卡巴斯基实验室的研究人员公布了这些材料的研究细节:The Shadow Brokers公开的这份数据尺寸大约是300MB,里面具体包含针对某些防火墙产品的漏洞利用,黑客工具和脚本,工具名称如BANANAUSURPER、BLATSTING、BUZZDIRECTION。不过这些文件都至少有3年的历史了,最新的时间戳所标的时间点是在2013年10月。
那么究竟凭什么说跟方程式有关呢?卡巴斯基实验室有提到:“虽然我们无法确定攻击者的身份或者动机,也不知道这些工具是从哪里或者怎么得来的,但我们可以明确,泄露的数百款工具,和方程式组织绝对有密切的关联。”
The Shadow Brokers公布的文档中大约有超过300个文件,采用RC5和RC6加密算法作为通用策略,手法和方程式如出一辙。
“其代码相似性让我们高度确认,The Shadow Brokers泄露的工具和方程式的恶意程序的确是有关联的。”上图比对的就是早期方程式RC6代码,和这次The Shadow Brokers泄露文档中的代码,相同的函数、约束条件,还有些比较罕见的特征都很能说明问题。
除了卡巴斯基之外,NSA另一个神秘组织TAO(特定入侵行动办公室)的前员工也认为这些工具和方程式所用的工具一样。华盛顿邮报也已经对此进行了报道。
上周五,The Intercept公布了新一轮的Snowden泄密文档,其中有许多工具与本次泄露的工具存在很强的关联,这些都是证据:比如说Snowden披露的文档中包含一款SECONDDATE利用工具,这个工具可在网络层干涉web请求,并将之重定向至FOXACID服务器,“ 操作手册 ”第28页提到,NSA雇员必须使用ID,来标记发往FOXACID服务器的受害者,里面提到ID为ace20468bdf13579,这个ID就在本次The Shadow Brokers泄露的14个不同的文件中有出现。
泄露的这些工具究竟可以用来做什么,我们还可以稍举一些例子,比如说安全研究人员测试了EXTRABACON利用工具,确认利用这款工具,在不需要提供有效身份凭证的情况下,就可以访问思科防火墙:这款工具利用Cisco ASA软件SNMP协议中的0-day漏洞(CVE-2016-6366),可致“未经授权的远程攻击者”完全控制设备。
此外,还有利用思科一些更早漏洞的0-day利用工具,比如利用思科CVE-2016-6367漏洞的,这个漏洞存在于Cisco ASA软件的命令行界面解析器中,可致未经授权的本地攻击者构造DoS攻击条件,以及存在执行任意代码的风险——泄露的EPICBANANA以及JETPLOW工具都利用了该漏洞。
再举个例子,其中还有一款工具能够解密思科PIX VPN流量,并在主板固件中植入恶意程序,这种攻击方式几乎无法检测到,也没法删除…这些工具波及到的安全厂商包括了思科、Juniper、Fortinet等。尤为值得一提的是,泄露文档中也包含针对国内天融信防火墙产品的漏洞利用。思科实际上也第一时间确认了这些漏洞的存在,并发布了相应的补丁——想一想,前文提到这些泄露文件的时间戳至少也是3年前的,可想而知这些0day漏洞有多0day。
据说方程式利用这些工具,针对思科、Fortinet等安全企业的客户进行监听,已经有至少10年时间。FreeBuf最近也发了几篇有关解析泄露文档的文章,像是这一篇:《 NSA(美国国安局)泄漏文件深度分析(PART 1) 》,这些其实都是表现方程式有多恐怖的。
问题四:真的是为了100万比特币?
有关这个问题,业内观点众所纷纭。要解答这个问题,这就得摸清发起本次攻击的幕后主使究竟是谁了,目前比较主流的说法有两种, 其一此次事件就是NSA内部人员所为(老外的用词是insider’s job) ——业界著名的Matt Suiche就是这么认为的,他说他和前NSA TAO雇员就此事聊了聊。他在博客中是这么写的:
“这次泄露的文件实际上也包含了NSA TAO工具套装,这些工具原本是储存在被物理隔离的网络上的,根本就不会接触到互联网。”
“那些文件根本就没有理由放在staging server服务器上,除非有人故意这么做。文件层级关系,还有文件名都没变,这应该表明这些文件是直接从源复制过来的。”