今年4月14日，影子经纪人黑客组织曾经进入NSA网络，曝光了该局一批档案文件，同时公开了该局旗下的“方程式黑客组织”使用的部分网络武器。实际上早在去年，影子经纪人就已经窃取了美国国家安全局的网络武器。2016年8月13日，黑客组织影子经纪人通过社交平台称，已攻入美国国家安全局(NSA)的网络“武器库”——“方程式组织”，并泄露了其中部分黑客工具和数据。

方程式组织隶属于NSA，被称为NSA的网络“武器库”。有业内人士表示，方程式组织是全球最顶尖的黑客团队，这个团队的加密程度无人能及。2010年毁掉伊朗核设备的震网病毒和火焰病毒，也被广泛认为出自方程式组织之手。

据说方程式组织使用的网络武器有十款工具最容易影响Windows个人用户，包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。

这其中的网络武器，包括可以远程攻破全球约70%Windows机器的漏洞利用工具。这次事件就是永恒之蓝实现的，实现方法是加密重要文件，这个加密算法以目前的科技水平基本上没法破解。无需任何操作，只要联网就可以入侵电脑，瞬间血洗互联网。

历史资料显示，影子经纪人在互联网上初露锋芒是在2016年8月。这个神秘黑客组织宣布自己攻破了NSA的防火墙，并且公布了思科ASA系列防火墙、思科PIX防火墙的漏洞。

据《连线》报道，当时影子经纪人明目张胆地在推特上表示，他们将免费提供一些网络攻击和黑客工具的下载，而这些攻击武器均来自另一黑客团队方程式组织。

影子经纪人公布的文件

在声称盗取了方程式组织的攻击武器之后，影子经纪人开始在网上拍卖这些文件。影子经纪人表示，如果他们收到超过100万比特币，他们就会释放他们已经拥有的更多的黑客工具。但那次拍卖最终只获得了价值25美元的比特币。

2016年10月，影子经纪人停止了销售，并开通了类似众筹的活动。他们表示，如果最终他们完成10000比特币的众筹目标，就将提供给参与众筹的人每人一份黑客工具。当两个月后，该组织的众筹尝试再次宣告失败。

但影子经纪人并没有因此放弃利用这批文件赚钱的努力。他们之后开始在ZeroBin上小批量地销售黑客工具。2017年1月，该组织以750比特币的价格出售一批能够绕过杀毒软件的Windows黑客工具。

有媒体评价称，影子经纪人好像黑客中的军火商。他们时常会贩卖高级的攻击武器，有时也贩卖重要的世界军政信息。他们喜欢在竞争对手之间贩卖武器，客户在发现对手的攻击能力和本人一样后，很自然就会成为影子经纪人的回头客，以求购更新的“武器”配备。

继2016年的拍卖失败以后，影子经纪人最重要的发布发生在今年4月中旬，该组织声称获得了NSA黑客工具的详细信息，据说美国政府正是利用这些工具入侵国际银行系统，侦查各国间资金流向，监控中东和拉美国家银行间的资金往来。

影子经纪人从方程式组织获取的这份300M的泄密文档显示，其中的黑客工具主要针对微软的Windows系统和装载环球银行间金融通信协会（SWIFT）系统的银行。这些恶意攻击工具中，包括恶意软件、私有的攻击框架及其他攻击工具。根据已知资料，其中至少有涉及微软23个系统漏洞的12种攻击工具，而这次造成勒索病毒的永恒之蓝，不过12种的其中之一。

不过，随后SWIFT否认了曾被黑客攻入。按照英国广播公司的说法，如果4月曝光的资料和工具被确认来自NSA，这将是“棱镜”事件后，NSA遭遇的最严重“爆料”。

幕后黑手究竟是谁？

本次勒索病毒事件发生后，受到波及的多国开始采取应对措施，欧洲刑警组织也对“幕后黑手”展开调查。

5月13日，欧洲刑警组织在其官网上发布消息称，欧洲刑警组织已经成立网络安全专家小组，对发动本轮网络攻击的“幕后黑手”展开调查。但“幕后黑手”究竟是谁？这一问题一直困绕着各方，各种猜测风靡网络。俄罗斯、朝鲜和黑客组织都成为怀疑对象。

俄罗斯

网上盛传的“幕后黑手”有的剑指俄罗斯，认为俄罗斯就是本次勒索病毒事件的幕后黑手，但也有人认为不可能是俄罗斯。

先前俄罗斯常常是不少黑客攻击活动的发起地，如俄罗斯黑客被指控侵入美国民主党全国委员会的网站，欲暗助共和党候选人特朗普当选美国总统，以及最近的法国总统选举以来影响最大的计算机攻击事件。

虽然，俄罗斯政府已再三否认俄方涉及法国总统大选黑客入侵事件。但是，俄罗斯依然被怀疑与此次勒索病毒“WannaCry”有关，且最近数年，一个俄罗斯黑客集团利用Gameover Zeus病毒发布一款被称作Cryptolocker的勒索件。

由于黑客攻击“美国大选”与“法国大选”事件，俄罗斯成为了发布“WannaCry”这款勒索软件的被怀疑对象。

据英国《每日电讯报》网站5月12日报道，一个可能与俄罗斯有关的网络团伙被指与全世界范围内的电脑安全漏洞有关，他们或许是为了报复美国在叙利亚的空袭行动。不过目前并没有证据表明他们与WannaCry存在联系。

据5月16日俄罗斯卫星通讯社莫斯科报道，俄罗斯国防部发布消息称，勒索病毒（WannaCry）对该部网络信息基础设施的攻击都及时被发现并成功被拦截。俄国防部一名高官透露：“勒索病毒对国防部互联网上的信息基础设施的攻击都及时被发现，并立即被阻止。利用易受攻击的Windows系统的勒索病毒，完全无法对军队作战管理进程进行破坏。”他还说，至于国防部那些上网的电脑，都由现代和不断更新的国产软件系统加以保护，成功抵御现有的以及可能出现的网络威胁。

由此可见俄罗斯不仅“前科累累”，俄军方还具备抵御并拦截勒索病毒的能力，这次事件中，俄铁路、银行医院等单位的内网并未受影响。

当然一切都没有被证实，也仅仅是猜测而已。

朝鲜

WannaCry勒索病毒攻击分布图中，全球有互联网基础的国家几乎都被沦陷，但朝鲜却幸免于难。朝鲜周围的韩国、中国等均被蓝点密集覆盖（表示该地区受到了勒索病毒的影响），唯有朝鲜地区一片空白。各种猜测说朝鲜是此次WannaCry攻击的幕后黑手，当然也有人表示怀疑。

据《福布斯》5月16日报道，世界各地的政府和安全专家都开始调查谁是“WannaCry”勒索软件大规模爆发背后的推手，他们发现了一个线索，本次勒索事件的幕后黑手或来自朝鲜。

线索在于代码。谷歌安全研究员梅赫塔（Neel Mehta）发布了一条神秘的推文，提到了两款恶意软件的样本：一个是WannaCry，另一个样本，是一个名为拉撒路机构（Lazarus Group）的黑客团伙的创作，后者与2014年对索尼的灾难性攻击相关联，事件起因于索尼公司发行的“以刺杀朝鲜最高领导人金正恩”为主题的电影。并且拉撒路机构还被认为攻击了SWIFT 银行系统导致孟加拉国的一家银行遭受网络盗窃，盗窃金额达到了创纪录的8100万美元。根据许多安全公司的以前的分析，拉撒路集团也属于朝鲜。

在梅赫塔发推文之后，卡巴斯基实验室检测了代码，安全软件开发商Proofpoint安全研究员达里恩·哈斯（Darien Huss）和安全公司Comae Technologies的创始人、安全专家马特·苏彻也进行了代码监测。所有人一直在积极调查和捍卫网络安全，对抗WannaCry，并都发现了勒索软件与朝鲜之间可能的关联。

梅赫塔和研究人员在这款勒索软件中发现，一大块WannaCry的代码100％与Contopee的代码相同，而Contopee是拉撒路集团使用的恶意软件。WannaCry从2017年2月出现，而Contopee是从2015年2月开始。

在两个恶意软件样本中，黑客都使用了明显相同的代码，用于随机代码生成；勒索软件会生成0到75之间的随机数，并将其用于数据编码，对恶意软件的操作进行混淆，以躲过安全工具的检测。

卡巴斯基实验室基于复制的代码表示，这是“目前为止，WannaCry起源最重要的线索”。卡巴斯基实验室全球研究和分析团队主管CostinRaiu认为，梅赫塔正在调查的恶意软件似乎与英国BAE系统公司的发现一样，即将孟加拉国银行失窃与拉撒路集团联系起来。“当然，目前还需要更多的研究，但是梅赫塔可能会发现关于WannaCry有启示作用的发现。”Raiu补充道。

苏彻对此表示同意：“关于拉撒路集团的叙述，是对的，这个集团以攻击如银行这类金融机构而臭名远播，他们以勒索软件的方式，借助口令货币窃取资金的事实，将被视为同样的勒索手法。”

让这条线索特别引人注意的是，代码似乎是独一无二的，只与拉撒路集团有联系，与其他任何方面都没有关系。一位要求匿名的研究人员表示，在可以访问的大型病毒库中，将代码与恶意软件进行比较，却几乎没有匹配的已知恶意软件。他说，使用WannaCry的黑客，很有可能只是从拉撒路集团所使用的工具中借用了非常有限的一部分，没有其他恶意软件的代码，这使得两者相关联的可能性更大。

对于认为朝鲜是WannaCry攻击的幕后黑手，也有人认为还是要保持怀疑。有安全专家表示，现在就下定论，还为时尚早。这些信息可能本身就是用来误导研究人员和执法机构的。

所有人都相信，梅赫塔的发现可以为找出WannaCry的可能创造者提供线索。他们也都注意到，代码中虽然出现了相似之处，但是代码中的信息可能也只是一个虚假的标志，黑客有意地将其提供在代码中，引导大家找错方向。所以，这并不意味着勒索软件就是由同一个黑客拥有。

正如哈斯所指出的那样，拉撒路集团就是以基于开源代码制作工具而出名。他补充说：“我的主要担忧是，这些重叠的代码可能本身就是窃取而来的。我们应该谨慎，因为这是一个真正的可能性，这只是两个不同的组织复制的代码，恰好重叠而已。”

黑客也会经常借用别人的代码。事实上，也可能是一个黑客集团发现了拉撒路集团的工具，并重新使用了这些工具。或者，正如塔库尔指出的那样，可能有二千个恶意软件样本在一些地下论坛上被秘密分享，而犯罪分子则正在共享工具。在几乎没有线索的情况下，WannaCry的受害者共支付了价值7万美元的比特币，尚未追溯到任何犯罪者，至少目前是这样。

朝鲜红星操作系统

有网友认为，朝鲜用的是自主研发的操作系统！而此次WannaCry针对的是Windows系统。朝鲜自主研发的操作系统名为红星，属于Linux的朝鲜深度定制版。所以朝鲜的电脑没有受到攻击很正常。

虽然目前判断谁发动了此次攻击还为时过早。不过，朝鲜作为可疑的始作俑者不能被排除在外。

360核心安全团队负责人郑文彬认为：勒索病毒的溯源一直是比较困难的问题。曾经FBI悬赏300万美元找勒索病毒的作者，但没有结果。目前全球都没有发现本次WanaCry勒索病毒的作者来自哪里。但从勒索的方式看，电脑感染病毒之后会出现包括中文在内十五种语言的勒索提示，且整个支付通过比特币和匿名网络这样极难追踪的方式进行，很有可能是黑色产业链下的组织行为。

夸大的舆论和疯狂的A股

在中国，高校以及公安系统成了“WannaCry”的重灾区；目前全国有数十所高校网站感染此病毒；北京、上海、江苏等地的出入境、公安路网也遭到病毒的攻击。类似的事情发生在了盐城某出入境管理大队，大队一度暂停了业务办理，好在通过抢修，系统已基本恢复。

但在媒体铺天盖地的报道中，也不乏夸大其词，将影响面不断扩大的的言论，火绒安全创始人马刚才在接受采访时对安在举例：病毒只攻击Windows系统的电脑，手机等终端不会被攻击，包括Unix、Linux、Android等系统都不会受影响。例如下图，明显是假的，是造谣者PS的。

比“熊猫烧香”势头还猛的“WannaCry“病毒，其背后的比特币勒索”阴谋论“是真的吗？

事件发生后，原本以为幕后组织会因此大捞一笔的时候，黑客当前却只收到约合34万元人民币的赎金，原因是多数用户不懂比特币的操作。

（图片来源：比特币交易网）

自5月后，比特币的价值就呈上涨趋势，5月13日成交量为975568，收盘价格是10455.12人民币。

黑客为了隐藏自己的身份，会选择具有匿名特质的比特币，其次比特币无国界，跨境的汇款方式，只需要等待P2P网络确认交易后，资金就可以会给对方了，说得直白点就是交易的过程不经过任何管制机构，所以也不会留下任何交易记录，对于黑客而言，不被发现踪迹的交易是保护他们不被发现的首要条件。

比特币勒索事件发生后，虽然其价值下跌10%的，但长期的走高趋势还是吸引了比特币投资者购入一部分比特币；然而比特币的数量是有限的，投资者数量多，购入多会导致比特币的价值会上涨；除了用比特币勒索，毒品交易、洗钱等违法行为都被不法分子利用，目前来看还未有一个国家对比特币交易出台有效的监管政策。

受此事件的影响，5月15日，A股网络安全板块全面爆发，相关指数涨幅超过5%，一扭今年以来的颓势，龙头股启明星辰（002439.SZ）、蓝盾股份（300297.SZ）等“一字板”开盘。截至5月18日，网络安全板块上涨超过3%。而随各家公司紧急推出应对措施，恐慌情绪得到遏制。网络安全板块吐回部分涨幅。

值得注意的是： 年初至今，信息安全板块表现一直乏力，事件发生前，估值已下降到板块新低。计算机板块年初至今下跌5.76%，2016年以来，网络安全指数跌幅超过 40%，在计算机行业概念板块中领跌。

专业人士分析，此次事件将给信息安全产业带来深远影响，会极大的促进整个网络安全市场，如信息产业安全政策将加速落地，整个社会的信息安全意识将全面提升，各级安全部门、政府部门、企业组织都将加大自身网络安全建设，由此引发的后续的网络安全需求将会快速增加

而在事件不断发酵的同时，一些阴谋论的声音也异常喧闹， 有脑洞大的人认为，这次的病毒入侵或许是微软，苹果搞出来的。微软或许在这场攻击中走向两个极端，一个就是全面走向Win10，另一个就是用户可能放弃微软，走向苹果，这样看来，苹果似乎是渔翁得利了，但这背后又突然符合了那个“阴谋论”了。

“WannaCry”牵出了错综复杂的互联网、政治关系，随着事态愈演愈烈，到最后只能断网，好在现在手机支付系统还未被入侵，否则全球支付系统估计都得崩溃。

对中国的网络安全影响意义，大咖们怎么看？

“永恒之蓝”勒索病毒事件则让人们意识到，今后互联网或将成为恐怖主义肆虐的新战场。

今天，在解读上周末爆发的勒索病毒事件时:

周鸿祎举例称，今天每个人都离不开手机，如果病毒进攻用户手机，就可能导致用户寸步难行或者倾家荡产。虽然此次勒索病毒并未蔓延至个人手机，但周鸿祎认为这只是时间问题，一定会蔓延至手机。除手机外，其他智能设备如摄像头，智能音响、智能电视、电视盒子、智能汽车所有的东西都可能成为攻击的入口，都可能成为漏洞。”

“这次勒索病毒利用的系统漏洞实际上来自于美国国家安全局。武器很先进，但这次的武器落到了一帮有点搞笑的毛贼手里，相当于他们搞到了一枚网络核弹，但他们却用来干了一件很低俗的敲诈勒索的事情。”

周鸿祎认为，网络攻击的新时代已经被开启了。互联网已经非常深入的与每个人的工作、生活紧密结合在一起。未来，整个国家和社会都将运转在互联网之上，如果遭受大规模的互联网攻击，对整个社会秩序、社会稳定，对每个人的日常生活都将带来巨大影响。

周鸿祎认为，企业应该提高安全意识。这次勒索病毒的爆发会成为一个里程碑事件，网络安全进入新常态，“高危漏洞+网络武器”会成为标配，漏洞将会变成研究重点。“很多企业有认识误区，总说装了一个安全软件就能高枕无忧。漏洞是网络安全中最致命的，很多企业却认为，有漏洞又不会死人，就不修补漏洞。”

周鸿祎同时建议，企业应该在平时多注意修补漏洞，及时打补丁。“内网”已经被证明落后，并不安全。“之前很多企业认为，内网和外网隔离开就安全了，这种思想是落后的。从这次勒索病毒的传播来看，内网这次成为重灾区。原来所谓的内网隔离，由于目前移动办公的需求，内网的边界已经被打破了。”另外，内网不连接互联网，操作系统和软件不能升级，这也让安全问题难以得到解决。