这两天,NSA被黑事件,或者叫方程式事件,或者叫The Shadow Brokers(国内有媒体将之译作“影子经纪人”)事件仍在如火如荼地发酵中。很多小伙伴恐怕都已经看过了大量报道。如果你错过了本次事件的诸多细节也没关系,这篇文章将为各位梳理NSA被黑事件的来龙去脉,以及最近被人们时长提起的热门词汇,究竟都是什么意思。
问题一:究竟是谁被黑了?
上周,一群黑客宣称侵入NSA,也就是美国国家安全局——其实只看“NSA被黑”这几个字就已经足够震撼了。NSA就是前两年棱镜门事件的主角,这个机构隶属于美国国防部,是美国政府机构中最大的情报部门。当年棱镜门事件爆发,前NSA雇员Edward Snowden公开了大量令人瞠目结舌的NSA内部文档,剑指NSA通过各种手段,甚至和科技企业合作的方式,大肆监听美国国民的网络活动,且触角也延伸到国外。
而这次居然是NSA被黑了,被黑的目标具体是NSA的 方程式组织(Equation Group) 。这个方程式组织究竟是个啥组织呢?早在2015年2月份,卡巴斯基实验室就公布了一份研究报告,指出NSA自2001年以来,内部就存在一个黑客组织。卡巴斯基将该组织命名为方程式组织。
方程式的特色在于,采用“复杂的”0-day恶意程序,以各行各业为目标发起情报刺探活动。据卡巴斯基的报告所说,方程式组织结合了各种复杂且高端的战略战术、技术和高度一致化的作业流程。该组织内部有诸多复杂的入侵工具——据说这些工具是需要花大量精力才能开发出来的。
当时卡巴斯基对方程式组织的评价相当“高”: 这个秘密组织所用技术的复杂性和精制性“超越任何已知情报” 。比如说赫赫有名的Stuxnet震网和Flame火焰病毒在出现之前,其中涉及到的0day漏洞就已经为方程式所用了——而方程式与这些恶意活动的幕后推手也有联系。比如2008年就已经在用的FANNY恶意程序,震网的新型变体也是到2009年和2010年才用上的。
方程式的触角可能波及到全球范围内超过30个国家数万(even tens of thousands)受害者。方程式“特别照顾”的领域主要包括了政府和外交机关、通讯、航空航天、能源、石油、军队、纳米技术、核研究、大众传媒、交通、金融、开发加密技术的企业、穆斯林等。对方程式感兴趣的同学可以 点击这里 ,阅读卡巴斯基的报告。
这么牛掰的一个APT组织,竟然被别人给黑了!?
问题二:究竟被谁黑了?
侵入方程式内部的黑客组织名为 The Shadow Brokers—— 这其实就是目前我们已经掌握的攻击者的全部确切信息,名称“The Shadow Brokers”。
问题三:侵入目的是什么?
前面我们就提到了,方程式内部开发了各种高端的情报窃取工具,而且绝大部分还是利用各类产品,包括安全产品的0-day漏洞来入侵的。所以The Shadow Brokers在侵入NSA方程式组织内部之后,窃取了这家组织的大量工具,确切地说是本月13日就将其中大量文件公布到了网上(GitHub和Tumblr之上,不过目前都已经被删),包括恶意程序、黑客攻击工具、漏洞利用等。
不过The Shadow Brokers将这些工具分成了两部分,其中一部分提供免费下载试用,还有一部分(据说是剩余40%的best files)则明码标价出售,售价100万比特币(约合5.78亿美元,搞笑啊!收购一家公司也就这点钱)。GitHub很快就删除了相关页面,然而有趣的是,删除的原因并不是政府施压,而是GitHub的政策不允许对盗窃资产标价出售。
从这个明面的行为来看,我们是否可以认为,The Shadow Brokers的目的其实是为了钱呢?
事情发展到这个地步,安全从业人员最想知道的,其实是The Shadow Brokers公布的这些文件是不是真的,是否可靠。这件事在随后几天的发酵中,才让人感觉异常恐怖。首先是卡巴斯基出面确认,这些文件绝对是真实有效的(国外媒体的用词是legitimate),而且从种种迹象看来,的确和方程式组织相关。