查看原文
其他

影子经纪人最终身份的可能性分析

2017-06-10 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全6月10日文 2013年,一个自称“影子经纪人”(Shadow Brokers)的神秘黑客组织窃取了美国NSA的机密文件。自去年夏天开始,该组织陆续将这些机密外泄,让强大的网络武器掌握在任何人手中,打击了NSA的情报收集能力,公然让NSA难堪。

影子经纪人曝光了思科路由器、微软Windows和Linux邮件服务器中的重要漏洞,让这些公司和客户陷入混乱。WannaCry勒索病毒攻击者正是利用他们泄露的漏洞利用才掀起一场“血雨腥风”。

WannaCry爆发后,影子经纪人甚至放言6月开始每个月都会发布更多NSA机密,为全球的网络犯罪分子和其它政府提供更多漏洞利用和黑客工具。

神秘的影子经纪人

到底影子经纪人是谁?他们是如何窃取NSA机密文件?目前无人能给出确切答案。安全专家布鲁斯·施奈尔根据影子经纪人发布的信息对其身份进行猜测。

影子经纪人去年8月突然“现身”,发布了一系列NSA黑客工具和漏洞利用。这份文件来自2013年秋天,似乎从NSA外部开发用服务器(Staging Server)收集,这台服务器为美国拥有、租用或控制,但与NSA无关。NSA黑客在互联网“暗角”隐藏了他们工作所需的工具,似乎影子经纪人成功入侵了NSA其中一个存储器。

影子经纪人共发布了4套NSA文件:

  • 针对路由器的漏洞利用和黑客工具;

  • 针对邮件服务器的漏洞利用和黑客工具;

  • 针对微软Windows的漏洞利用;

  • NSA分析入侵SWIFT银行网络的工作目录。

通过这些文件和其它资料泄露的时间来看,这些文件和资料均出自2013年。该组织上月泄露的Windows攻击时间可能在2012年或更早(根据工具支持的Windows版本判断)。

来源不止一个

几乎可以肯定的是,影子经纪人发布的文件来自多个NSA来源。SWIFT文件似乎来自NSA内部计算机。微软文件似乎来源也不同,因为这些文件与路由器和邮件服务器文件的标识信息不同。

影子经纪人还用蹩脚的英文发布了匿名信息,但却懂一定的美国文化背景。而且,影子经纪人发布的所有资料都均未编辑,而记者和维基解密分别对斯诺登文件和CIA机密进行了编辑。

排除特工

鉴于此,施奈尔推测,揭发者不是NSA特工。即使有可能,似乎揭发者不会等上三年才泄露。NSA特工会像斯诺登或曼宁一样花一段时间收集数据,之后立即发布。此外,还会公布包含美国对目标采取措施的讨论文件,而不单是大量攻击工具。

一堆漏洞利用代码无法暗示揭发者希望强调的政治或道德意图。SWIFT文件记录了NSA的行动,而其它文件表明NSA正在囤积攻击漏洞,而不是帮助修复漏洞并提升安全。

普通黑客冒险的可能性太小

如果说是有黑客无意中发现这些工具,而只是试图再次伤害NSA和美国,那么等上三年才这么干,貌似不和逻辑。这些文件和工具就是网络氪石(DC漫画《超人》系列中能够伤害超人的一种假想矿物),任何秘密囤积的人都会陷入危险。

网络犯罪分子?

从文件公布的时间来看,如果说泄露者是网络犯罪分子,似乎也说不通。犯罪分子可能会自行利用这些黑客工具,将这些漏洞利用融入蠕虫和病毒,通过盗窃获利。

国家攻击者的嫌疑无法排除

还有一种可能:国家。

幕后黑手有能力入侵NSA或CIA,且愿意公之于众。以色列和法国均具备这种能力,但这些国家可能不会选择公之于众,因为他们不想与美国拉仇恨;如果是朝鲜和伊朗这样胆儿肥的国家,他们可能不具备这样的能力。目前,符合这种标准的国家为数不多。

影子经纪人去年8月第一次公开文件时,俄罗斯就被认为是泄露的幕后黑手,有人认为俄罗斯向奥巴马指控其入侵民主党全国委员会的警告。斯诺登也猜测是俄罗斯所为。

但这种推理仍存疑,因为秘密保留这些工具更具价值。俄罗斯可以检测NSA对其实施的黑客行为,并借此攻击其它国家。然而,影子经纪人公布这些工具表明,他们不在乎美国是否知道这些工具被盗。

也许,攻击者和美国都心知肚明。然而,以攻击者 “不在乎”的态度来看,思考模式毫无战略性,如果是国家攻击者,这似乎有些说不通。

内鬼?

施奈尔基于他与其它无权掌握机密取证和情报分析的人讨论后得出的猜测。当然,NSA内部人员掌握的信息更多,许多公布的文件包括操作注释和识别信息。NSA研究人员肯定确切地知道哪些服务器遭遇了攻击,且知道攻击者可能获取了哪些信息。

与斯诺登泄露的文件一样,NSA内部人员可能只知道攻击者可能窃取的资料,而不知道到底窃取了哪些资料。但是,就在影子经纪人公布文件前几个月,NSA确实提前向微软提醒了Windows漏洞。NSA是否监听了文件盗窃分子,这一点不得而知。

那么,影子经纪人是怎么做到的? NSA内部是否有人意外在外部网络搭建了错误的服务器。但NSA这样的机构犯这种“菜鸟”级错误的可能性相当小。难道是某人入侵了NSA?或NSA有内鬼?

施奈尔认为,如果有内鬼,此人应该在影子经纪人公布文件之前就已被捕。

内鬼这条思路存在两种可能性

一种可能是文件来自哈尔·马丁。马丁是NSA的承包商,他因囤积机密于今年八月在家中被捕。他不可能是文泄露者,因为他在监狱服刑期间,影子经纪人仍在活跃,或许是泄密者从他那里获取了文件,即马丁将文件交给泄密者或他自己遭遇了黑客入侵。从时间来看,这种推测在理论上是成立的,但是,文件的内容是针对具有访问权限不同的人。马丁的公开起诉书也未提及将机密售卖给外国一事。

如果文件来源是马丁,那么,可以大胆猜想,任意一个黑客可能会无意中发现这些文件,而无需具备国家网络攻击技能。

另一种可能是还存在一个神秘的NSA泄密者。难道是此人窃取了NSA文件交给了其它人?

据报道,某官员表示,2015年夏季还发生过另一起未披露的网络攻击工具泄露事件,是TAO的员工所为,此人也已被捕,但这起案件并未公开。据称,此人未将情报与他国共享,但这只是所谓的“据称”,并不能说明没这么干。

但是奇怪的是,美国并未因此公开逮捕与这些事件有关的任何人。如果NSA知道文件来源,就肯定知道谁获取了这些文件,会长时间盘问相关人员,应该知道某人是否无意或故意泄露了文件。然而,也许情况远比施奈尔意识的复杂得多。

智能手机或在6月之后面临严重威胁

但是,事情还没完。近日,影子经纪人宣布会开闸放货,每月都会泄露数据。他们正在陆续售卖未公开的NSA攻击工具。去年他们也这样尝试过,并声称如果无人付费他们将会公开发布。

影子经纪人之前的表现让人大跌眼镜,接下来几个月,该组织可能会公布针对Web浏览器、网络设备、智能手机和操作系统的新漏洞利用。他们甚至威胁会释放NSA截获的情报,包括来自SWIFT网络和银行的数据,来自俄罗斯、中国、伊朗的数据,或朝鲜核武器和导弹计划数据等。

虽然影子经纪人身份成谜,但事实就是他们窃取了大量NSA机密,无论出于什么原因,他们也确实将这些文件公之于众, NSA、乃至全球可能将会度过一个无比漫长的夏天。

相关阅读:

影子经纪人曝光NSA使用的Windows系统高危漏洞工具与Stuxnet如出一辙

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存