徐陽晨+郭爽

根據(jù)安全信息領(lǐng)域的媒體報道，“方程式組織”與美國國家安全局關(guān)系密切，是一個該局可能“不愿承認(rèn)”的部門，這在黑客圈幾乎是公開的秘密。

美國“截?fù)簟本W(wǎng)站8月19日證實，被稱為美國國家安全局（NSA）網(wǎng)絡(luò)“武器庫”的“方程式組織”（Equation Group）近日遭黑客組織“影子經(jīng)紀(jì)人”（The Shadow Brokers）襲擊。這讓一向低調(diào)卻有美國政府背景的黑客組織“方程式組織”曝光了一把。

美政府背景黑客組織被曝光

與NSA關(guān)系密切的“方程式組織”

“方程式組織”這個名字不是他們自己取的，而是最早由卡巴斯基發(fā)現(xiàn)命名的。之所以命名為“方程式組織”，是因為這個黑客團隊的加密水平無人能出其右。

“方程式組織”到底有多牛？2010年破壞伊朗核設(shè)施的“震網(wǎng)”病毒和 “火焰”病毒被廣泛認(rèn)為出自他們之手，其水平由此可見一斑。2015年，網(wǎng)絡(luò)安全廠商卡巴斯基在全球42個國家發(fā)現(xiàn)了“方程組”的500個感染行為。但是連卡巴斯基自己都承認(rèn)，這只是冰山一角，因為這個黑客團隊制造的“武器”擁有超強的自毀能力，絕大多數(shù)進攻完成之后，不會留下任何痕跡。

8月13日上午，一個名叫“影子經(jīng)紀(jì)人”的黑客組織通過社交平臺稱，通過跟蹤“方程式組織”的網(wǎng)絡(luò)通信流量，已攻入這個黑客組織，在這個被稱為NSA的“武器庫”中發(fā)現(xiàn)了大量網(wǎng)絡(luò)武器，并免費向所有人泄露了其中部分黑客工具和數(shù)據(jù)。不僅如此，“影子經(jīng)紀(jì)人”還宣稱將通過互聯(lián)網(wǎng)拍賣所獲取的這些“最好的文件”，如果他們收到100萬個比特幣（總價值約為5.68億美元，1美元約合6.69元人民幣），就會公布更多工具和數(shù)據(jù)。

而在“影子經(jīng)紀(jì)人”從“方程式組織”獲取的文件中，包括大量命令控制服務(wù)器的安裝腳本和配置文件。泄露文件涉及的一些黑客工具名稱與斯諾登公布的內(nèi)容吻合。

卡巴斯基去年發(fā)布監(jiān)測報告說，“方程式組織”已經(jīng)活躍近20年，是全球技術(shù)“最?！钡暮诳徒M織之一，堪稱網(wǎng)絡(luò)間諜中的“王冠制造者”。根據(jù)安全信息領(lǐng)域的媒體報道，這一組織與美國國家安全局關(guān)系密切，是一個該局可能“不愿承認(rèn)”的部門，這在黑客圈幾乎是公開的秘密。

風(fēng)波掀起一周后，8月19日，美國“截?fù)簟本W(wǎng)站證實，根據(jù)斯諾登提供的最新文件，可以確認(rèn)這些被泄露的工具是美國國家安全局的軟件，其中部分屬于秘密攻擊全球計算機的強悍黑客工具。

最重要的證據(jù)，來源于斯諾登最新提供的一份絕密文件——NSA“惡意軟件植入操作手冊”。手冊指導(dǎo)操作人員在使用一個惡意軟件程序SECONDDATE時，需要借助一個特殊的16位字符串。而在“影子經(jīng)紀(jì)人”從“方程式組織”已泄露出來的幾十個黑客工具中，工具SECONDDATE就在其中，其相關(guān)代碼更是大量包含這一字符串。

在美國政府搭建的復(fù)雜全球網(wǎng)絡(luò)攻擊和監(jiān)控體系中，SECONDDATE這個工具起到特殊作用。在“影子經(jīng)紀(jì)人”泄露的所有文件中，有47個與SECONDDATE工具相關(guān)，其中包含了該工具不同版本的源代碼、使用方法和其他相關(guān)文件?！敖?fù)簟本W(wǎng)站稱，斯諾登公布的其他文件還顯示，NSA在巴基斯坦、黎巴嫩的行動中也使用過SECONDDATE。但美國國家安全局目前尚未就這一事件做出回應(yīng)。

這一事件隨即在網(wǎng)絡(luò)安全領(lǐng)域掀起軒然大波。一些專家認(rèn)為，這是為讓美國政府顏面掃地精心炮制的騙局;而另一些專家則表示，他們對泄露的數(shù)據(jù)、漏洞和黑客工具進行了分析，結(jié)果顯示，這一驚人事件的可信度非常高。前美國國家安全局工作人員對媒體表示，“毫無疑問，這就是通向這個王國的鑰匙?！?/p>

事件發(fā)生后，斯諾登在推特網(wǎng)站上發(fā)文稱，美國國家安全局留下了災(zāi)難性的網(wǎng)絡(luò)漏洞，但“3年多寧愿去攻擊（他人），也不去修復(fù)”，“美國產(chǎn)品中維護已知漏洞的直接結(jié)果，就是被他們的敵人發(fā)現(xiàn)”。

黑客中的軍火商

再來說說“影子經(jīng)紀(jì)人”。

黑掉頂級黑客組織“方程式組織”這一舉動，立即讓“影子經(jīng)紀(jì)人”名聲大噪。沒過幾天，這一可以“自在出入”NSA的黑客組織就已位列媒體排出的全球“最牛黑客組織排行榜”第三名。

“影子經(jīng)紀(jì)人”好像黑客中的軍火商。他們時常會販賣高級的攻擊武器，有時也販賣重要的世界軍政信息。他們喜歡在競爭對手之間販賣武器，客戶在發(fā)現(xiàn)對手的攻擊能力和本人一樣后，很自然就會成為“影子經(jīng)紀(jì)人”的回頭客，以求購更新的“武器”配備。

沒有人知道“影子經(jīng)紀(jì)人”背后藏著誰。按照斯諾登的分析，這一黑客集團可能與俄羅斯方面有關(guān)。他在推特上說，“間接證據(jù)表明，這件事情與俄羅斯有關(guān)。這種泄露有可能是個警告，用以告訴世界，美國實際上策劃了世界上很多黑客攻擊的事情?！?/p>

此外，也有專家分析說，這一黑客組織可能來自NSA內(nèi)部知情人員，甚至有可能是又一個斯諾登一樣的存在。

迄今，尚無有力證據(jù)證明這些說法的精確性。不過，“影子經(jīng)紀(jì)人”發(fā)布過幾次看似雜亂無章的“對外宣言”，讓言語學(xué)家抓住了一些把柄。

一份言語學(xué)分析報告顯示，“影子經(jīng)紀(jì)人”在運用英語時有明顯錯誤，顯然是為了迷惑別人，讓人誤以為這一黑客組織成員并非以英語為母語。

英俄雙語翻譯阿列克謝·科瓦列夫也贊同這種觀點，“有太多破綻暴露了作者的母語是英語。”

“神行客”背景也不單純

“方程式組織”并不是近來唯一被認(rèn)為有美國官方背景的黑客組織。8月初，美國網(wǎng)絡(luò)安全技術(shù)供應(yīng)商賽門鐵克就爆料，黑客組織“神行客”（Strider）對中國、俄羅斯、 瑞典、比利時等國進行網(wǎng)絡(luò)攻擊，并發(fā)現(xiàn)其有強烈的意圖性和政府背景?？ò退够鶎嶒炇液投砹_斯一家同類企業(yè)也發(fā)表聲明，指認(rèn)“神行客”的不軌行為。

“神行客”也是美國相當(dāng)?shù)驼{(diào)，隱蔽性強、技術(shù)手段高明的網(wǎng)絡(luò)間諜式攻擊小組，已秘密行動5年之久，直至最近才被網(wǎng)絡(luò)安全機構(gòu)捕獲蹤影。它的攻擊對象為涉及國家情報服務(wù)的個人或組織，主要利用的惡意軟件為Remsec。

大多數(shù)時候，Remsec后門在計算機內(nèi)存運行，常規(guī)殺毒軟件難以檢測。并且，該后門目標(biāo)集中，很少染指普通計算機，從而使得該間諜組織隱秘攻擊長達5年之久而未被察覺。

迄今“神行客”已利用Remsec感染了36臺電腦，這個黑客小組目標(biāo)選擇性極強。賽門鐵克追蹤發(fā)現(xiàn)，“神行客”借助網(wǎng)絡(luò)手段部署惡意軟件，可以在這些電腦內(nèi)開設(shè)“后門”，繼而記錄鍵盤動作并竊取電腦文檔。

研究人員稱，之所以將Remsec判斷為惡意軟件并帶有攻擊性質(zhì)，是因為它攻擊中展示出“超強”的諜報能力，如技術(shù)高度復(fù)雜、隱身防偵察能力極強、針對不同目標(biāo)可以模塊化定制等，而且已知攻擊目標(biāo)是典型政府情報部門感興趣的機構(gòu)或個人。

研究分析證明，Remsec不僅是極為罕見的高級惡意攻擊軟件，而且?guī)в姓尘啊?/p>

之所以這么說，首先它與“火焰”的攻擊模式十分相似。2012年“火焰”病毒在伊朗活躍了長達6個月的時間。賽門鐵克研究人員發(fā)現(xiàn)，“火焰”的攻擊特點十分奇怪，所謂的“大規(guī)?！备腥?，也僅僅有1000臺左右的電腦中毒。這些惡意軟件是帶有目的性的接近某些用戶，或只感染目標(biāo)，不觸及普通的個人計算機，這也許是伊朗石油部門電腦系統(tǒng)大面積遭到“火焰”侵入的根本原因。

“火焰”的自行毀滅系統(tǒng)令人吃驚，它一旦完成數(shù)據(jù)收集后，可開啟自我毀滅程序，不留下可追蹤線索。并且，“火焰”病毒約有20兆字節(jié)，使用Lua的編程語言，編寫復(fù)雜精密，很可能有國家或大型機構(gòu)參與此事，提供了資金及技術(shù)支持?！斑@需要數(shù)量龐大的專業(yè)人員工作數(shù)百小時，花費高達數(shù)百萬美元才能被制造出來，而世界上只有少數(shù)幾個國家和地區(qū)具備這個能力，包括美國、英國、德國?！泵绹W(wǎng)絡(luò)影響中心主任斯格特·伯格認(rèn)為。這些特點，在Remsec身上同樣具備。

其次，隱蔽性、目標(biāo)性強于一般病毒。Lua的使用本身代表著一種“自我保護機制”，這種語言不易被安全軟件檢測到。Remsec的許多功能被植入計算機網(wǎng)絡(luò)系統(tǒng)中，通常藏身于用戶緩存而非硬盤中，因此極難被發(fā)現(xiàn)。據(jù)統(tǒng)計，盡管各國安全檢測機構(gòu)不斷升級過濾系統(tǒng)，但像Remsec這樣的高級精準(zhǔn)間諜軟件，業(yè)界每年只能追查出一兩個?？ò退够鶎Υ嘶貞?yīng)，盡管他們已然掌握對方的特點和路線，但這很可能是障眼法，“神行客”背后的資源要比想象的強大。

另外，目前發(fā)現(xiàn)的被“神行客”攻擊的機構(gòu)大多集中于政府部門、科學(xué)研究中心、軍事實體、電信運營商及金融機構(gòu)、企業(yè)IT系統(tǒng)等，通過監(jiān)測這些受感染的網(wǎng)站，開啟受損系統(tǒng)后門，竊取個人信息，收集情報。

美政府是黑客軟件最大購買方

據(jù)英國路透社早前報道，一直以來，美國政府才是黑客軟件的最大購買方，美國情報機構(gòu)和國防部每年花費巨資用于購買商用計算機系統(tǒng)。NSA局長基思·亞歷山大將軍曾表示，美國政府每年花費數(shù)十億美元研制網(wǎng)絡(luò)防御和構(gòu)造日益復(fù)雜的網(wǎng)絡(luò)武器，“旨在必要時，對外國計算器網(wǎng)絡(luò)發(fā)動進攻。”

多個美國聯(lián)邦政府機構(gòu)——國防部、國土安全部、美國宇航局、國家安全局曾參加過名為“防御態(tài)勢”的年度黑客大會。意在為政府招募黑客人才，國家安全局網(wǎng)絡(luò)防御的負(fù)責(zé)人表示：“我們需要把最優(yōu)秀、最聰明的人變成隨時應(yīng)戰(zhàn)的網(wǎng)絡(luò)武士。”但除了強化網(wǎng)絡(luò)安全任務(wù)之外，國家安全局對暗中從事的網(wǎng)絡(luò)間諜和其他的攻擊性活動，在公開場合幾乎只字不提。

讓人們憂慮的是美國政府在“棱鏡”曝光后仍一意孤行，越走越遠。美國政府利用龐大的信息優(yōu)勢，可直接進入美國國際網(wǎng)絡(luò)公司的中心服務(wù)器里挖掘數(shù)據(jù)、收集情報。同時，美國分布了絕大部分全球互聯(lián)網(wǎng)根服務(wù)器，并擁有全球最強大的互聯(lián)網(wǎng)產(chǎn)業(yè)及壟斷市場，網(wǎng)絡(luò)霸權(quán)濫用陰影一直籠罩其他各國。

對于美國黑客的戰(zhàn)略性入侵行徑，各國政府安全機構(gòu)都作出了相應(yīng)的對戰(zhàn)措施，在緊抓本國網(wǎng)絡(luò)核心信息安全的基礎(chǔ)上，量體裁衣，制定發(fā)揮本土網(wǎng)絡(luò)優(yōu)勢的防衛(wèi)方案。

日本、韓國等國家，早已組建“網(wǎng)絡(luò)軍隊”，成立專門的“網(wǎng)絡(luò)武裝力量”，以防備黑客攻擊，加強保護機密信息的能力。每年劃撥巨額的國防經(jīng)費，用以研發(fā)和改進實施網(wǎng)絡(luò)戰(zhàn)的核心技術(shù)。英國、俄羅斯、印度等國也紛紛加入“招募黑客”行動，網(wǎng)絡(luò)部隊黑客優(yōu)先，政府看重技術(shù)和智商優(yōu)于常人的網(wǎng)絡(luò)精英，計劃把這些人才和技術(shù)快速轉(zhuǎn)變?yōu)檐娛掠猛尽?/p>

面對網(wǎng)絡(luò)霸權(quán)國的時時挑釁壓力，深感鄰國網(wǎng)絡(luò)安全系統(tǒng)積極構(gòu)建的促動，中國網(wǎng)絡(luò)安全和信息國產(chǎn)化步伐也在不斷加快，第四屆中國互聯(lián)網(wǎng)安全大會于8月16日召開，大會以“協(xié)同聯(lián)動，共建安全+命運共同體”為主題，并首次舉辦四國多邊閉門論壇，邀請多國軍方代表討論國家間網(wǎng)絡(luò)空間安全，引領(lǐng)國家網(wǎng)絡(luò)信息安全走向。

（綜合摘編自《國際先驅(qū)導(dǎo)報》《環(huán)球》）