這兩天，NSA被黑事件，（或者叫方程式事件）或者叫 The Shadow Brokers（國(guó)內(nèi)有媒體將之譯作“影子經(jīng)紀(jì)人”）事件仍在如火如荼地發(fā)酵中。很多小伙伴恐怕都已經(jīng)看過(guò)了大量報(bào)道，如果你錯(cuò)過(guò)了本次事件的諸多細(xì)節(jié)也沒(méi)關(guān)系，這篇文章將為各位梳理NSA被黑事件的來(lái)龍去脈，以及這些被人們提起的熱門詞匯，究竟都是什么意思。

問(wèn)題一：究竟是誰(shuí)被黑了？

上周，一群黑客宣稱侵入NSA，也就是美國(guó)國(guó)家安全局——其實(shí)只看“NSA被黑”這幾個(gè)字就已經(jīng)足夠震撼了。NSA就是前兩年棱鏡門事件的主角，這個(gè)機(jī)構(gòu)隸屬于美國(guó)國(guó)防部，是美國(guó)政府機(jī)構(gòu)中最大的情報(bào)部門，專門負(fù)責(zé)收集和分析通訊資料（包括美國(guó)國(guó)外的）。

當(dāng)年棱鏡門事件爆發(fā)，前NSA雇員Edward Snowden公開了大量令人瞠目結(jié)舌的NSA內(nèi)部文檔，劍指NSA通過(guò)各種手段，甚至和科技企業(yè)合作的方式，大肆監(jiān)聽美國(guó)國(guó)民的網(wǎng)絡(luò)活動(dòng)，且觸角也延伸到國(guó)外。

而這次居然是NSA被黑了，被黑的目標(biāo)，具體是NSA的方程式組織（Equation Group）。這個(gè)方程式組織究竟是個(gè)啥組織呢？早在2015年2月份，卡巴斯基實(shí)驗(yàn)室公布了一份研究報(bào)告，指出NSA自2001年以來(lái)，內(nèi)部就存在一個(gè)黑客組織。卡巴斯基將該組織命名為方程式組織。

方程式的特色在于，采用“復(fù)雜的”0-day惡意程序，以各行各業(yè)為目標(biāo)發(fā)起情報(bào)刺探活動(dòng)。據(jù)卡巴斯基的報(bào)告所說(shuō)，方程式組織結(jié)合了各種復(fù)雜且高端的戰(zhàn)略戰(zhàn)術(shù)、技術(shù)和高度一致化的流程。該組織內(nèi)部有諸多復(fù)雜的入侵工具——據(jù)說(shuō)這些工具是需要花大量精力才能開發(fā)出來(lái)的。

當(dāng)時(shí)卡巴斯基對(duì)方程式組織的評(píng)價(jià)相當(dāng)“高”：這個(gè)秘密組織所用技術(shù)的復(fù)雜性和精制性“超越任何已知情報(bào)”。比如說(shuō)赫赫有名的Stuxnet震網(wǎng)和Flame火焰病毒在出現(xiàn)之前，其中涉及到的0day漏洞就已經(jīng)為方程式所用了——而方程式與這些惡意活動(dòng)的幕后推手也有聯(lián)系。比如2008年就已經(jīng)在用的Fanny惡意程序，震網(wǎng)的新型變體到2009年和2010年才開始應(yīng)用。

方程式的觸角可能波及到全球范圍內(nèi)超過(guò)30個(gè)國(guó)家數(shù)萬(wàn)（even tens of thousands）受害者。方程式“特別照顧”的領(lǐng)域主要包括了政府和外交機(jī)關(guān)、通訊、航空航天、能源、石油、軍隊(duì)、納米技術(shù)、核研究、大眾傳媒、交通、金融、開發(fā)加密技術(shù)的企業(yè)、穆斯林等。對(duì)方程式感興趣的同學(xué)可前往閱讀卡巴斯基的報(bào)告。

這么牛掰的一個(gè)APT組織，竟然被別人給黑了??？

問(wèn)題二：究竟被誰(shuí)黑了？

這個(gè)侵入方程式內(nèi)部的黑客組織名為The Shadow Brokers。這其實(shí)就是目前已經(jīng)掌握的攻擊者的全部確切信息，名稱“The Shadow Brokers”。

問(wèn)題三：侵入目的是什么？

前面我們就提到了，方程式內(nèi)部開發(fā)了各種高端的情報(bào)竊取工具，而且絕大部分還是利用各類產(chǎn)品，包括安全產(chǎn)品的0-day漏洞來(lái)入侵。所以The Shadow Brokers在侵入NSA方程式組織內(nèi)部之后，竊取了這家組織的大量工具，確切地說(shuō)是本月13日就將其中大量文件公布到了網(wǎng)上（GitHub和Tumblr之上，不過(guò)目前都已經(jīng)被刪），包括惡意程序、黑客攻擊工具、漏洞利用工具等。

不過(guò)The Shadow Brokers將這些工具分成了兩部分，其中一部分免費(fèi)提供下載試用，還有一部分（據(jù)說(shuō)是剩余40%的best files）則明碼標(biāo)價(jià)出售，售價(jià)100萬(wàn)比特幣（約合5.78億美元，搞笑??！收購(gòu)一家公司也就這點(diǎn)錢）。GitHub很快就刪除了相關(guān)頁(yè)面，不過(guò)有趣的是，刪除的原因并不是政府施壓，而是GitHub的政策不允許對(duì)盜竊資產(chǎn)標(biāo)價(jià)出售。

從這個(gè)明面的行為來(lái)看，我們是否可以認(rèn)為，The Shadow Brokers的目的其實(shí)是為了錢呢？

事情發(fā)展到這個(gè)地步，安全從業(yè)人員最想知道的，其實(shí)是公布的這些文件是不是真的，是否可靠。這件事在隨后幾天的發(fā)酵中，才讓人感覺(jué)異常恐怖。首先是卡巴斯基出面確認(rèn)，這些文件絕對(duì)是真實(shí)有效的（國(guó)外媒體的用詞是legitimate），而且從種種跡象看來(lái)，都和方程式組織相關(guān)。

卡巴斯基實(shí)驗(yàn)室的研究人員公布了這些材料的研究細(xì)節(jié)：

The Shadow Brokers公開提供免費(fèi)下載的這份數(shù)據(jù)尺寸大約是300MB，里面具體包含針對(duì)某些防火墻產(chǎn)品的漏洞利用，黑客工具和腳本，工具具體名稱像是BANANAUSURPER、BLATSTING、BUZZDIRECTION。不過(guò)這些文件都至少有3年的歷史了，最新的時(shí)間戳所標(biāo)的時(shí)間點(diǎn)是在2013年10月。

那么究竟憑什么說(shuō)跟方程式有關(guān)呢？卡巴斯基實(shí)驗(yàn)室有提到：“雖然我們無(wú)法確定攻擊者的身份或者動(dòng)機(jī)，也不知道這些工具是從哪里或者怎么得來(lái)的，但我們可以明確，泄露的數(shù)百款工具，和方程式組織絕對(duì)有密切的關(guān)聯(lián)?！?/strong>

The Shadow Brokers公布的文檔中大約有超過(guò)300個(gè)文件，采用RC5和RC6加密算法作為通用策略，手法和方程式如出一轍。

“其代碼相似性讓我們高度確認(rèn)，The Shadow Brokers泄露的工具和方程式的惡意程序的確是有關(guān)聯(lián)的?！鄙蠄D比對(duì)的就是較早方程式RC6代碼，和這次The Shadow Brokers泄露文檔中的代碼，相同的函數(shù)、約束條件，還有些比較罕見(jiàn)的特征都很能說(shuō)明問(wèn)題。

除了卡巴斯基之外，NSA另一個(gè)神秘組織TAO（特定入侵行動(dòng)辦公室）的前員工也認(rèn)為這些工具和方程式所用的工具一樣。華盛頓郵報(bào)也已經(jīng)對(duì)此進(jìn)行了報(bào)道。

上周五，The Intercept公布了新一輪的Snowden泄密文檔，其中有許多工具與本次泄露的工具存在很強(qiáng)的關(guān)聯(lián)，這些都是證據(jù)：比如說(shuō)Snowden披露的文檔中包含一款SECONDDATE利用工具，這個(gè)工具可在網(wǎng)絡(luò)層干涉web請(qǐng)求，并將之重定向至FOXACID服務(wù)器，“操作手冊(cè)”第28頁(yè)提到，NSA雇員必須使用ID，來(lái)標(biāo)記發(fā)往FOXACID服務(wù)器的受害者，里面提到ID為ace20468bdf13579，這個(gè)ID就在本次The Shadow Brokers泄露的14個(gè)不同的文件中有出現(xiàn)。

這些工具究竟可以用來(lái)做什么，我們還可以稍舉一些例子，比如說(shuō)安全研究人員測(cè)試了EXTRABACON利用工具，確認(rèn)利用這款工具，在不需要提供有效身份憑證的情況下，就可以訪問(wèn)思科防火墻：這款工具利用Cisco ASA軟件SNMP協(xié)議中的0-day漏洞（CVE-2016-6366），可致“未經(jīng)授權(quán)的遠(yuǎn)程攻擊者”完全控制設(shè)備。

此外，還有利用思科一些更早漏洞的0-day利用工具，比如利用思科CVE-2016-6367漏洞的，這個(gè)漏洞存在于Cisco ASA軟件的命令行界面解析器中，可致未經(jīng)授權(quán)的本地攻擊者構(gòu)造DoS攻擊條件，以及存在執(zhí)行任意代碼的風(fēng)險(xiǎn)——泄露的EPICBANANA以及JETPLOW工具都利用了該漏洞。

再舉個(gè)例子，其中還有一款工具能夠解密思科PIX VPN流量，在主板固件中植入惡意程序，這種攻擊方式幾乎無(wú)法檢測(cè)到，也沒(méi)法刪除…這次波及到的廠商包括了思科、Juniper、Fortinet等，尤為值得一提的是，泄露工具中也包含針對(duì)國(guó)內(nèi)天融信防火墻產(chǎn)品的漏洞利用工具。思科實(shí)際上也第一時(shí)間確認(rèn)了這些漏洞的存在，并發(fā)布了相應(yīng)的補(bǔ)丁——想一想，前文提到這些泄露文件的時(shí)間戳至少也是3年前的，可想而知這些0day漏洞有多0day。

FreeBuf最近也發(fā)了幾篇有關(guān)解析泄露文檔的文章，像是這一篇：《NSA（美國(guó)國(guó)安局）泄漏文件深度分析（PART 1）》，這些本質(zhì)上其實(shí)都是表現(xiàn)方程式有多恐怖的。

問(wèn)題四：真的是為了100萬(wàn)比特幣？

有關(guān)這個(gè)問(wèn)題，業(yè)內(nèi)觀點(diǎn)眾所紛紜。要答這個(gè)問(wèn)題，這就得摸清發(fā)起本次攻擊的幕后主使究竟是誰(shuí)了，目前比較主流的態(tài)度有兩種，其一是NSA內(nèi)部人員所為（老外的用詞是insider’s job）——業(yè)界著名的Matt Suiche就是這么認(rèn)為的，他說(shuō)他和前NSA TAO雇員就此事聊了聊。他在博客中是這么寫的：

“這次泄露的文件實(shí)際上也包含了NSA TAO工具套裝，這些工具原本是儲(chǔ)存在被物理隔離的網(wǎng)絡(luò)上的，根本就不會(huì)接觸到互聯(lián)網(wǎng)?！?/p>

“那些文件根本就沒(méi)有理由放在staging server服務(wù)器上，除非有人故意這么做。文件層級(jí)關(guān)系，還有文件名都沒(méi)變，這應(yīng)該表明這些文件是直接從源復(fù)制過(guò)來(lái)的。”

除了認(rèn)為是內(nèi)部人員干的，Snowden有在Twitter上就此事特別發(fā)聲，他認(rèn)為這件事是“俄羅斯對(duì)美國(guó)的回應(yīng)”，雖然這個(gè)“回應(yīng)”有點(diǎn)兒讓人摸不著頭腦，據(jù)說(shuō)是針對(duì)先前美國(guó)譴責(zé)俄羅斯有關(guān)DNC民主黨國(guó)家委員會(huì)入侵一事（Lol）。前兩周，維基泄密公布了大量來(lái)自DNC（還有另外針對(duì)DCCC民主黨國(guó)會(huì)競(jìng)選委員會(huì)的）的內(nèi)部文檔，美國(guó)多家安全企業(yè)和情報(bào)機(jī)構(gòu)都認(rèn)為，此事與俄羅斯相關(guān)，雖然俄羅斯方面予以否認(rèn)。

“本次泄露事件，看起來(lái)像是有人發(fā)出的信號(hào)，表明這場(chǎng)戲還將持續(xù)快速擴(kuò)大。這像是種警告，有人想要證明，美國(guó)需要為這臺(tái)惡意程序服務(wù)器發(fā)起的所有攻擊負(fù)責(zé)。這次事件可能對(duì)國(guó)外后續(xù)的策略會(huì)發(fā)生很大影響，尤其那些以美國(guó)為目標(biāo)，和那些想要針對(duì)美國(guó)大選的外部組織。”

在Snowden看來(lái)，侵入方程式服務(wù)器對(duì)俄羅斯的黑客來(lái)說(shuō)也沒(méi)有那么難。即便NSA有如此復(fù)雜的工具做后盾，俄羅斯的網(wǎng)絡(luò)部門對(duì)NSA有著非常深刻的認(rèn)識(shí)，也有能力檢測(cè)NSA發(fā)起的所有攻擊。他還說(shuō)，這些黑客之所以沒(méi)有得到2013年6月份之后的數(shù)據(jù)，是因?yàn)槟嵌螘r(shí)間恰逢Snowden公布NSA的機(jī)密文檔，NSA很有可能因此更換這方面的基礎(chǔ)設(shè)施。

所以國(guó)外媒體的主流觀點(diǎn)都認(rèn)為，The Shadow Brokers索要這100萬(wàn)比特幣不過(guò)是煙幕彈，根本就是混淆視聽的。至于真相究竟如何，估計(jì)還需要等后續(xù)更多的分析。

問(wèn)題五：新進(jìn)展如何？

其實(shí)我們還有個(gè)很大的問(wèn)題沒(méi)有解決，就是這次The Shadow Brokers到底是如何侵入方程式的服務(wù)器的——這件事目前當(dāng)然還沒(méi)有人能夠揭曉。著名意大利研究人員Claudio Guarnieri推測(cè)，這個(gè)黑客組織可能是黑入了“l(fā)istening post”（監(jiān)聽站？），這是方程式整個(gè)情報(bào)基礎(chǔ)設(shè)施的一個(gè)組成部分。

詭異的交易，每筆0.001337比特幣

還有The Shadow Brokers究竟是什么身份，可能也是許多人好奇的。還有一件有趣的事：來(lái)自Security Affairs的報(bào)道，前兩天網(wǎng)上出現(xiàn)一則很奇怪的交易，The Shadow Brokers賬戶發(fā)生一些變化，幾天之前匯入了大約990美元。比較讓人感覺(jué)奇怪的是，這990美元來(lái)自Silk Road比特幣賬戶。等等！Silk Road Bitcoin不是已經(jīng)在FBI的控制下了嗎（針對(duì)黑市的抓捕行動(dòng)后）？不僅如此，另外還有其它匯錢的賬戶（分流？）。這是個(gè)謎??！

這次NSA被黑事件仍然是問(wèn)題一堆，我們還會(huì)持續(xù)等待事件的進(jìn)一步發(fā)酵，并進(jìn)行追蹤報(bào)道。不過(guò)話說(shuō)，這個(gè)世界還有安全可言嗎？

雷鋒網(wǎng)注：本文作者歐陽(yáng)洋蔥，F(xiàn)reeBuf黑客與極客（FreeBuf.COM）授權(quán)發(fā)布雷鋒網(wǎng)，轉(zhuǎn)載請(qǐng)注明出處和作者，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。