收藏 [登录/注册] 欢迎
榕基门户网及子站
联系我们
  • 福建榕基软件股份有限公司
  • 电话:0591-87860988
  • 传真:0591-87869595
  • 地址:福建省福州市鼓楼区
  •    软件大道89号
  •    A区15座
  • 邮编:350003
您的当前位置:首页 > 技术支持 > 安全公告

真相依旧扑朔迷离:5大问题回顾NSA被黑事件

事件概述

在此之前,美国民主党全国委员会的计算机系统曾遭受到了不明身份的黑客攻击,并泄漏了大量机密文件。而在不久之后,美国的总统选举系统也遭到了黑客的入侵。

根据国外媒体的最新报道,美国方面认为此次攻击总统选举系统的攻击者是俄罗斯黑客,而且分析数据表明,这些黑客似乎还得到了俄罗斯政府的资助和支持。近日,美国情报机构和美国国土安全部门均站出来公开指责俄罗斯黑客干扰或破坏美国的总统大选。

事件详情

在此之前,2016年美国总统选举系统曾遭受到了黑客的入侵,此次攻击很可能会导致选举网站发生瘫痪,但是并不会对美国2016年总统选举进程造成什么实质性的影响。而在今年的107日,奥巴马政府就此次攻击事件公开指责了俄罗斯政府。

在过去的十八个月里,网络攻击者入侵了民主党全国委员会的计算机和网络系统,并泄漏了大量机密邮件和其他的一些数据文档。根据知情人士透露的消息,这一系列针对选举系统的黑客攻击活动其目的就是为了干扰或破坏即将到来的美国总统大选。107日,美国国土安全部和美国情报机构明确地表示这一系列攻击事件背后的始作俑者就是俄罗斯政府。

美国情报机构在一份联合声明中表示:通过对各方面数据进行了详细分析之后,美国情报机构已经可以确定,此次窃取美国政府部门、美国政治团体、以及政府高官电子邮件背后的攻击者肯定是俄罗斯政府。攻击者在成功窃取到了这些机密数据之后,便将它们公布了出来。此举意图非常明显,他们就是为了干扰或破坏2016年的美国总统大选进程。

在此之前,各种各样的选举闹剧曾引起了共和党总统候选人对于选举系统安全性的担忧。而安全研究专家表示,相关部门并没有定期对选举系统进行常规的安全审计,这也就使得攻击者有机可乘了。而就在这人心惶惶的时候,一个自称名为“Guccifer 2.0”的黑客(或黑客组织)将大量机密邮件泄漏了出来,并且表示这些邮件全部来源于民主党全国委员会的网络服务器。毫无疑问,此次泄漏事件绝对是在火上浇油。除此之外,在过去的六个月时间里,攻击者针对美国选民登记数据库和各个州的选举网站的攻击活动数量也处于一个不断增长的状态。

事件调查

根据安全研究专家的调查结果,俄罗斯针对美国选举系统的攻击活动已经持续了数月之久。虽然在通常情况下,美国并不会过多地去关注其他国家的黑客活动,但是此次攻击事件的性质与普通的网络攻击是不一样的。此次攻击涉及到了国际政治,因为美国和俄罗斯两国在处理叙利亚战争的立场上持有不同的观点。但是此次网络攻击事件是否可以定性为政治报复,这就不得而知了。

由于美国需要考虑到政治外交方面的影响,再加上攻击者的身份难以识别,美国通常不会随意指责其他国家的网络间谍活动和计算机攻击活动。但是假如美国手中握有十足的证据,或者为了达到某些政治目的,那情况就另当别论了。在201412月份,奥巴马政府曾确定了针对好莱坞电影公司索尼影业的攻击源。安全研究人员表示,那次攻击是由朝鲜黑客发动的,朝鲜黑客成功地入侵了索尼影业的网络系统,并且将该公司的大量机密邮件泄漏了出来。在20135月份,美国还曾指责中国黑客多年以来一直在互联网上进行一系列的间谍活动。

美国国土安全部和美国情报机构均认为,此次利用“Guccifer 2.0”这个虚拟身份来泄漏机密邮件的操作手法与俄罗斯政府惯用的伎俩是相符合的。而且需要注意的是,此次攻击活动的目标是为了干扰或破坏美国的总统大选,这也就意味着,这类攻击活动必须在得到政府高层领导的批准之后才可以实施。

知情人士透露:像这样的攻击活动在莫斯科已经屡见不鲜了。在此之前,俄罗斯政府还曾使用过类似的手段来对付过欧洲和亚欧大陆的多个国家,并以此来影响目标国家的公众这两天,NSA被黑事件,或者叫方程式事件,或者叫The Shadow Brokers(国内有媒体将之译作影子经纪人”)事件仍在如火如荼地发酵中。很多小伙伴恐怕都已经看过了大量报道。如果你错过了本次事件的诸多细节也没关系,这篇文章将为各位梳理NSA被黑事件的来龙去脉,以及最近被人们时长提起的热门词汇,究竟都是什么意思。

问题一:究竟是谁被黑了?

上周,一群黑客宣称侵入NSA,也就是美国国家安全局——其实只看“NSA被黑这几个字就已经足够震撼了。NSA就是前两年棱镜门事件的主角,这个机构隶属于美国国防部,是美国政府机构中最大的情报部门。当年棱镜门事件爆发,前NSA雇员Edward Snowden公开了大量令人瞠目结舌的NSA内部文档,剑指NSA通过各种手段,甚至和科技企业合作的方式,大肆监听美国国民的网络活动,且触角也延伸到国外。

而这次居然是NSA被黑了,被黑的目标具体是NSA的方程式组织(Equation Group)。这个方程式组织究竟是个啥组织呢?早在20152月份,卡巴斯基实验室就公布了一份研究报告,指出NSA2001年以来,内部就存在一个黑客组织。卡巴斯基将该组织命名为方程式组织。

方程式的特色在于,采用复杂的”0-day恶意程序,以各行各业为目标发起情报刺探活动。据卡巴斯基的报告所说,方程式组织结合了各种复杂且高端的战略战术、技术和高度一致化的作业流程。该组织内部有诸多复杂的入侵工具——据说这些工具是需要花大量精力才能开发出来的。

当时卡巴斯基对方程式组织的评价相当:这个秘密组织所用技术的复杂性和精制性超越任何已知情报。比如说赫赫有名的Stuxnet震网和Flame火焰病毒在出现之前,其中涉及到的0day漏洞就已经为方程式所用了——而方程式与这些恶意活动的幕后推手也有联系。比如2008年就已经在用的FANNY恶意程序,震网的新型变体也是到2009年和2010年才用上的。

方程式的触角可能波及到全球范围内超过30个国家数万(even tens of thousands)受害者。方程式特别照顾的领域主要包括了政府和外交机关、通讯、航空航天、能源、石油、军队、纳米技术、核研究、大众传媒、交通、金融、开发加密技术的企业、穆斯林等。对方程式感兴趣的同学可以点击这里,阅读卡巴斯基的报告。

这么牛掰的一个APT组织,竟然被别人给黑了!?

问题二:究竟被谁黑了?

侵入方程式内部的黑客组织名为The Shadow Brokers——这其实就是目前我们已经掌握的攻击者的全部确切信息,名称“The Shadow Brokers”

问题三:侵入目的是什么?

前面我们就提到了,方程式内部开发了各种高端的情报窃取工具,而且绝大部分还是利用各类产品,包括安全产品的0-day漏洞来入侵的。所以The Shadow Brokers在侵入NSA方程式组织内部之后,窃取了这家组织的大量工具,确切地说是本月13日就将其中大量文件公布到了网上(GitHubTumblr之上,不过目前都已经被删),包括恶意程序、黑客攻击工具、漏洞利用等。

不过The Shadow Brokers将这些工具分成了两部分,其中一部分提供免费下载试用,还有一部分(据说是剩余40%best files)则明码标价出售,售价100万比特币(约合5.78亿美元,搞笑啊!收购一家公司也就这点钱)GitHub很快就删除了相关页面,然而有趣的是,删除的原因并不是政府施压,而是GitHub的政策不允许对盗窃资产标价出售。

从这个明面的行为来看,我们是否可以认为,The Shadow Brokers的目的其实是为了钱呢?

事情发展到这个地步,安全从业人员最想知道的,其实是The Shadow Brokers公布的这些文件是不是真的,是否可靠。这件事在随后几天的发酵中,才让人感觉异常恐怖。首先是卡巴斯基出面确认,这些文件绝对是真实有效的(国外媒体的用词是legitimate),而且从种种迹象看来,的确和方程式组织相关。

卡巴斯基实验室的研究人员公布了这些材料的研究细节:The Shadow Brokers公开的这份数据尺寸大约是300MB,里面具体包含针对某些防火墙产品的漏洞利用,黑客工具和脚本,工具名称如BANANAUSURPERBLATSTINGBUZZDIRECTION。不过这些文件都至少有3年的历史了,最新的时间戳所标的时间点是在201310月。

那么究竟凭什么说跟方程式有关呢?卡巴斯基实验室有提到:虽然我们无法确定攻击者的身份或者动机,也不知道这些工具是从哪里或者怎么得来的,但我们可以明确,泄露的数百款工具,和方程式组织绝对有密切的关联。

The Shadow Brokers公布的文档中大约有超过300个文件,采用RC5RC6加密算法作为通用策略,手法和方程式如出一辙。

其代码相似性让我们高度确认,The Shadow Brokers泄露的工具和方程式的恶意程序的确是有关联的。上图比对的就是早期方程式RC6代码,和这次The Shadow Brokers泄露文档中的代码,相同的函数、约束条件,还有些比较罕见的特征都很能说明问题。

除了卡巴斯基之外,NSA另一个神秘组织TAO(特定入侵行动办公室)的前员工也认为这些工具和方程式所用的工具一样。华盛顿邮报也已经对此进行了报道。

上周五,The Intercept公布了新一轮的Snowden泄密文档,其中有许多工具与本次泄露的工具存在很强的关联,这些都是证据:比如说Snowden披露的文档中包含一款SECONDDATE利用工具,这个工具可在网络层干涉web请求,并将之重定向至FOXACID服务器,操作手册28页提到,NSA雇员必须使用ID,来标记发往FOXACID服务器的受害者,里面提到IDace20468bdf13579,这个ID就在本次The Shadow Brokers泄露的14个不同的文件中有出现。

泄露的这些工具究竟可以用来做什么,我们还可以稍举一些例子,比如说安全研究人员测试了EXTRABACON利用工具,确认利用这款工具,在不需要提供有效身份凭证的情况下,就可以访问思科防火墙:这款工具利用Cisco ASA软件SNMP协议中的0-day漏洞(CVE-2016-6366),可致未经授权的远程攻击者完全控制设备。

此外,还有利用思科一些更早漏洞的0-day利用工具,比如利用思科CVE-2016-6367漏洞的,这个漏洞存在于Cisco ASA软件的命令行界面解析器中,可致未经授权的本地攻击者构造DoS攻击条件,以及存在执行任意代码的风险——泄露的EPICBANANA以及JETPLOW工具都利用了该漏洞。

再举个例子,其中还有一款工具能够解密思科PIX VPN流量,并在主板固件中植入恶意程序,这种攻击方式几乎无法检测到,也没法删除这些工具波及到的安全厂商包括了思科、JuniperFortinet等。尤为值得一提的是,泄露文档中也包含针对国内天融信防火墙产品的漏洞利用。思科实际上也第一时间确认了这些漏洞的存在,并发布了相应的补丁——想一想,前文提到这些泄露文件的时间戳至少也是3年前的,可想而知这些0day漏洞有多0day

据说方程式利用这些工具,针对思科、Fortinet等安全企业的客户进行监听,已经有至少10年时间。FreeBuf最近也发了几篇有关解析泄露文档的文章,像是这一篇:《NSA(美国国安局)泄漏文件深度分析(PART 1)》,这些其实都是表现方程式有多恐怖的。

问题四:真的是为了100万比特币?

有关这个问题,业内观点众所纷纭。要解答这个问题,这就得摸清发起本次攻击的幕后主使究竟是谁了,目前比较主流的说法有两种,其一此次事件就是NSA内部人员所为(老外的用词是insider’s job)——业界著名的Matt Suiche就是这么认为的,他说他和前NSA TAO雇员就此事聊了聊。他在博客中是这么写的:

这次泄露的文件实际上也包含了NSA TAO工具套装,这些工具原本是储存在被物理隔离的网络上的,根本就不会接触到互联网。

那些文件根本就没有理由放在staging server服务器上,除非有人故意这么做。文件层级关系,还有文件名都没变,这应该表明这些文件是直接从源复制过来的。

不过Snowden却不这么看,Snowden有在Twitter上就此事特别发声,他认为这件事是俄罗斯对美国的回应,虽然这个回应有点儿让人摸不着头脑,据说是针对先前美国谴责俄罗斯有关DNC民主党国家委员会入侵一事(Lol)。前两周,维基泄密公布了大量来自DNC(还有另外针对DCCC民主党国会竞选委员会的)的内部文档,美国多家安全企业和情报机构都认为,此事与俄罗斯相关,虽然俄罗斯方面予以否认。

本次泄露事件,看起来像是有人发出的信号,表明这场戏还将持续快速扩大。这像是种警告,有人想要证明,美国需要为这台恶意程序服务器发起的所有攻击负责。这次事件可能对国外后续的策略会产生很大影响,尤其那些以美国为目标,和那些想要针对美国大选的外部组织。

Snowden看来,侵入方程式服务器对俄罗斯的黑客来说其实没有那么难。即便NSA有如此复杂的工具做后盾,俄罗斯的网络部门对NSA有着非常深刻的认识,也有能力检测NSA发起的所有攻击。他还说,这些黑客之所以没有得到2013年之后的数据,是因为那段时间恰逢Snowden公布NSA的机密文档,NSA很有可能因此更换这方面的基础设施。

所以国外媒体的主流观点都认为,The Shadow Brokers索要这100万比特币不过是烟幕弹,根本就是混淆视听的。至于真相究竟如何,估计还需要等后续更多的分析。

问题五:还有什么新消息?

其实我们还有个很大的问题没有解决,就是这次The Shadow Brokers到底是如何侵入方程式的服务器的——目前的答案是,不知道。著名意大利研究人员Claudio Guarnieri推测,这个黑客组织可能是黑入了“listening post”(监听站?),这是方程式整个情报基础设施的一个组成部分。

诡异的交易,每笔0.001337比特币

还有些问题值得探讨,比如The Shadow Brokers究竟是什么身份。这两天还发生了一件有趣的事:来自Security Affairs的报道,前两天网上出现一些很奇怪的交易,The Shadow Brokers账户发生一些变化,几天之前汇入了大约990美元。比较让人感觉奇怪的是,这990美元来自Silk Road比特币账户。等等!Silk Road Bitcoin不是已经在FBI的控制下了吗(针对黑市的抓捕行动后)?不仅如此,另外还有其它汇钱的账户(分流?)。这究竟是什么意思?只有等下回分解了。

以现在掌握的情报来看,这次NSA被黑事件仍然是问题一堆,我们还会持续等待事件的进一步发酵,并进行追踪报道。不过话说,从棱镜门事件到现在,这个世界真的还有安全可言吗?