?

Aug 25 2016

真相依舊撲朔迷離:5大問題回顧NSA被黑事件

首頁 » 業界見聞 » 真相依舊撲朔迷離:5大問題回顧NSA被黑事件   

這兩天,NSA被黑事件,或者叫方程式事件,或者叫The Shadow Brokers(國內有媒體將之譯作“影子經紀人”)事件仍在如火如荼地發酵中。很多小伙伴恐怕都已經看過了大量報道。如果你錯過了本次事件的諸多細節也沒關系,這篇文章將為各位梳理NSA被黑事件的來龍去脈,以及最近被人們時長提起的熱門詞匯,究竟都是什么意思。

問題一:究竟是誰被黑了?

上周,一群黑客宣稱侵入NSA,也就是美國國家安全局——其實只看“NSA被黑”這幾個字就已經足夠震撼了。NSA就是前兩年棱鏡門事件的主角,這個機構隸屬于美國國防部,是美國政府機構中最大的情報部門。當年棱鏡門事件爆發,前NSA雇員Edward Snowden公開了大量令人瞠目結舌的NSA內部文檔,劍指NSA通過各種手段,甚至和科技企業合作的方式,大肆監聽美國國民的網絡活動,且觸角也延伸到國外。

而這次居然是NSA被黑了,被黑的目標具體是NSA的方程式組織(Equation Group)。這個方程式組織究竟是個啥組織呢?早在2015年2月份,卡巴斯基實驗室就公布了一份研究報告,指出NSA自2001年以來,內部就存在一個黑客組織。卡巴斯基將該組織命名為方程式組織

1.jpg

 

方程式的特色在于,采用“復雜的”0-day惡意程序,以各行各業為目標發起情報刺探活動。據卡巴斯基的報告所說,方程式組織結合了各種復雜且高端的戰略戰術、技術和高度一致化的作業流程。該組織內部有諸多復雜的入侵工具——據說這些工具是需要花大量精力才能開發出來的。

當時卡巴斯基對方程式組織的評價相當“高”:這個秘密組織所用技術的復雜性和精制性“超越任何已知情報”。比如說赫赫有名的Stuxnet震網和Flame火焰病毒在出現之前,其中涉及到的0day漏洞就已經為方程式所用了——而方程式與這些惡意活動的幕后推手也有聯系。比如2008年就已經在用的FANNY惡意程序,震網的新型變體也是到2009年和2010年才用上的。

2.jpg

 

方程式的觸角可能波及到全球范圍內超過30個國家數萬(even tens of thousands)受害者。方程式“特別照顧”的領域主要包括了政府和外交機關、通訊、航空航天、能源、石油、軍隊、納米技術、核研究、大眾傳媒、交通、金融、開發加密技術的企業、穆斯林等。對方程式感興趣的同學可以點擊這里,閱讀卡巴斯基的報告。

這么牛掰的一個APT組織,竟然被別人給黑了!?

問題二:究竟被誰黑了?

侵入方程式內部的黑客組織名為The Shadow Brokers——這其實就是目前我們已經掌握的攻擊者的全部確切信息,名稱“The Shadow Brokers”。

問題三:侵入目的是什么?

前面我們就提到了,方程式內部開發了各種高端的情報竊取工具,而且絕大部分還是利用各類產品,包括安全產品的0-day漏洞來入侵的。所以The Shadow Brokers在侵入NSA方程式組織內部之后,竊取了這家組織的大量工具,確切地說是本月13日就將其中大量文件公布到了網上(GitHub和Tumblr之上,不過目前都已經被刪),包括惡意程序、黑客攻擊工具、漏洞利用等。

不過The Shadow Brokers將這些工具分成了兩部分,其中一部分提供免費下載試用,還有一部分(據說是剩余40%的best files)則明碼標價出售,售價100萬比特幣(約合5.78億美元,搞笑啊!收購一家公司也就這點錢)。GitHub很快就刪除了相關頁面,然而有趣的是,刪除的原因并不是政府施壓,而是GitHub的政策不允許對盜竊資產標價出售。

從這個明面的行為來看,我們是否可以認為,The Shadow Brokers的目的其實是為了錢呢?

 

3.jpg

 

 

事情發展到這個地步,安全從業人員最想知道的,其實是The Shadow Brokers公布的這些文件是不是真的,是否可靠。這件事在隨后幾天的發酵中,才讓人感覺異常恐怖。首先是卡巴斯基出面確認,這些文件絕對是真實有效的(國外媒體的用詞是legitimate),而且從種種跡象看來,的確和方程式組織相關。

卡巴斯基實驗室的研究人員公布了這些材料的研究細節:The Shadow Brokers公開的這份數據尺寸大約是300MB,里面具體包含針對某些防火墻產品的漏洞利用,黑客工具和腳本,工具名稱如BANANAUSURPER、BLATSTING、BUZZDIRECTION。不過這些文件都至少有3年的歷史了,最新的時間戳所標的時間點是在2013年10月。

那么究竟憑什么說跟方程式有關呢?卡巴斯基實驗室有提到:“雖然我們無法確定攻擊者的身份或者動機,也不知道這些工具是從哪里或者怎么得來的,但我們可以明確,泄露的數百款工具,和方程式組織絕對有密切的關聯。”

The Shadow Brokers公布的文檔中大約有超過300個文件,采用RC5和RC6加密算法作為通用策略,手法和方程式如出一轍。

4.jpg

 

“其代碼相似性讓我們高度確認,The Shadow Brokers泄露的工具和方程式的惡意程序的確是有關聯的。”上圖比對的就是早期方程式RC6代碼,和這次The Shadow Brokers泄露文檔中的代碼,相同的函數、約束條件,還有些比較罕見的特征都很能說明問題。

除了卡巴斯基之外,NSA另一個神秘組織TAO(特定入侵行動辦公室)的前員工也認為這些工具和方程式所用的工具一樣。華盛頓郵報也已經對此進行了報道。

5.jpg

 

 

上周五,The Intercept公布了新一輪的Snowden泄密文檔,其中有許多工具與本次泄露的工具存在很強的關聯,這些都是證據:比如說Snowden披露的文檔中包含一款SECONDDATE利用工具,這個工具可在網絡層干涉web請求,并將之重定向至FOXACID服務器,“操作手冊”第28頁提到,NSA雇員必須使用ID,來標記發往FOXACID服務器的受害者,里面提到ID為ace20468bdf13579,這個ID就在本次The Shadow Brokers泄露的14個不同的文件中有出現。

泄露的這些工具究竟可以用來做什么,我們還可以稍舉一些例子,比如說安全研究人員測試了EXTRABACON利用工具,確認利用這款工具,在不需要提供有效身份憑證的情況下,就可以訪問思科防火墻:這款工具利用Cisco ASA軟件SNMP協議中的0-day漏洞(CVE-2016-6366),可致“未經授權的遠程攻擊者”完全控制設備。

此外,還有利用思科一些更早漏洞的0-day利用工具,比如利用思科CVE-2016-6367漏洞的,這個漏洞存在于Cisco ASA軟件的命令行界面解析器中,可致未經授權的本地攻擊者構造DoS攻擊條件,以及存在執行任意代碼的風險——泄露的EPICBANANA以及JETPLOW工具都利用了該漏洞。

 

7.jpg

 

 

再舉個例子,其中還有一款工具能夠解密思科PIX VPN流量,并在主板固件中植入惡意程序,這種攻擊方式幾乎無法檢測到,也沒法刪除…這些工具波及到的安全廠商包括了思科、Juniper、Fortinet等。尤為值得一提的是,泄露文檔中也包含針對國內天融信防火墻產品的漏洞利用。思科實際上也第一時間確認了這些漏洞的存在,并發布了相應的補丁——想一想,前文提到這些泄露文件的時間戳至少也是3年前的,可想而知這些0day漏洞有多0day。

據說方程式利用這些工具,針對思科、Fortinet等安全企業的客戶進行監聽,已經有至少10年時間。FreeBuf最近也發了幾篇有關解析泄露文檔的文章,像是這一篇:《NSA(美國國安局)泄漏文件深度分析(PART 1)》,這些其實都是表現方程式有多恐怖的。

問題四:真的是為了100萬比特幣?

有關這個問題,業內觀點眾所紛紜。要解答這個問題,這就得摸清發起本次攻擊的幕后主使究竟是誰了,目前比較主流的說法有兩種,其一此次事件就是NSA內部人員所為(老外的用詞是insider’s job)——業界著名的Matt Suiche就是這么認為的,他說他和前NSA TAO雇員就此事聊了聊。他在博客中是這么寫的:

“這次泄露的文件實際上也包含了NSA TAO工具套裝,這些工具原本是儲存在被物理隔離的網絡上的,根本就不會接觸到互聯網。”

“那些文件根本就沒有理由放在staging server服務器上,除非有人故意這么做。文件層級關系,還有文件名都沒變,這應該表明這些文件是直接從源復制過來的。”

不過Snowden卻不這么看,Snowden有在Twitter上就此事特別發聲,他認為這件事是“俄羅斯對美國的回應”,雖然這個“回應”有點兒讓人摸不著頭腦,據說是針對先前美國譴責俄羅斯有關DNC民主黨國家委員會入侵一事(Lol)。前兩周,維基泄密公布了大量來自DNC(還有另外針對DCCC民主黨國會競選委員會的)的內部文檔,美國多家安全企業和情報機構都認為,此事與俄羅斯相關,雖然俄羅斯方面予以否認。


8.jpg

 

 

“本次泄露事件,看起來像是有人發出的信號,表明這場戲還將持續快速擴大。這像是種警告,有人想要證明,美國需要為這臺惡意程序服務器發起的所有攻擊負責。這次事件可能對國外后續的策略會產生很大影響,尤其那些以美國為目標,和那些想要針對美國大選的外部組織。”

在Snowden看來,侵入方程式服務器對俄羅斯的黑客來說其實沒有那么難。即便NSA有如此復雜的工具做后盾,俄羅斯的網絡部門對NSA有著非常深刻的認識,也有能力檢測NSA發起的所有攻擊。他還說,這些黑客之所以沒有得到2013年之后的數據,是因為那段時間恰逢Snowden公布NSA的機密文檔,NSA很有可能因此更換這方面的基礎設施。

所以國外媒體的主流觀點都認為,The Shadow Brokers索要這100萬比特幣不過是煙幕彈,根本就是混淆視聽的。至于真相究竟如何,估計還需要等后續更多的分析。

問題五:還有什么新消息?

其實我們還有個很大的問題沒有解決,就是這次The Shadow Brokers到底是如何侵入方程式的服務器的——目前的答案是,不知道。著名意大利研究人員Claudio Guarnieri推測,這個黑客組織可能是黑入了“listening post”(監聽站?),這是方程式整個情報基礎設施的一個組成部分。

9.jpg

 

 

還有些問題值得探討,比如The Shadow Brokers究竟是什么身份。這兩天還發生了一件有趣的事:來自Security Affairs的報道,前兩天網上出現一些很奇怪的交易,The Shadow Brokers賬戶發生一些變化,幾天之前匯入了大約990美元。比較讓人感覺奇怪的是,這990美元來自Silk Road比特幣賬戶。等等!Silk Road Bitcoin不是已經在FBI的控制下了嗎(針對黑市的抓捕行動后)?不僅如此,另外還有其它匯錢的賬戶(分流?)。這究竟是什么意思?只有等下回分解了。

以現在掌握的情報來看,這次NSA被黑事件仍然是問題一堆,我們還會持續等待事件的進一步發酵,并進行追蹤報道。不過話說,從棱鏡門事件到現在,這個世界真的還有安全可言嗎?

* FreeBuf官方報道,作者/歐陽洋蔥,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

 

 

 

 

 

 

 

 

 

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽: NSA被黑

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «Cowrie蜜罐部署教程 | ZABBIX高危漏洞,無需授權登陸即可完成控制(更新利用工具)»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖