美國國家安全局

中招“想哭”勒索軟件的電腦界面。

“想哭”勒索軟件肆虐全球幾天后，幕后黑手追查終於稍有眉目：網絡安全公司俄羅斯卡巴斯基實驗室和美國賽門鐵克公司15日表示，這個勒索軟件可能與一個叫“拉扎勒斯”的黑客組織有關，在這次網絡攻擊中，他們利用從此前泄露的美國國家安全局（NSA）網絡武器庫中的黑客工具“永恆之藍”制作了惡意勒索軟件。

路透社曾援引美國聯邦政府公布的數據以及情報部門官員的話報道稱，美國90％的網絡項目開支用於研發黑客攻擊武器，各種攻擊武器可侵入“敵人”的電腦網絡、監聽民眾、令基礎設施癱瘓或受阻。網絡安全專家指責，美國斥巨資研發黑客攻擊工具而非自衛機制，造成全球網絡環境“更不安全”。

“勒索軟件不是由美國國安局開發，而是由犯罪團伙開發，可能是犯罪分子，也可能是外國政府。”美國總統國土安全與反恐助理博塞特15日回應“想哭”勒索軟件事件時說，但他回避了美國情報機構外泄的黑客工具是否會在未來導致更多網絡攻擊的問題。

實際上，引發此次勒索軟件肆虐的NSA網絡武器庫泄露早於去年8月就被披露出來。當時，一個名叫“影子中間人”的黑客組織宣稱已攻入NSA下屬的“方程式組織”黑客組織，盜取其網絡武器庫。“影子中間人”通過社交平台泄露其中部分黑客工具和數據，並以100萬個比特幣（價值約為5.68億美元）的高價公開拍賣完整數據包，但叫賣沒有引起回應和廣泛的關注，最終流拍。

此后，“影子中間人”幾次嘗試出售NSA網絡武器庫都沒有成功，其最近一次曝光NSA網絡武器的信息發布於今年4月中旬，該組織稱NSA曾入侵國際銀行系統，以監控一些中東和拉丁美洲銀行之間的資金流動。NSA網絡武器庫黑客工具“永恆之藍”據信就是由“影子中間人”泄露的。

盡管“影子中間人”牟利的目的未能實現，但其盜取的黑客工具源自NSA的說法卻被認為可靠性很高。去年“影子中間人”公布部分黑客工具和數據時，“棱鏡門”事件曝光者斯諾登就提供了一份NSA“惡意軟件植入操作手冊”，佐証“影子中間人”叫賣的網絡武器攜帶NSA的虛擬指紋。例如，NSA“惡意軟件植入操作手冊”指導操作人員在使用一個惡意軟件程序SECONDDATE時，需要借助一個特殊的16位字符串“ace02468bdf13579”，而“影子中間人”泄露的幾十個黑客工具中，工具SECONDDATE就在其中，其相關代碼更是大量包含這一字符串。

提到NSA網絡武器庫，就繞不開“方程式組織”。這個黑客組織被認為是NSA一個“不願承認”的部門，近似“奇幻熊”黑客組織之於俄羅斯。在2015年被卡巴斯基實驗室“抓現行”之前，“方程式組織”隱秘地活躍了15年之久。媒體報道稱，由於惡意軟件開發、行動技術突破和對目標封鎖所花費的時間、金錢均由國家資助，項目資源幾乎不受限，“方程式組織”得以成為全球“最牛”的黑客組織。

在卡巴斯基實驗室此前公布的“方程式組織”制造的 42 個國家范圍內的500 次感染中，伊朗、俄羅斯、巴基斯坦、阿富汗、印度、敘利亞、馬裡名列前茅。由於惡意軟件內置自毀機制，“方程式組織”的攻擊很難被追蹤，因此此次武器庫泄露的黑客工具和此前暴露的一些攻擊手法，僅能代表NSA網絡武器庫的冰山一角。

部分NSA網絡武器

NSA下屬“方程式組織”由卡巴斯基實驗室發現並命名，名字來源於他們在網絡攻擊中對使用強大加密方法的偏好。在此前的網絡攻擊中，他們曾使用蠕虫病毒、硬盤病毒、間諜軟件、基於網絡展開攻擊等多種攻擊手法。

Fanny蠕虫病毒

Fanny 蠕虫病毒是最厲害的蠕虫病毒，可以入侵有網閘隔離的網絡。Fanny 蠕虫病毒使用了一種獨特的基於USB 的控制機制，主要通過U盤感染來實現。

U 盤中有一個隱藏存儲區域可收集來自被隔離網絡的基本系統信息，當感染蠕虫病毒的U盤被插入后，在聯網狀態下，可立即將收集到的信息發送給攻擊者﹔如果攻擊者想要對被網閘隔離的網絡環境運行指令，他們可把指令通過蠕虫病毒存儲在U盤的隱蔽空間，當U盤被插入目標電腦后，蠕虫病毒會自動識別並運行指令。

“震網”病毒

據報道，“震網”是首個專門針對工業控制系統編寫的破壞性病毒，其中含有 Fanny 蠕虫病毒的漏洞入侵技術，能夠利用對Windows系統和西門子SIMATIC WinCC系統的7個漏洞進行攻擊，據稱由美國與以色列政府共同研發。

“震網”病毒結構異常復雜、隱蔽性超強，在電腦操作員將被病毒感染的U盤插入USB接口后，這種病毒就會在不需要任何操作的情況下，取得工業電腦系統控制權。

在對伊朗核設施的攻擊中，該病毒突然更改了離心機中的發動機轉速，這種突然的改變足以摧毀離心機運轉能力且無法修復，且在離心機失控后，病毒仍向控制室發出“工作正常”的報告，令離心機在“神不知鬼不覺”的情況下被摧毀。 間諜軟件

Regin間諜工具是賽門鐵克公司2014年發現的一款先進的隱形惡意軟件，可躲避常規反病毒軟件檢測。該惡意軟件被指從2008年起就用於監視政府、公司和個人，被認為與NSA關聯。

賽門鐵克公司指出，Regin間諜工具使用了多項隱形技術，需要投入大量時間和資源，間接表明其是一個“國家”所開發的產品。Regin惡意軟件允許黑客發起一系列的遠程木馬攻擊，包括竊取用戶密碼和數據，截獲用戶鼠標點擊功能，從被感染的計算機上捕捉截圖，以及監控網絡流量、從Exchange數據庫裡分析電子郵件等。 硬盤病毒

卡巴斯基實驗室的一份報告曾披露，NSA可能在硬盤固件中植入了病毒，改寫受感染計算機的硬盤固件。

報告稱，由於病毒被寫入固件，因此在硬盤通電之后就能激活病毒。這款惡意固件創建了一個秘密的信息存儲庫，能有效防止軍隊級別的磁盤擦除和重新格式化，使從受害者處竊得的敏感數據即便在重新格式化驅動、重裝操作系統后仍然可用。

PHP入侵代碼

“方程式組織”曾被發現利用惡意PHP入侵代碼攻擊Oracle的Java軟件框架或IE瀏覽器中的漏洞，范圍涉及從科技產品測評到伊斯蘭聖戰組織論壇的各類網站。這種入侵有著如外科手術般的精准性，可以保証僅有一個特定目標遭到感染。在一個入侵案例中，“方程式組織”PHP腳本還特別留意避免感染約旦、土耳其和埃及的 IP 地址。（記者 溫俊華 編譯）

分享讓更多人看到