“想哭”勒索軟件肆虐全球幾天后，幕后黑手追查終于稍有眉目：網(wǎng)絡(luò )安全公司俄羅斯卡巴斯基實(shí)驗室和美國賽門(mén)鐵克公司15日表示，這個(gè)勒索軟件可能與一個(gè)叫“拉扎勒斯”的黑客組織有關(guān)，在這次網(wǎng)絡(luò )攻擊中，他們利用從此前泄露的美國國家安全局（NSA）網(wǎng)絡(luò )武器庫中的黑客工具“永恒之藍”制作了惡意勒索軟件。

路透社曾援引美國聯(lián)邦政府公布的數據以及情報部門(mén)官員的話(huà)報道稱(chēng)，美國90％的網(wǎng)絡(luò )項目開(kāi)支用于研發(fā)黑客攻擊武器，各種攻擊武器可侵入“敵人”的電腦網(wǎng)絡(luò )、監聽(tīng)民眾、令基礎設施癱瘓或受阻。網(wǎng)絡(luò )安全專(zhuān)家指責，美國斥巨資研發(fā)黑客攻擊工具而非自衛機制，造成全球網(wǎng)絡(luò )環(huán)境“更不安全”。

“勒索軟件不是由美國國安局開(kāi)發(fā)，而是由犯罪團伙開(kāi)發(fā)，可能是犯罪分子，也可能是外國政府。”美國總統國土安全與反恐助理博塞特15日回應“想哭”勒索軟件事件時(shí)說(shuō)，但他回避了美國情報機構外泄的黑客工具是否會(huì )在未來(lái)導致更多網(wǎng)絡(luò )攻擊的問(wèn)題。

實(shí)際上，引發(fā)此次勒索軟件肆虐的NSA網(wǎng)絡(luò )武器庫泄露早于去年8月就被披露出來(lái)。當時(shí)，一個(gè)名叫“影子中間人”的黑客組織宣稱(chēng)已攻入NSA下屬的“方程式組織”黑客組織，盜取其網(wǎng)絡(luò )武器庫。“影子中間人”通過(guò)社交平臺泄露其中部分黑客工具和數據，并以100萬(wàn)個(gè)比特幣（價(jià)值約為5.68億美元）的高價(jià)公開(kāi)拍賣(mài)完整數據包，但叫賣(mài)沒(méi)有引起回應和廣泛的關(guān)注，最終流拍。

此后，“影子中間人”幾次嘗試出售NSA網(wǎng)絡(luò )武器庫都沒(méi)有成功，其最近一次曝光NSA網(wǎng)絡(luò )武器的信息發(fā)布于今年4月中旬，該組織稱(chēng)NSA曾入侵國際銀行系統，以監控一些中東和拉丁美洲銀行之間的資金流動(dòng)。NSA網(wǎng)絡(luò )武器庫黑客工具“永恒之藍”據信就是由“影子中間人”泄露的。

盡管“影子中間人”牟利的目的未能實(shí)現，但其盜取的黑客工具源自NSA的說(shuō)法卻被認為可靠性很高。去年“影子中間人”公布部分黑客工具和數據時(shí)，“棱鏡門(mén)”事件曝光者斯諾登就提供了一份NSA“惡意軟件植入操作手冊”，佐證“影子中間人”叫賣(mài)的網(wǎng)絡(luò )武器攜帶NSA的虛擬指紋。例如，NSA“惡意軟件植入操作手冊”指導操作人員在使用一個(gè)惡意軟件程序SECONDDATE時(shí)，需要借助一個(gè)特殊的16位字符串“ace02468bdf13579”，而“影子中間人”泄露的幾十個(gè)黑客工具中，工具SECONDDATE就在其中，其相關(guān)代碼更是大量包含這一字符串。

提到NSA網(wǎng)絡(luò )武器庫，就繞不開(kāi)“方程式組織”。這個(gè)黑客組織被認為是NSA一個(gè)“不愿承認”的部門(mén)，近似“奇幻熊”黑客組織之于俄羅斯。在2015年被卡巴斯基實(shí)驗室“抓現行”之前，“方程式組織”隱秘地活躍了15年之久。媒體報道稱(chēng)，由于惡意軟件開(kāi)發(fā)、行動(dòng)技術(shù)突破和對目標封鎖所花費的時(shí)間、金錢(qián)均由國家資助，項目資源幾乎不受限，“方程式組織”得以成為全球“最牛”的黑客組織。

在卡巴斯基實(shí)驗室此前公布的“方程式組織”制造的42個(gè)國家范圍內的500次感染中，伊朗、俄羅斯、巴基斯坦、阿富汗、印度、敘利亞、馬里名列前茅。由于惡意軟件內置自毀機制，“方程式組織”的攻擊很難被追蹤，因此此次武器庫泄露的黑客工具和此前暴露的一些攻擊手法，僅能代表NSA網(wǎng)絡(luò )武器庫的冰山一角。

部分NSA網(wǎng)絡(luò )武器

NSA下屬“方程式組織”由卡巴斯基實(shí)驗室發(fā)現并命名，名字來(lái)源于他們在網(wǎng)絡(luò )攻擊中對使用強大加密方法的偏好。在此前的網(wǎng)絡(luò )攻擊中，他們曾使用蠕蟲(chóng)病毒、硬盤(pán)病毒、間諜軟件、基于網(wǎng)絡(luò )展開(kāi)攻擊等多種攻擊手法。

Fanny蠕蟲(chóng)病毒

Fanny蠕蟲(chóng)病毒是最厲害的蠕蟲(chóng)病毒，可以入侵有網(wǎng)閘隔離的網(wǎng)絡(luò )。Fanny蠕蟲(chóng)病毒使用了一種獨特的基于USB的控制機制，主要通過(guò)U盤(pán)感染來(lái)實(shí)現。

U盤(pán)中有一個(gè)隱藏存儲區域可收集來(lái)自被隔離網(wǎng)絡(luò )的基本系統信息，當感染蠕蟲(chóng)病毒的U盤(pán)被插入后，在聯(lián)網(wǎng)狀態(tài)下，可立即將收集到的信息發(fā)送給攻擊者；如果攻擊者想要對被網(wǎng)閘隔離的網(wǎng)絡(luò )環(huán)境運行指令，他們可把指令通過(guò)蠕蟲(chóng)病毒存儲在U盤(pán)的隱蔽空間，當U盤(pán)被插入目標電腦后，蠕蟲(chóng)病毒會(huì )自動(dòng)識別并運行指令。

“震網(wǎng)”病毒

據報道，“震網(wǎng)”是首個(gè)專(zhuān)門(mén)針對工業(yè)控制系統編寫(xiě)的破壞性病毒，其中含有Fanny蠕蟲(chóng)病毒的漏洞入侵技術(shù)，能夠利用對Windows系統和西門(mén)子SIMATIC WinCC系統的7個(gè)漏洞進(jìn)行攻擊，據稱(chēng)由美國與以色列政府共同研發(fā)。

“震網(wǎng)”病毒結構異常復雜、隱蔽性超強，在電腦操作員將被病毒感染的U盤(pán)插入USB接口后，這種病毒就會(huì )在不需要任何操作的情況下，取得工業(yè)電腦系統控制權。

在對伊朗核設施的攻擊中，該病毒突然更改了離心機中的發(fā)動(dòng)機轉速，這種突然的改變足以摧毀離心機運轉能力且無(wú)法修復，且在離心機失控后，病毒仍向控制室發(fā)出“工作正常”的報告，令離心機在“神不知鬼不覺(jué)”的情況下被摧毀。

間諜軟件

Regin間諜工具是賽門(mén)鐵克公司2014年發(fā)現的一款先進(jìn)的隱形惡意軟件，可躲避常規反病毒軟件檢測。該惡意軟件被指從2008年起就用于監視政府、公司和個(gè)人，被認為與NSA關(guān)聯(lián)。

賽門(mén)鐵克公司指出，Regin間諜工具使用了多項隱形技術(shù)，需要投入大量時(shí)間和資源，間接表明其是一個(gè)“國家”所開(kāi)發(fā)的產(chǎn)品。Regin惡意軟件允許黑客發(fā)起一系列的遠程木馬攻擊，包括竊取用戶(hù)密碼和數據，截獲用戶(hù)鼠標點(diǎn)擊功能，從被感染的計算機上捕捉截圖，以及監控網(wǎng)絡(luò )流量、從Exchange數據庫里分析電子郵件等。

硬盤(pán)病毒

卡巴斯基實(shí)驗室的一份報告曾披露，NSA可能在硬盤(pán)固件中植入了病毒，改寫(xiě)受感染計算機的硬盤(pán)固件。

報告稱(chēng)，由于病毒被寫(xiě)入固件，因此在硬盤(pán)通電之后就能激活病毒。這款?lèi)阂夤碳?chuàng )建了一個(gè)秘密的信息存儲庫，能有效防止軍隊級別的磁盤(pán)擦除和重新格式化，使從受害者處竊得的敏感數據即便在重新格式化驅動(dòng)、重裝操作系統后仍然可用。

PHP入侵代碼

“方程式組織”曾被發(fā)現利用惡意PHP入侵代碼攻擊Oracle的Java軟件框架或IE瀏覽器中的漏洞，范圍涉及從科技產(chǎn)品測評到伊斯蘭圣戰組織論壇的各類(lèi)網(wǎng)站。這種入侵有著(zhù)如外科手術(shù)般的精準性，可以保證僅有一個(gè)特定目標遭到感染。在一個(gè)入侵案例中，“方程式組織”P(pán)HP腳本還特別留意避免感染約旦、土耳其和埃及的IP地址。