关注E安全 关注网络安全一手资讯
E安全8月2日讯 美国政府正在追踪“影子经纪人”(Shadow Brokers)的身份。Shadow Brokers 4月泄露了大量NSA Windows漏洞利用,其中某些漏洞被利用来实施了两起席卷全球的勒索软件攻击。
Shadow Brokers正式被美三方联合立案调查
据报道,美国政府接触大量前NSA雇员试图解开这些工具如何落入Shadow Brokers之手。FBI、国家反情报与安全中心以及NSA内部警务小组Q Group联合展开调查。
虽然调查人员认为,NSA前雇员(NSA内部雇员或承包商)难脱嫌疑,但进一步调查无法排除其它可能性,即现任NSA雇员也可能与Shadow Brokers有关联。
Shadow Brokers用蹩脚的英文定期发布消息,推销新一批漏洞利用。两名研究人员试图购买这些漏洞,但被告知可能会违法后打消了念头。
目前尚不清楚,Shadow Brokers究竟是NSA员工或承包商。但两名知情人士透露,调查排除了哈罗德·马丁(NSA承包商博思艾伦汉密尔顿公司的雇员)的可能性,毕竟他目前正在监狱服刑。
NSA对研究人员的这一猜测并未予以置评。
影子经纪人如何一步步博得关注度?
近一年来,Shadow Brokers出尽风头。
Shadow Brokers于去年8月首度浮出水面,出售“方程式组织”(Equation Group)使用的黑客工具。江湖传言“方程式组织”是为NSA效力的黑客组织。
Shadow Brokers出售NSA大量Windows漏洞利用。
在此之后,Shadow Brokers又将这些漏洞利用公开泄露在网上。
其中一个漏洞 “永恒之蓝”(ETERNALBLUE)被黑客利用开发了WannaCry勒索软件。WannaCry勒索软件今年5月在全球范围内爆发,150多个国家受到影响,30万名用户中招,造成损失达80亿美元。
另一个漏洞是“永恒浪漫”(ETERNALROMANCE),被黑客用来开发Petya(也被称为NotPetya、ExPetr、Nyetya和GoldenEye),该恶意软件于今年6月攻击了欧洲的Windows电脑,并散布至其它国家。
Shadow Brokers宣称:将从今年6月开始,逐月出售包括浏览器、路由器、手机漏洞及相关工具、新的攻击行动disk(和此次传播勒索蠕虫病毒的Windows武器库一样,包括NSA支持的Windows 10网络攻击武器),还有更多的SWIFT供应商和央行入侵数据,以及针对中国、俄罗斯、伊朗和朝鲜的导弹和核弹计划的内部网络数据。
Shadow Brokers再次宣布推出订阅服务,将会为愿意支付数千美元的买家提供更多NSA工具。近几个月Shadow Brokers的行事作风有些变化,他们改变了机密信息的分享方式,其余方面照旧。
考虑Shadow Brokers的行事作风,也有人认为该组织是国家攻击者,可能是俄罗斯黑客组织。其身份之谜是今年信息安全行业最热门的话题之一。
黑帽大会上关于Shadow Brokers是NSA内鬼的分析
在Black Hat 2017安全盛会上,威胁检测公司Comae Technologies创始人马特·弗西对Shadow Brokers做出了自己的解读,他也认为Shadow Brokers是NSA内鬼,而非外部国家攻击者。
弗西表示,美国国防与情报界雇用了数万个承包商,而大量内鬼近几年浮出水面,包括斯诺登和马丁。Shadow Brokers最初泄露的工具相对较少,第一批免费漏洞利用包括许多常用防火墙产品中的漏洞,随后又曝光了Solaris操作系统漏洞利用, 还包括“方程式组织”针对目标(包括中国和伊朗等国的域名)等详情。
弗西指出,Shadow Brokers要做的不只是泄露并出售NSA网络武器,种种不算低调的行为表明,其还想博得头条,赢得关注。
据报道,共和党人威尔·赫德表示,“了解真相”是美国情报机构和众议院情报委员会的“重中之重”。而赫德是唯一公开评论Shadow Brokers的国会议员。
官网:www.easyaq.com
2017年8月