“想哭”勒索軟件肆虐全球幾天后，幕后黑手追查終于稍有眉目：網(wǎng)絡(luò)安全公司俄羅斯卡巴斯基實驗室和美國賽門鐵克公司15日表示，這個勒索軟件可能與一個叫“拉扎勒斯”的黑客組織有關(guān)，在這次網(wǎng)絡(luò)攻擊中，他們利用從此前泄露的美國國家安全局(NSA)網(wǎng)絡(luò)武器庫中的黑客工具“永恒之藍(lán)”制作了惡意勒索軟件。

路透社曾援引美國聯(lián)邦政府公布的數(shù)據(jù)以及情報部門官員的話報道稱，美國90%的網(wǎng)絡(luò)項目開支用于研發(fā)黑客攻擊武器，各種攻擊武器可侵入“敵人”的電腦網(wǎng)絡(luò)、監(jiān)聽民眾、令基礎(chǔ)設(shè)施癱瘓或受阻。網(wǎng)絡(luò)安全專家指責(zé)，美國斥巨資研發(fā)黑客攻擊工具而非自衛(wèi)機制，造成全球網(wǎng)絡(luò)環(huán)境“更不安全”。

“勒索軟件不是由美國國安局開發(fā)，而是由犯罪團(tuán)伙開發(fā)，可能是犯罪分子，也可能是外國政府?！泵绹偨y(tǒng)國土安全與反恐助理博塞特15日回應(yīng)“想哭”勒索軟件事件時說，但他回避了美國情報機構(gòu)外泄的黑客工具是否會在未來導(dǎo)致更多網(wǎng)絡(luò)攻擊的問題。

實際上，引發(fā)此次勒索軟件肆虐的NSA網(wǎng)絡(luò)武器庫泄露早于去年8月就被披露出來。當(dāng)時，一個名叫“影子中間人”的黑客組織宣稱已攻入NSA下屬的“方程式組織”黑客組織，盜取其網(wǎng)絡(luò)武器庫。“影子中間人”通過社交平臺泄露其中部分黑客工具和數(shù)據(jù)，并以100萬個比特幣(價值約為5.68億美元)的高價公開拍賣完整數(shù)據(jù)包，但叫賣沒有引起回應(yīng)和廣泛的關(guān)注，最終流拍。

此后，“影子中間人”幾次嘗試出售NSA網(wǎng)絡(luò)武器庫都沒有成功，其最近一次曝光NSA網(wǎng)絡(luò)武器的信息發(fā)布于今年4月中旬，該組織稱NSA曾入侵國際銀行系統(tǒng)，以監(jiān)控一些中東和拉丁美洲銀行之間的資金流動。NSA網(wǎng)絡(luò)武器庫黑客工具“永恒之藍(lán)”據(jù)信就是由“影子中間人”泄露的。

盡管“影子中間人”牟利的目的未能實現(xiàn)，但其盜取的黑客工具源自NSA的說法卻被認(rèn)為可靠性很高。去年“影子中間人”公布部分黑客工具和數(shù)據(jù)時，“棱鏡門”事件曝光者斯諾登就提供了一份NSA“惡意軟件植入操作手冊”，佐證“影子中間人”叫賣的網(wǎng)絡(luò)武器攜帶NSA的虛擬指紋。例如，NSA“惡意軟件植入操作手冊”指導(dǎo)操作人員在使用一個惡意軟件程序SECONDDATE時，需要借助一個特殊的16位字符串“ace02468bdf13579”，而“影子中間人”泄露的幾十個黑客工具中，工具SECONDDATE就在其中，其相關(guān)代碼更是大量包含這一字符串。

提到NSA網(wǎng)絡(luò)武器庫，就繞不開“方程式組織”。這個黑客組織被認(rèn)為是NSA一個“不愿承認(rèn)”的部門，近似“奇幻熊”黑客組織之于俄羅斯。在2015年被卡巴斯基實驗室“抓現(xiàn)行”之前，“方程式組織”隱秘地活躍了15年之久。媒體報道稱，由于惡意軟件開發(fā)、行動技術(shù)突破和對目標(biāo)封鎖所花費的時間、金錢均由國家資助，項目資源幾乎不受限，“方程式組織”得以成為全球“最?！钡暮诳徒M織。

在卡巴斯基實驗室此前公布的“方程式組織”制造的42個國家范圍內(nèi)的500次感染中，伊朗、俄羅斯、巴基斯坦、阿富汗、印度、敘利亞、馬里名列前茅。由于惡意軟件內(nèi)置自毀機制，“方程式組織”的攻擊很難被追蹤，因此此次武器庫泄露的黑客工具和此前暴露的一些攻擊手法，僅能代表NSA網(wǎng)絡(luò)武器庫的冰山一角。

部分NSA網(wǎng)絡(luò)武器

NSA下屬“方程式組織”由卡巴斯基實驗室發(fā)現(xiàn)并命名，名字來源于他們在網(wǎng)絡(luò)攻擊中對使用強大加密方法的偏好。在此前的網(wǎng)絡(luò)攻擊中，他們曾使用蠕蟲病毒、硬盤病毒、間諜軟件、基于網(wǎng)絡(luò)展開攻擊等多種攻擊手法。

Fanny蠕蟲病毒

Fanny蠕蟲病毒是最厲害的蠕蟲病毒，可以入侵有網(wǎng)閘隔離的網(wǎng)絡(luò)。Fanny蠕蟲病毒使用了一種獨特的基于USB的控制機制，主要通過U盤感染來實現(xiàn)。

U盤中有一個隱藏存儲區(qū)域可收集來自被隔離網(wǎng)絡(luò)的基本系統(tǒng)信息，當(dāng)感染蠕蟲病毒的U盤被插入后，在聯(lián)網(wǎng)狀態(tài)下，可立即將收集到的信息發(fā)送給攻擊者;如果攻擊者想要對被網(wǎng)閘隔離的網(wǎng)絡(luò)環(huán)境運行指令，他們可把指令通過蠕蟲病毒存儲在U盤的隱蔽空間，當(dāng)U盤被插入目標(biāo)電腦后，蠕蟲病毒會自動識別并運行指令。

“震網(wǎng)”病毒

據(jù)報道，“震網(wǎng)”是首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒，其中含有Fanny蠕蟲病毒的漏洞入侵技術(shù)，能夠利用對Windows系統(tǒng)和西門子SIMATIC WinCC系統(tǒng)的7個漏洞進(jìn)行攻擊，據(jù)稱由美國與以色列政府共同研發(fā)。

“震網(wǎng)”病毒結(jié)構(gòu)異常復(fù)雜、隱蔽性超強，在電腦操作員將被病毒感染的U盤插入USB接口后，這種病毒就會在不需要任何操作的情況下，取得工業(yè)電腦系統(tǒng)控制權(quán)。

在對伊朗核設(shè)施的攻擊中，該病毒突然更改了離心機中的發(fā)動機轉(zhuǎn)速，這種突然的改變足以摧毀離心機運轉(zhuǎn)能力且無法修復(fù)，且在離心機失控后，病毒仍向控制室發(fā)出“工作正?！钡膱蟾?，令離心機在“神不知鬼不覺”的情況下被摧毀。

間諜軟件

Regin間諜工具是賽門鐵克公司2014年發(fā)現(xiàn)的一款先進(jìn)的隱形惡意軟件，可躲避常規(guī)反病毒軟件檢測。該惡意軟件被指從2008年起就用于監(jiān)視政府、公司和個人，被認(rèn)為與NSA關(guān)聯(lián)。

賽門鐵克公司指出，Regin間諜工具使用了多項隱形技術(shù)，需要投入大量時間和資源，間接表明其是一個“國家”所開發(fā)的產(chǎn)品。Regin惡意軟件允許黑客發(fā)起一系列的遠(yuǎn)程木馬攻擊，包括竊取用戶密碼和數(shù)據(jù)，截獲用戶鼠標(biāo)點擊功能，從被感染的計算機上捕捉截圖，以及監(jiān)控網(wǎng)絡(luò)流量、從Exchange數(shù)據(jù)庫里分析電子郵件等。

硬盤病毒

卡巴斯基實驗室的一份報告曾披露，NSA可能在硬盤固件中植入了病毒，改寫受感染計算機的硬盤固件。

報告稱，由于病毒被寫入固件，因此在硬盤通電之后就能激活病毒。這款惡意固件創(chuàng)建了一個秘密的信息存儲庫，能有效防止軍隊級別的磁盤擦除和重新格式化，使從受害者處竊得的敏感數(shù)據(jù)即便在重新格式化驅(qū)動、重裝操作系統(tǒng)后仍然可用。

PHP入侵代碼

“方程式組織”曾被發(fā)現(xiàn)利用惡意PHP入侵代碼攻擊Oracle的Java軟件框架或IE瀏覽器中的漏洞，范圍涉及從科技產(chǎn)品測評到伊斯蘭圣戰(zhàn)組織論壇的各類網(wǎng)站。這種入侵有著如外科手術(shù)般的精準(zhǔn)性，可以保證僅有一個特定目標(biāo)遭到感染。在一個入侵案例中，“方程式組織”PHP腳本還特別留意避免感染約旦、土耳其和埃及的IP地址。(記者 溫俊華 編譯)