影子经纪人曝光NSA使用的Windows系统高危漏洞工具与Stuxnet如出一辙
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全4月18日讯 “影子经纪人”(Shadow Brokers)上周五再抛重磅信息,曝光NSA使用的Windows系统高危漏洞工具。
最新披露的文件中,有几处提到先前揭露的NSA绝密计划和软件,例如用来远程控制植入程序的“STRAITBIZARRE”,以及入侵SWIFT系统的“JEEPFLEA”,暗指这些工具的确从“方程式组织”(美国国家安全局NSA精英黑客团队)处窃取得来。
此次披露的文件中令人惊诧的是,该文件中包含“震网蠕虫”(Stuxnet)病毒中使用的一款工具。赛门铁克公司Stuxnet研究人员Liam O'Murchu表示,此工具是针对Windows MOF文件的漏洞利用,与Stuxnet使用的脚本几乎完全相同。Stuxnet与NSA工具之间确实存在很强的关联性,但目前还不足以断定这两者之间的关联。
O'Murchu解释称,尽管两者之间的关联性很强,但目前缺乏确凿的证据,因为在Stuxnet中发现的通用脚本后来被反向工程并由研究人员添加到Metasploit(热门开源黑客工具包)中。这就意味着使用Metasploit的任何人都可以创建与Stuxnet十分相似的MOF文件。
然而,影子经纪人周五泄露的MOF文件创建工具最后编译时间为2010年9月9日,也就是Stuxnet首次被发现三个月后,即代码被添加到Metasploit前不久。
以下是Stuxnet的部分脚本:
以下是影子经纪人曝光的部分脚本:
其它研究人员还注意到这两者之间存在明显的关联,两者均为MOF漏洞利用,并出现了不太明显的参考,例如披露工具中的ASCII艺术中带有“WON THE GOLD MEDAL”字样。据报道,Stuxnet行动的绝密代号是“Olympic Games”。
在线恶意软件库Virus Total表示奇怪的是,反病毒程序Avast将影子经纪人上周五曝光的其它漏洞利用检测认定为Stuxnet。
具有丰富反病毒软件分析经验的安全研究人员乔斯因-柯罗特表示,虽然可能存在误报,但出现这样的误报太奇怪了。
美国政府从未正式承认,NSA借助以色列政府黑客的帮助创建Stuxnet,并对伊朗核设施发起攻击。然而,这几乎成了公开的秘密。
影子经纪人长期以来声称,他们曝光的工具来自“方程式组织”。各方广泛认为,方程式组织就是为NSA效力的黑客组织。因此,许多人怀疑,影子经纪人披露的Stuxnet MOF文件创建工具可能就是NSA黑客和开发人员编写Stuxnet的最早技术证据。
当然,影子经纪人曝光的组织也可能只是简单间接获取了Stuxnet工具,并重新加以利用。
据报道,NSA先前已经参与开发并部署了Stuxnet,各界很难不认为方程式组织就是NSA的黑客组织。
01工业制造商霍尼韦尔要把黑客挡在你的车门外02威胁信息、威胁情报、完成情报三者之间有什么关系?03影子经纪人曝光NSA使用的Windows系统高危漏洞工具与Stuxnet如出一辙04朝鲜导弹发射失败 或是由美国网络攻击所造成0595后中专肄业生登上欧洲顶级安全会议舞台06美英两国联合推出RADICS计划 确保电网遭攻击时网络通信或卫星系统仍可运作07解密 | NSA的方程式组织如何控制“肉鸡”
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。