)絡(luò)優(yōu)勢(shì)的防衛(wèi)方案。

日本、韓國(guó)等國(guó)家，早已組建“網(wǎng)絡(luò)軍隊(duì)”，成立專門的“網(wǎng)絡(luò)武裝力量”，以防備黑客攻擊，加強(qiáng)保護(hù)機(jī)密信息的能力。每年劃撥巨額的國(guó)防經(jīng)費(fèi)，用以研發(fā)和改進(jìn)實(shí)施網(wǎng)絡(luò)戰(zhàn)的核心技術(shù)。英國(guó)、俄羅斯、印度等國(guó)也紛紛加入“招募黑客”行動(dòng)，網(wǎng)絡(luò)部隊(duì)黑客優(yōu)先，政府看重技術(shù)和智商優(yōu)于常人的網(wǎng)絡(luò)精英，計(jì)劃把這些人才和技術(shù)快速轉(zhuǎn)變?yōu)檐娛掠猛尽?/p>

面對(duì)網(wǎng)絡(luò)霸權(quán)國(guó)的時(shí)時(shí)挑釁壓力，深感鄰國(guó)網(wǎng)絡(luò)安全系統(tǒng)積極構(gòu)建的促動(dòng)，中國(guó)網(wǎng)絡(luò)安全和信息國(guó)產(chǎn)化步伐也在不斷加快，第四屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)于8月16日召開(kāi)，大會(huì)以“協(xié)同聯(lián)動(dòng)，共建安全+命運(yùn)共同體”為主題，并首次舉辦四國(guó)多邊閉門論壇，邀請(qǐng)多國(guó)軍方代表討論國(guó)家間網(wǎng)絡(luò)空間安全，引領(lǐng)國(guó)家網(wǎng)絡(luò)信息安全走向。

（綜合摘編自《國(guó)際先驅(qū)導(dǎo)報(bào)》《環(huán)球》）