蠕虫病毒、间谍软件……美网络武器库都有啥凶器
国际新闻(原创)来源:广州日报 2017年05月17日 12:16
我要分享
原标题:
美国国家安全局
中招“想哭”勒索软件的电脑界面。
“想哭”勒索软件肆虐全球几天后,幕后黑手追查终于稍有眉目:网络安全公司俄罗斯卡巴斯基实验室和美国赛门铁克公司15日表示,这个勒索软件可能与一个叫“拉扎勒斯”的黑客组织有关,在这次网络攻击中,他们利用从此前泄露的美国国家安全局(NSA)网络武器库中的黑客工具“永恒之蓝”制作了恶意勒索软件。
路透社曾援引美国联邦政府公布的数据以及情报部门官员的话报道称,美国90%的网络项目开支用于研发黑客攻击武器,各种攻击武器可侵入“敌人”的电脑网络、监听民众、令基础设施瘫痪或受阻。网络安全专家指责,美国斥巨资研发黑客攻击工具而非自卫机制,造成全球网络环境“更不安全”。
广州日报全媒体记者 温俊华 编译
“勒索软件不是由美国国安局开发,而是由犯罪团伙开发,可能是犯罪分子,也可能是外国政府。”美国总统国土安全与反恐助理博塞特15日回应“想哭”勒索软件事件时说,但他回避了美国情报机构外泄的黑客工具是否会在未来导致更多网络攻击的问题。
实际上,引发此次勒索软件肆虐的NSA网络武器库泄露早于去年8月就被披露出来。当时,一个名叫“影子中间人”的黑客组织宣称已攻入NSA下属的“方程式组织”黑客组织,盗取其网络武器库。“影子中间人”通过社交平台泄露其中部分黑客工具和数据,并以100万个比特币(价值约为5.68亿美元)的高价公开拍卖完整数据包,但叫卖没有引起回应和广泛的关注,最终流拍。
此后,“影子中间人”几次尝试出售NSA网络武器库都没有成功,其最近一次曝光NSA网络武器的信息发布于今年4月中旬,该组织称NSA曾入侵国际银行系统,以监控一些中东和拉丁美洲银行之间的资金流动。NSA网络武器库黑客工具“永恒之蓝”据信就是由“影子中间人”泄露的。
尽管“影子中间人”牟利的目的未能实现,但其盗取的黑客工具源自NSA的说法却被认为可靠性很高。去年“影子中间人”公布部分黑客工具和数据时,“棱镜门”事件曝光者斯诺登就提供了一份NSA“恶意软件植入操作手册”,佐证“影子中间人”叫卖的网络武器携带NSA的虚拟指纹。例如,NSA“恶意软件植入操作手册”指导操作人员在使用一个恶意软件程序SECONDDATE时,需要借助一个特殊的16位字符串“ace02468bdf13579”,而“影子中间人”泄露的几十个黑客工具中,工具SECONDDATE就在其中,其相关代码更是大量包含这一字符串。
提到NSA网络武器库,就绕不开“方程式组织”。这个黑客组织被认为是NSA一个“不愿承认”的部门,近似“奇幻熊”黑客组织之于俄罗斯。在2015年被卡巴斯基实验室“抓现行”之前,“方程式组织”隐秘地活跃了15年之久。媒体报道称,由于恶意软件开发、行动技术突破和对目标封锁所花费的时间、金钱均由国家资助,项目资源几乎不受限,“方程式组织”得以成为全球“最牛”的黑客组织。
在卡巴斯基实验室此前公布的“方程式组织”制造的 42 个国家范围内的500 次感染中,伊朗、俄罗斯、巴基斯坦、阿富汗、印度、叙利亚、马里名列前茅。由于恶意软件内置自毁机制,“方程式组织”的攻击很难被追踪,因此此次武器库泄露的黑客工具和此前暴露的一些攻击手法,仅能代表NSA网络武器库的冰山一角。
部分NSA网络武器
NSA下属“方程式组织”由卡巴斯基实验室发现并命名,名字来源于他们在网络攻击中对使用强大加密方法的偏好。在此前的网络攻击中,他们曾使用蠕虫病毒、硬盘病毒、间谍软件、基于网络展开攻击等多种攻击手法。
Fanny蠕虫病毒
Fanny 蠕虫病毒是最厉害的蠕虫病毒,可以入侵有网闸隔离的网络。Fanny 蠕虫病毒使用了一种独特的基于USB 的控制机制,主要通过U盘感染来实现。
U 盘中有一个隐藏存储区域可收集来自被隔离网络的基本系统信息,当感染蠕虫病毒的U盘被插入后,在联网状态下,可立即将收集到的信息发送给攻击者;如果攻击者想要对被网闸隔离的网络环境运行指令,他们可把指令通过蠕虫病毒存储在U盘的隐蔽空间,当U盘被插入目标电脑后,蠕虫病毒会自动识别并运行指令。
“震网”病毒
据报道,“震网”是首个专门针对工业控制系统编写的破坏性病毒,其中含有 Fanny 蠕虫病毒的漏洞入侵技术,能够利用对Windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击,据称由美国与以色列政府共同研发。
“震网”病毒结构异常复杂、隐蔽性超强,在电脑操作员将被病毒感染的U盘插入USB接口后,这种病毒就会在不需要任何操作的情况下,取得工业电脑系统控制权。
在对伊朗核设施的攻击中,该病毒突然更改了离心机中的发动机转速,这种突然的改变足以摧毁离心机运转能力且无法修复,且在离心机失控后,病毒仍向控制室发出“工作正常”的报告,令离心机在“神不知鬼不觉”的情况下被摧毁。 间谍软件
Regin间谍工具是赛门铁克公司2014年发现的一款先进的隐形恶意软件,可躲避常规反病毒软件检测。该恶意软件被指从2008年起就用于监视政府、公司和个人,被认为与NSA关联。
赛门铁克公司指出,Regin间谍工具使用了多项隐形技术,需要投入大量时间和资源,间接表明其是一个“国家”所开发的产品。Regin恶意软件允许黑客发起一系列的远程木马攻击,包括窃取用户密码和数据,截获用户鼠标点击功能,从被感染的计算机上捕捉截图,以及监控网络流量、从Exchange数据库里分析电子邮件等。 硬盘病毒
卡巴斯基实验室的一份报告曾披露,NSA可能在硬盘固件中植入了病毒,改写受感染计算机的硬盘固件。
报告称,由于病毒被写入固件,因此在硬盘通电之后就能激活病毒。这款恶意固件创建了一个秘密的信息存储库,能有效防止军队级别的磁盘擦除和重新格式化,使从受害者处窃得的敏感数据即便在重新格式化驱动、重装操作系统后仍然可用。
PHP入侵代码
“方程式组织”曾被发现利用恶意PHP入侵代码攻击Oracle的Java软件框架或IE浏览器中的漏洞,范围涉及从科技产品测评到伊斯兰圣战组织论坛的各类网站。这种入侵有着如外科手术般的精准性,可以保证仅有一个特定目标遭到感染。在一个入侵案例中,“方程式组织”PHP脚本还特别留意避免感染约旦、土耳其和埃及的 IP 地址。