美国国家安全局 方程式组织 影子经纪人 他们到底在玩什么

近期方程式组织(Equation Group)被狙击,接连爆出 NSA的黑客团队被黑了 泄露的工具及数据叫价5.68亿美金 , NSA黑客团队方程式组织(Equation Group) 泄露资料分析 涉及思科、飞塔及天融信防火墙漏洞等消息。但卡巴斯基早在2015年春节期间,发现了“方程式”的攻击。

2015年初卡巴斯基发现“方程式”黑客组织

2015年2月16日,卡巴斯基实验室披露,他们发现了一个活动了二十多年的网络犯罪组织:“方程式”。这不是一个普通的黑客集团,根据卡巴斯基的分析,该组织的攻击能力和危害程度,超过了此前我们所知道的所有犯罪团伙。

“方程式”是一个非常活跃的犯罪集团。二十年来,倒在他们枪口下的牺牲品不计其数,遍布全球四十多个国家,例如伊朗、俄罗斯、美国、德国、巴基斯坦、印度等。

中国也是“方程式”的重点目标,是感染率最高的国家之一,被卡巴斯基实验室列为重灾区。

“方程式”的攻击对象也很独特。他们的作案对象,主要是工业、军事、能源、通信、金融、政府等基础设施和重要机构。

 

 

(“方程式”受害者的地域与行业分布)

 

 

“方程式”组织庞大,攻击水平极高,多年来,他们向全世界释放了多种病毒。这些病毒各具特色,分别采用不同的传播手法,设定了不同的攻击目标,给全世界的网络安全造成了极大破坏。

例如,有多条证据表明,曾经破坏伊朗核工厂的“震网病毒”,就是“方程式”组织的一大“杰作”。

震网病毒从2005年开始开发,是当时最先进、最复杂的病毒。它被投放到伊朗核工厂之后,成功控制了工厂的生产设备,大大减少了浓缩铀的产量。震网的破坏持续了5年之久,直到2010年才被发现。其破坏后果是,由于缺少核原料,伊朗制造核武器的计划被迫流产。

因此,“方程式”不是一个普通的黑客集团。它的危害,远远超出了我们所熟悉的熊猫烧香、盗号木马等等,它所瞄准的往往是一个国家的关键设施、经济命脉。它所追求的,也不是普通病毒的窃取信息、经济诈骗,而是破坏工业生产,制造社会混乱,乃至直接打击军事设施。

事实上,卡巴斯基实验室也提供了充分证据,暗示“方程式”跟美国国家安全局、以色列情报机构、以及英国军方具有密切的联系。“方程式”很可能是美国及其盟国的一支秘密部队,可以对别的国家实施毁灭性的战略打击。

毫不夸张地说,“方程式”正在筹备的,是一场新时代的网络战争。凡是在网络对抗中处于劣势的一方,都会像伊朗一样,重要设施易手,网络控制权沦陷,处于任人宰割而毫无还手之力的境地。

 

“方程式”的攻击及相关病毒家族

要对付“方程式”,首先,要了解它是怎样发动进攻的。

作为史上最强的网络攻击组织,“方程式”拥有一个庞大而强悍的攻击武器库。传统的病毒往往是单兵作战,攻击手段单一,传播途径有限,而“方程式”动用了多种病毒工具协同作战,发动全方位立体进攻,是名副其实的最强网络攻击工具。

 

 

 

 

 

 

 

 

 

 

 

 

 

“方程式”的典型攻击路线是:首先,诱使用户点击某个网站链接。当用户上当点击后,病毒就会被下载到用户电脑、或iPhone、iPad等手持设备上。

然后,病毒会将自己隐藏到电脑硬盘之中,并将自己的藏身之处设置为不可读的,避免被杀毒软件探测到。隐藏起来的病毒,就是“方程式”攻击的核心程序:“Grayfish”。这是一个攻击平台,其它攻击武器都通过该程序展开。它会释放另一些程序,去收集用户的密码等信息,发送回Grayfish储存起来。

同时,病毒也会通过网络和USB接口传播。病毒修改了电脑和手持设备的驱动程序,一旦探测到有U盘插入,病毒就会自动传染到U盘上,并且同样把自己隐藏起来。当U盘又被插入到另一个网络,例如一个与外界隔离的工控网络,病毒就被引入到那个网络,并逐步传遍整个网络。

以上攻击方式中,尤其值得一提的,是“方程式”开创了入侵硬盘的病毒技术。当它感染用户电脑后,会修改电脑硬盘的固件程序,在硬盘扇区中开辟一块区域,将自己储存于此,并将这块区域标记为不可读。这样,无论是操作系统重装,还是硬盘格式化,都无法触及这块区域,因此也就无法删除病毒。只要硬盘仍在使用,病毒就可以永远存活下去,并感染其所在的网络、以及任何插入该电脑的U盘。

能够被“方程式”病毒修改固件程序的硬盘,包括希捷、西数、三星、迈拓等十几种主流品牌,覆盖了市面上绝大多数硬盘。因此,绝大多数电脑或手持设备,只要接触到“方程式”病毒,就会被它入侵硬盘,并且永远无法删除。

即便是物理隔绝也挡不住方程式的攻击

前面安全加社区提到,你信隔空取物吗?你以为不插网线就安全吗?DiskFiltration可以突破物理隔绝窃取数据 这里面提到一个新词儿叫空气气隙(air-gapped),其实就是物理隔绝。

“方程式”病毒另一个可怕之处,在于其特别擅长攻击隔离网络,并在隔离网络和互联网之间传送信息。所谓隔离网络,是指那些隔离开来、与互联网并不直接连通的网络。隔离网络广泛应用于工业控制之中,用以隔绝在互联网上泛滥成灾的病毒。

但在“方程式”面前,隔绝网络也并不安全。病毒会通过网络,感染某台能够上网的电脑A。当电脑A插入某个U盘时,这个U盘也会被感染。随后,当被隔离的某台电脑B需要拷贝文件,因而插入某个被感染的U盘时,电脑B也就被感染了。病毒会从电脑B以及跟它联网的其他设备中收集信息,保存到U盘上。

当这个U盘又被拿出去,接到电脑A上时,前面收集到的信息,则会通过网络传回病毒的服务器。服务器会分析通过U盘收集到的电脑B、以及电脑B所在网络的信息,发出进一步的命令,存储在U盘之中。当U盘再次插入电脑B,则那些命令将会自动执行,执行更有针对性的窃取和破坏行为。

以上动作不断重复,被病毒感染的U盘,就成了一个“桥梁”,让“方程式”组织得以盗取和控制隔绝网络。

事实上,网络隔离是一种过时的、消极的防御方法,它只是一种早期的工控安全技术。近年来,工控安全又经历了纵深防御、持续性防御等两个发展阶段,进入到最新的、攻守兼备的主动防御技术。

方程式与美国国家安全局NSA

据大名鼎鼎的泄密者爱德华·斯诺登所言,即使是美国国家安全局(NSA)也难免百密一疏。NSA人员也会偷懒,有时会将文件留在自己所黑的服务器中。

这样,某匿名团体成功获取疑为NSA的攻击工具也就不足为奇了。所窃取文件据说包括可匹敌计算机蠕虫震网(Stuxnet)的网络武器,现下正待价而沽。

黑与被黑乃是常事

周二,前NSA承包商员工斯诺登在推特上发文,称网络间谍试图黑进NSA的恶意软件测试服务器并非“前所未闻”。

斯诺登表示,NSA平常会不时黑进对手的服务器,以窃取其攻击工具。同时,NSA的这种行为可能会潜伏数年而不被察觉。

不过,斯诺登同时表示,“NSA这样做并不奇怪, 它的对手同样如此,偶尔也能成功黑进NSA。”NSA禁止其员工将攻击工具留在所黑的服务器中。“但人难免偷懒,”斯诺登如是说。

目前还不清楚工具是否确实属于NSA。匿名黑客声称,他们是从方程式(Equation Group)窃取的工具。该集团作为顶级间谍团队,或与NSA有牵连,还有可能帮助开发了震网蠕虫。

安全研究人员发现,黑客在网上贴出的样例文件包含大量针对思科、瞻博网络(Juniper Networks)、Fortinet与中国厂商天融信的防火墙与路由器产品的漏洞利用程序、植入与工具。

难以想象影子经纪人居然免费公布了防火墙的绕过漏洞利用程序

Risk Based Security的漏洞情报总监布莱恩·马丁(Brian Martin)表示,他没有想到黑客会免费提供所窃取的部分漏洞利用程序。

他说:“这些程序价值不菲,”通常黑客是绝不会免费奉送的。

马丁说,思科产品被公认为安全又稳定,所以得到广泛使用,但针对思科产品的几款程序竟能允许攻击者绕过防火墙。

Risk Based Security仍在调查这些程序的危害性以及之前是否已经做了修复,不过表示,这些窃取的攻击工具可能已经过时。

马丁说,已公布的样例文件最近日期为2013年,表明NSA可能并未遭到直接攻击。

NSA至今未对疑似数据泄露事件发表意见, 但思科在周二表示会调查这些漏洞利用程序,并称:“迄今为止,我们还未发现与此事件相关的新漏洞。”

影子经纪人为什么急于让大家知道 是出于政治目的?

然而,更可怕的是也许还有其他数据被泄露。

这次事件的主谋自称“影子经纪人”(Shadow Brokers),警告说他们还获取了其他网络武器,可对金融系统造成巨大破坏。

“我们会将最好的文件卖给出价最高的人,这些文件比震网还要厉害。”影子经纪人在黑进Github及Tumblr之后,于论坛中发表了如上言论。

安全专家怀疑影子经纪人实为国外间谍,其目的是威胁美国。

加利福利亚国际计算机科学研究院(ICSI)安全研究员尼古拉斯·韦佛(Nicholas Weaver)在一篇博客中写道:“不管是谁窃取了数据,这些人现在都急于让全世界知道。”

他和其他安全研究员注意到了拍卖时间。拍卖发生时,美国正在调查俄罗斯政府支持的黑客是否窃取了民主党全国委员会的敏感文件。

然而,影子经纪人将自己定位为反对“富裕精英阶层”的黑客行动主义者。目前,他们仍在进行拍卖,接受比特币付款。

虽然影子经纪人未对拍卖真实性做出任何保证,但据信此事不太可能只是一场骗局。周二当天,安全公司卡巴斯基实验室发现了进一步证据,表明影子经纪人从方程式窃取文件确有其事。

发表评论