“想哭”勒索軟件肆虐全球幾天后，幕后黑手追查終于稍有眉目：網(wǎng)絡(luò)安全公司俄羅斯卡巴斯基實(shí)驗(yàn)室和美國(guó)賽門鐵克公司15日表示，這個(gè)勒索軟件可能與一個(gè)叫“拉扎勒斯”的黑客組織有關(guān)，在這次網(wǎng)絡(luò)攻擊中，他們利用從此前泄露的美國(guó)國(guó)家安全局(NSA)網(wǎng)絡(luò)武器庫(kù)中的黑客工具“永恒之藍(lán)”制作了惡意勒索軟件。

路透社曾援引美國(guó)聯(lián)邦政府公布的數(shù)據(jù)以及情報(bào)部門官員的話報(bào)道稱，美國(guó)90%的網(wǎng)絡(luò)項(xiàng)目開支用于研發(fā)黑客攻擊武器，各種攻擊武器可侵入“敵人”的電腦網(wǎng)絡(luò)、監(jiān)聽民眾、令基礎(chǔ)設(shè)施癱瘓或受阻。網(wǎng)絡(luò)安全專家指責(zé)，美國(guó)斥巨資研發(fā)黑客攻擊工具而非自衛(wèi)機(jī)制，造成全球網(wǎng)絡(luò)環(huán)境“更不安全”。

“勒索軟件不是由美國(guó)國(guó)安局開發(fā)，而是由犯罪團(tuán)伙開發(fā)，可能是犯罪分子，也可能是外國(guó)政府?！泵绹?guó)總統(tǒng)國(guó)土安全與反恐助理博塞特15日回應(yīng)“想哭”勒索軟件事件時(shí)說，但他回避了美國(guó)情報(bào)機(jī)構(gòu)外泄的黑客工具是否會(huì)在未來導(dǎo)致更多網(wǎng)絡(luò)攻擊的問題。

實(shí)際上，引發(fā)此次勒索軟件肆虐的NSA網(wǎng)絡(luò)武器庫(kù)泄露早于去年8月就被披露出來。當(dāng)時(shí)，一個(gè)名叫“影子中間人”的黑客組織宣稱已攻入NSA下屬的“方程式組織”黑客組織，盜取其網(wǎng)絡(luò)武器庫(kù)。“影子中間人”通過社交平臺(tái)泄露其中部分黑客工具和數(shù)據(jù)，并以100萬個(gè)比特幣(價(jià)值約為5.68億美元)的高價(jià)公開拍賣完整數(shù)據(jù)包，但叫賣沒有引起回應(yīng)和廣泛的關(guān)注，最終流拍。

此后，“影子中間人”幾次嘗試出售NSA網(wǎng)絡(luò)武器庫(kù)都沒有成功，其最近一次曝光NSA網(wǎng)絡(luò)武器的信息發(fā)布于今年4月中旬，該組織稱NSA曾入侵國(guó)際銀行系統(tǒng)，以監(jiān)控一些中東和拉丁美洲銀行之間的資金流動(dòng)。NSA網(wǎng)絡(luò)武器庫(kù)黑客工具“永恒之藍(lán)”據(jù)信就是由“影子中間人”泄露的。

盡管“影子中間人”牟利的目的未能實(shí)現(xiàn)，但其盜取的黑客工具源自NSA的說法卻被認(rèn)為可靠性很高。去年“影子中間人”公布部分黑客工具和數(shù)據(jù)時(shí)，“棱鏡門”事件曝光者斯諾登就提供了一份NSA“惡意軟件植入操作手冊(cè)”，佐證“影子中間人”叫賣的網(wǎng)絡(luò)武器攜帶NSA的虛擬指紋。例如，NSA“惡意軟件植入操作手冊(cè)”指導(dǎo)操作人員在使用一個(gè)惡意軟件程序SECONDDATE時(shí)，需要借助一個(gè)特殊的16位字符串“ace02468bdf13579”，而“影子中間人”泄露的幾十個(gè)黑客工具中，工具SECONDDATE就在其中，其相關(guān)代碼更是大量包含這一字符串。

提到NSA網(wǎng)絡(luò)武器庫(kù)，就繞不開“方程式組織”。這個(gè)黑客組織被認(rèn)為是NSA一個(gè)“不愿承認(rèn)”的部門，近似“奇幻熊”黑客組織之于俄羅斯。在2015年被卡巴斯基實(shí)驗(yàn)室“抓現(xiàn)行”之前，“方程式組織”隱秘地活躍了15年之久。媒體報(bào)道稱，由于惡意軟件開發(fā)、行動(dòng)技術(shù)突破和對(duì)目標(biāo)封鎖所花費(fèi)的時(shí)間、金錢均由國(guó)家資助，項(xiàng)目資源幾乎不受限，“方程式組織”得以成為全球“最牛”的黑客組織。

在卡巴斯基實(shí)驗(yàn)室此前公布的“方程式組織”制造的42個(gè)國(guó)家范圍內(nèi)的500次感染中，伊朗、俄羅斯、巴基斯坦、阿富汗、印度、敘利亞、馬里名列前茅。由于惡意軟件內(nèi)置自毀機(jī)制，“方程式組織”的攻擊很難被追蹤，因此此次武器庫(kù)泄露的黑客工具和此前暴露的一些攻擊手法，僅能代表NSA網(wǎng)絡(luò)武器庫(kù)的冰山一角。

部分NSA網(wǎng)絡(luò)武器

NSA下屬“方程式組織”由卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)并命名，名字來源于他們?cè)诰W(wǎng)絡(luò)攻擊中對(duì)使用強(qiáng)大加密方法的偏好。在此前的網(wǎng)絡(luò)攻擊中，他們?cè)褂萌湎x病毒、硬盤病毒、間諜軟件、基于網(wǎng)絡(luò)展開攻擊等多種攻擊手法。

Fanny蠕蟲病毒

Fanny蠕蟲病毒是最厲害的蠕蟲病毒，可以入侵有網(wǎng)閘隔離的網(wǎng)絡(luò)。Fanny蠕蟲病毒使用了一種獨(dú)特的基于USB的控制機(jī)制，主要通過U盤感染來實(shí)現(xiàn)。

U盤中有一個(gè)隱藏存儲(chǔ)區(qū)域可收集來自被隔離網(wǎng)絡(luò)的基本系統(tǒng)信息，當(dāng)感染蠕蟲病毒的U盤被插入后，在聯(lián)網(wǎng)狀態(tài)下，可立即將收集到的信息發(fā)送給攻擊者;如果攻擊者想要對(duì)被網(wǎng)閘隔離的網(wǎng)絡(luò)環(huán)境運(yùn)行指令，他們可把指令通過蠕蟲病毒存儲(chǔ)在U盤的隱蔽空間，當(dāng)U盤被插入目標(biāo)電腦后，蠕蟲病毒會(huì)自動(dòng)識(shí)別并運(yùn)行指令。

“震網(wǎng)”病毒

據(jù)報(bào)道，“震網(wǎng)”是首個(gè)專門針對(duì)工業(yè)控制系統(tǒng)編寫的破壞性病毒，其中含有Fanny蠕蟲病毒的漏洞入侵技術(shù)，能夠利用對(duì)Windows系統(tǒng)和西門子SIMATIC WinCC系統(tǒng)的7個(gè)漏洞進(jìn)行攻擊，據(jù)稱由美國(guó)與以色列政府共同研發(fā)。

“震網(wǎng)”病毒結(jié)構(gòu)異常復(fù)雜、隱蔽性超強(qiáng)，在電腦操作員將被病毒感染的U盤插入U(xiǎn)SB接口后，這種病毒就會(huì)在不需要任何操作的情況下，取得工業(yè)電腦系統(tǒng)控制權(quán)。

在對(duì)伊朗核設(shè)施的攻擊中，該病毒突然更改了離心機(jī)中的發(fā)動(dòng)機(jī)轉(zhuǎn)速，這種突然的改變足以摧毀離心機(jī)運(yùn)轉(zhuǎn)能力且無法修復(fù)，且在離心機(jī)失控后，病毒仍向控制室發(fā)出“工作正常”的報(bào)告，令離心機(jī)在“神不知鬼不覺”的情況下被摧毀。

間諜軟件

Regin間諜工具是賽門鐵克公司2014年發(fā)現(xiàn)的一款先進(jìn)的隱形惡意軟件，可躲避常規(guī)反病毒軟件檢測(cè)。該惡意軟件被指從2008年起就用于監(jiān)視政府、公司和個(gè)人，被認(rèn)為與NSA關(guān)聯(lián)。

賽門鐵克公司指出，Regin間諜工具使用了多項(xiàng)隱形技術(shù)，需要投入大量時(shí)間和資源，間接表明其是一個(gè)“國(guó)家”所開發(fā)的產(chǎn)品。Regin惡意軟件允許黑客發(fā)起一系列的遠(yuǎn)程木馬攻擊，包括竊取用戶密碼和數(shù)據(jù)，截獲用戶鼠標(biāo)點(diǎn)擊功能，從被感染的計(jì)算機(jī)上捕捉截圖，以及監(jiān)控網(wǎng)絡(luò)流量、從Exchange數(shù)據(jù)庫(kù)里分析電子郵件等。

硬盤病毒

卡巴斯基實(shí)驗(yàn)室的一份報(bào)告曾披露，NSA可能在硬盤固件中植入了病毒，改寫受感染計(jì)算機(jī)的硬盤固件。

報(bào)告稱，由于病毒被寫入固件，因此在硬盤通電之后就能激活病毒。這款惡意固件創(chuàng)建了一個(gè)秘密的信息存儲(chǔ)庫(kù)，能有效防止軍隊(duì)級(jí)別的磁盤擦除和重新格式化，使從受害者處竊得的敏感數(shù)據(jù)即便在重新格式化驅(qū)動(dòng)、重裝操作系統(tǒng)后仍然可用。

PHP入侵代碼

“方程式組織”曾被發(fā)現(xiàn)利用惡意PHP入侵代碼攻擊Oracle的Java軟件框架或IE瀏覽器中的漏洞，范圍涉及從科技產(chǎn)品測(cè)評(píng)到伊斯蘭圣戰(zhàn)組織論壇的各類網(wǎng)站。這種入侵有著如外科手術(shù)般的精準(zhǔn)性，可以保證僅有一個(gè)特定目標(biāo)遭到感染。在一個(gè)入侵案例中，“方程式組織”PHP腳本還特別留意避免感染約旦、土耳其和埃及的IP地址。(記者 溫俊華 編譯)