老大哥正在盯着你：NSA 被曝监控其它 APT 组织

翻译：360代码卫士团队

一年前，神秘的黑客组织“影子经纪人”泄露从美国情报机构国家安全局 (NSA) 盗取的大量敏感信息，当时人人都开始从中寻找秘密的黑客工具和  0 day 利用代码。

匈牙利密码学和系统安全 (CrySys) 实验室和Ukatemi 公司的研究人员披露称，NSA 被泄资料不仅仅包含用于控制目标系统的 0 day 利用，还包含一系列用于追踪其它国家黑客行动的脚本和扫描工具。

“领土争端”团队负责监控并栽赃其它 APT 组织

Intercept 在刚刚发布的报告中指出，NSA 专门从事这项任务的 “领土争端”(Territorial Dispute, TeDi) 团队开发了一些脚本和扫描工具，有助于 NSA 检测位于受其感染的目标设备上其它国家黑客组织的行动。

NSA 黑客使用这些工具扫描目标系统上是否存在妥协指标 (IoC)，以便保护自己的行动不被暴露，并且找到外国威胁行动组织会窃取那些材料以及是通过何种技术实现的。

报告指出，“当 NSA 黑掉位于伊朗、俄罗斯和中国等国家的机器后，它想知道外国间谍是否也位于同一台设备上，因为这些黑客能窃取 NSA 工具或监控 NSA 在这些设备上的攻击活动。”

报告还指出，“如果其它国家的黑客噪音大而且表现鲁莽，也会导致 NSA 的攻击行动遭暴露。因此基于对设备上其它黑客行动的观察，NSA 可能会非常谨慎地决定退出或继续行动。”

NSA 所属的“领土争端”团队维护数字签名（如文件指纹和多种黑客组织的片段）的数据库，目的是追踪 APT 攻击活动以便让其对攻击负责或者说背锅。

研究人员指出，当影子经纪人黑客组织在2013年入侵了 NSA 网络并盗取了敏感文件时，NSA 至少在追踪45个不同的国家 APT 组织。

NSA 提前3年追踪韩国黑客组织行动

另外，NSA 似乎在2011年就开始追踪“黑暗旅馆 (Dark Hotel)”黑客组织使用的某些工具，这要比其它安全社区发现这个组织的时间早整整3年左右。

“黑暗旅馆”据称是来自韩国的一个复杂网络间谍组织，因通过攻击旅馆无线网络监控制造、国防、投资资本、私募、汽车和其它行业组织机构的高管而为人所知。

研究人员计划于本周在坎昆举行的卡巴斯基安全峰会上发布 NSA 脚本和扫描工具研究成果，从而帮助其他研究人员深入挖掘 NSA 在追踪的更多 APT 组织。

CrySys 实验室最出名的研究成果是在2011年披露了以色列监控工具 Duqu。据悉，这款工具是由在美国帮助下开发出破坏伊朗核计划的“震网”恶意软件的那伙以色列黑客开发的。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。