一台感染了WannaCry勒索病毒的笔记本电脑。
美国国家安全局大楼。
美军网络部队
5月12日,全球多个国家的网络遭遇名为“想哭”的勒索软件攻击,据统计,涉及中国、英国、西班牙、俄罗斯等上百个国家和地区。电脑被勒索软件感染后文件会被加密锁定,支付黑客所要赎金后才能解密恢复,受攻击对象甚至包括医院、高校等公益性机构。欧盟刑警组织说,这次网络攻击“达到史无前例的级别”。
据《华盛顿邮报》报道,这种病毒被广泛认定为是根据美国国家安全局(NSA)此前泄露的黑客渗透工具之一——永恒之蓝(Eternal Blue)升级而来。网络专家称,这份文件被叫做影子经纪人(Shadow Brokers)的黑客组织偷走。
根据此前的报道,影子经纪人盗走的黑客工具远不止“永恒之蓝”,他们声称入侵了NSA的网络武器库,获得了大量的互联网攻击工具。
影子经纪人近日宣称,它将从6月开始披露更多窃取自美国国家安全局的黑客工具和情报,其中包括俄罗斯等国的核计划信息。
曾挑战最顶尖黑客团队“方程式组织”
历史资料显示,影子经纪人在互联网上初露锋芒是在2016年8月。这个神秘黑客组织宣布自己攻破了NSA的防火墙,并且公布了思科ASA系列防火墙、思科PIX防火墙的漏洞。
据《连线》报道,当时影子经纪人明目张胆地在推特上表示,他们将免费提供一些网络攻击和黑客工具的下载,而这些攻击武器均来自另一黑客团队“方程式组织”。
“方程式组织”隶属于NSA,被称为NSA的网络武器库。有业内人士表示,“方程式组织”是全球最顶尖的黑客团队,这个团队的加密程度无人能及。2010年毁掉伊朗核设备的震网病毒和火焰病毒,也被广泛认为出自“方程式组织”之手。
网络安全厂商卡巴斯基在2015年发布监测报告称,“方程式组织”是全球技术最牛的黑客组织之一,在网上活跃近20年,是网络间谍中的“王冠制造者”。当年,卡巴斯基在全球42个国家发现了“方程式组织”的500个感染行为。同时卡巴斯基还表示,这只是冰山一角,由于这个黑客团队制造的“武器”拥有超强的自毁能力,绝大多数进攻完成之后,不会留下任何痕迹。
黑客中的“军火贩子”
在声称盗取了“方程式组织”的攻击武器之后,影子经纪人开始在网上拍卖这些文件。
影子经纪人表示,如果他们收到超过100万比特币,他们就会释放他们已经拥有的更多的黑客工具。但那次拍卖最终只获得了价值25美元的比特币。
2016年10月,影子经纪人停止了销售,并开通了类似众筹的活动。他们表示,如果最终他们完成10000比特币的众筹目标,就将提供给参与众筹的人每人一份黑客工具。两个月后,该组织的众筹尝试再次宣告失败。
但影子经纪人并没有因此放弃利用这批文件赚钱的努力。他们之后开始在Zer-oBin上小批量地销售黑客工具。2017年1月,该组织以750比特币的价格出售一批能够绕过杀毒软件的Windows黑客工具。
有媒体评价称,“影子经纪人”好像黑客中的军火商。他们时常会贩卖高级的攻击武器,有时也贩卖重要的世界军政信息。他们喜欢在竞争对手之间贩卖武器,客户在发现对手的攻击能力和本人一样后,很自然就会成为“影子经纪人”的回头客,以求购更新的“武器”配备。
今年4月8日,影子经纪人在medium.com博客网站上发表博文,其中公开了曾经多次拍卖失败的方程式组织Equation Group(为NSA提供服务专门对国外进行间谍活动的组织的黑客工具包——EQ-GRP-Auction-Files)。现在任何人都可以去解密这个文件,获取其中的一些有价值的东西。
泄密美国国安局资料
继2016年的拍卖失败以后,影子经纪人最重要的发布发生在今年4月中旬,该组织声称获得了NSA黑客工具的详细信息,据说美国政府正是利用这些工具入侵国际银行系统,侦查各国间资金流向,监控中东和拉美国家银行间的资金往来。
影子经纪人从“方程式组织”获取的这份300M的泄密文档显示,其中的黑客工具主要针对微软的Windows系统和装载环球银行间金融通信协会(SWIFT)系统的银行。这些恶意攻击工具中,包括恶意软件、私有的攻击框架及其他攻击工具。根据已知资料,其中至少有涉及微软23个系统漏洞的12种攻击工具,而这次造成勒索病毒的永恒之蓝,不过是12种的其中之一。
不过,随后SWIFT否认了曾被黑客攻入。
按照英国广播公司的说法,如果4月曝光的资料和工具被确认来自NSA,这将是“棱镜”事件后,NSA遭遇的最严重“爆料”。
《连线》在报道中称,连前美国国家安全局工作人员爱德华·斯诺登也认为,影子经纪人盗取了NSA的“武器库”似乎是真的。因为由该组织提供的恶意软件中,包含了与NSA在内部文件中使用的相同的16个字符的识别码。
谁是影子经纪人?
尽管在互联网上兴风作浪,但至今没有人知道影子经纪人究竟是谁。
此前,斯诺登曾发表了一系列推特分析,NSA恶意软件的分段式服务器攻击并非前所未有,他认为,从间接证据来看,影子经纪人与俄罗斯当局有关。不过,路透社在评论文章中称,如果俄罗斯是影子经纪人背后的力量,那么俄罗斯就不会公布数据被盗的情况。
美国知名作家兼记者詹姆斯·班福德则分析指出,影子经纪人有可能来自美国安全部门的内部人士。在斯诺登2013年公布NSA的相关文件中,出现了与影子经纪人泄露内容相同的代码——名为Second-Date-3021.exe的恶意软件中的一串数字。
一份语言学分析报告显示,“影子经纪人”在运用英语时有明显错误,显然是为了迷惑别人,让人误以为这一黑客组织成员并非以英语为母语。英俄双语翻译阿列克谢·科瓦列夫也赞同这种观点:“有太多破绽暴露了作者的母语是英语。”
相关
风险隐患多,如何保卫大数据安全?
大数据的风险隐患有哪些?给大数据“守门”“上锁”靠什么技术?保卫大数据安全还需如何发力?国内多位大数据领域的权威专家、企业家就数字安全与风险防控表达了自己的观点。
近50%的数据可能面临被泄露的风险
任何新技术都是一把双刃剑,大数据带来变革的机遇,也带来更多的风险。
2016年9月,雅虎公司因为自身的安全漏洞被网络黑客利用,5亿雅虎用户的信息被泄露。我国也曾发生多个招生考试院考生网站被攻击,导致大量的考生信息泄露,引发诈骗、盗窃等各种刑事犯罪。
不久前肆虐全球的勒索病毒,是通过互联网端口输入病毒程序,对重要文件进行加密然后敲诈,攻击目标直接锁定用户的数据,攻击手段竟是原本为了保护数据安全的密码技术,这些都提醒人们保护大数据安全刻不容缓。
据中国科学院院长白春礼介绍,当前近50%的数据可能面临被泄露的风险,大数据安全给人们提出新的挑战。
奇虎360公司副总裁石晓虹认为,大数据面临很多威胁,除了基础设施安全,还包括系统漏洞和后门、外部攻击和窃密、数据资产泄露、内部非授权访问、违规交易等。同时,风险存在于大数据的采集、传输、存储、应用等整个生命周期中。
中国电科集团公司网络安全首席专家、大数据国家工程实验室副主任董贵山告诉记者,采集,涉及如何保证采集途径可靠性和信息的真实性;传输,涉及如何保证数据不被窃取、劫持和篡改;存储和共享使用不同来源的数据,需要解决安全共享与交换问题,进一步要解决数据的所有权、运营权、使用权确权与应用监管问题,以及解决异构数据集中存储的分等级保密性和可用性保障问题;应用,需要考虑如何按不同应用需求给敏感数据制定不同的脱敏策略,并为大数据应用提供统一的安全服务接口和安全可视化的手段等。
核心技术不能受制于人
中国工程院院士倪光南认为,保证大数据安全不仅要突破单项网信技术,还要在信息技术体系机器生态系统的竞争中取胜。他说,我国已经是网络大国,但还不是网络强国。我国的信息基础设施以及信息化所需的软、硬件和服务,大量来自外国公司,由此构成的基础设施或信息系统就像沙滩上的建筑,在遭到攻击时防御能力非常脆弱。“因此只有构建安全可控的信息技术体系,才能达到核心技术不受制于人,将命运掌握在自己手中。”倪光南说。
中国工程院沈昌祥院士提出,主动免疫的可信计算能解决大数据安全的问题。他说,人体有很多缺陷,之所以能够健康生活,就是因为有免疫系统。大数据需要有密码保护的可信计算环境,要有可信的边界、可信的保护,要有管理中心等。构筑这样的安全管理体系,才能应对各种利用漏洞来进行的攻击,这样最终实现攻击者难以进去,进去了也很难拿到东西,拿到了也看不懂的安全防护效果。
“传统的认证、加密、授权、资源访问控制等安全防护手段对大数据安全也能发挥作用,但大数据时代需要更适应大数据应用形势的安全服务。”董贵山认为,以密码技术为数据安全的核心关注点,包括网络空间实体的身份管理和信任、围绕数据保护的规模化的密码服务以及大数据应用的用户密钥管理服务和安全监管都是安全服务的范畴,概括来讲,就是把安全基因内生在网络系统、数据处理平台系统、应用系统,对数据全生命周期实施动态的防御策略。
保卫大数据安全还需综合施策
多位专家表示,打好大数据安全保卫战,不光要有技术,还需综合施策。
“从发达国家的经验看,信息安全和信息化建设是同步发展的。在国外,数据安全投入约占信息化建设总投入的9%至15%,这一比例目前我国还达不到。”北京立思辰信息安全科技集团副董事长周西柱建议,进一步加大对大数据安全的投入和支持力度。
“首先要做好顶层立法和战略规划。”中国信息安全测评中心专家委员会黄殿中副主任表示,应坚持把数据网络纳入网络数据,明确治理权和管理权的划分,落实相关法律法规,加快推进数据资源权益和个人信息保护方面的立法工作。明确大数据使用中各方行为体的权责义务。
“同时,建立符合本国需要的大数据资源分级分层管理办法,进一步完善数据安全管理制度,实现对大数据资源采集、传输、存储、利用的规范管理。”黄殿中建议,研究出台大数据安全审查办法,加大对重点行业,重点领域大数据领域审查和评估力度,全力推进大数据预警检测和行业监管。
黄殿中建议,积极构建自主可控的大数据产业链条和技术研发,使自主软、硬件产品有条件、有渠道进入采购的市场,对涉及国家核心利益的信息确保高技术保障,确保大数据又好又快发展。
黑客攻击事件盘点
2011年4月
索尼不同部门遭遇了数起黑客入侵事件,导致7700万个信用卡账户被盗。
2014年4月
Heartbleed(心脏流血)漏洞是近年来影响范围最广的高危漏洞,涉及各大网银、门户网站等。
2014年8月
温州有线电视网络系统市区部分用户的机顶盒遭黑客攻击,出现一些反动宣传内容,影响群众正常收看电视。
2014年10月
摩根大通7600万名客户以及700万个小型企业用户的联系信息被黑客窃取。
2014年12月
乌云漏洞报告平台报告称,大量12306用户数据在互联网疯传,内容包括用户账号、明文密码、身份证号码、手机号码和电子邮箱等。
2015年2月
美国医疗保险商Anthem被黑客偷走数千万名客户的信息。
2015年9月
CNCERT发 布预警,指出开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序 (苹果APP)时,会向正常的苹果APP中植入恶意代码。
2016年8月
名为 “影子经纪人”的神秘黑客组织声称,他们已成功攻击了NSA并获取了NSA的内部资料和“方程式组织”使用的攻击工具包。并在网上分享了他们窃取的一部分网络战利品。
美国其他网络武器
1991年
在海湾战争开始之前的几周时间里,美国情报间谍把美国国安局设计的计算机病毒插入伊拉克计算机网络中,导致伊拉克防空系统瘫痪。
2007年
美军大规模增兵伊拉克时,美国国家安全局曾借助网络手段,干扰反美武装的手机和移动电脑信号,发出假情报,破坏对方袭击美军的计划,有时还把反美武装引入美军伏击圈套。
2010年
美国和以色列联合进行针对伊朗的“震网”行动。这种病毒就是利用工业控制系统软件的漏洞,代替其对生产线 “发号施令”,同时,该病毒还具有“瞒天过海”的功能。
2011年
英国媒体称,2010年肆虐全球网络空间的 “超级工厂病毒”是一种“超级网络武器”,当年,我国也有近500万网民及多个行业领军企业遭此病毒攻击。从本质上看,这是一种计算机病毒,但据专家分析,美国政府是最主要的嫌疑者。
2012年
外媒报道,当年6月初被发现、曾多次对伊朗能源设施发动攻击的“火焰”计算机病毒,是由美国和以色列联合开发的,旨在窃取伊朗计算机网络情报。
NSA“网络武器库”中的黑客工具主要分为三类
1、破坏性武器,即通过网络释放一些病毒,使得对方的整个计算机网络或者城市陷入瘫痪、破坏。
2、类似于木马程序,即植入到计算机网络,每天可以监视你的一举一动,也可以窃取你的相关文件,这一类武器对平时计算机运行并不产生影响,但它窃取监视监听带来的危害很大。
3、可根据植入者的意图或者起到监视性作用或者窃取机密材料,一定条件下也可以下达指令,摧毁整个计算机网络或者里面所有的程序或者文件。
原标题:偷了官方网络武器库