一个骇客组织准备发起一场,可能是史上最引人注目的网络军火公开售卖。有网络安全从业人士提出警告,这次的勒索病毒只能算开胃菜,接下来才是真正的主菜!
如果你对几天前爆发的全球勒索病毒事件稍有了解,一定会知道,这次病毒在全球蔓延的主要原因是一个叫“永恒之蓝”的 Windows 系统漏洞工具。而这个漏洞工具是一个叫“影子掮客”(Shadow Brokers)的骇客组织,从美国国家安全局(以下简称 NSA)的网络武器程式库里偷出来的。
“永恒之蓝”只是 NSA 泄露的网络武器程式库中很小一部分,就造成如此重大的影响。如今“影子掮客”打算把剩余的网络军火全都公开卖掉。
“网络军火程式库”曾无人问津
5 月 16 日,骇客组织“影子掮客”在外国社群媒体 Steemit 网站上发表了一篇文章,讲述美国国家安全局(NSA)网络武器程式库泄露事件的缘由,并且宣布计划从 6 月开始,每月出售之前盗取的网络武器,包括:
- 浏览器、路由器、手机的攻击武器。
- 针对 Windows 10 的新漏洞。
- 更多央行和“环球银行金融电信协会”(SWIFT)提供者的入侵资料。
- 针对中国、俄罗斯、伊朗和北朝鲜导弹和核弹计划的入侵资料。
不过,其实这并不是他们第一次卖这些东西。
2016 年 8 月,“影子掮客”就在网上叫卖一些骇客工具,并提供了“冰山一角”供人们免费下载“鉴赏”。仅仅这些免费露出的工具都上能飞天下能入地,让包括思科在内很多公司不得不紧急修复曝光的漏洞。
这些工具来自和 NSA 有说不清、道不明关系的骇客团队──方程式组织(Equation Group)。很多证据都表明,方程式组织就是 NSA 旗下用来进攻全世界重要目标的“骇客特种兵”。
当时“影子掮客”对那批拍卖网络武器估计的心理价值 100 万比特币(当时约 5.68 亿美元)。
▲ 当时拍卖的部分截图。
影子掮客在文章中表示,那次拍卖,主要是想让 NSA 的方程式小组自己把工具赎回去,结果后者完全不理他们。更不幸的是,其他人也对这些工具没有太大兴趣。
据了解,当时参与竞拍的人可能大多认为这些工具是陈年旧货,很可能落后又甚至不可用。且“影子掮客”的出价方式很坑人:直接汇款到影子掮客的比特币账户。这意味着,拍卖结束后,所有的竞价款都不退。也就是说,如果你在拍价中排第二,你既得不到这些骇客工具,也要不回钱。是一种赔了夫人又折兵的生意。
结果影子掮客收到的竞拍款只有 25 美元左右,和预计的差了将近千万倍!
据了解,当时一名影子掮客成员就在社群媒体上吐槽,言词中透露一股淡淡的忧伤:
人们总是对免费的东西很有兴趣,但是对“方程组工具拍卖”没什么兴趣。我觉得这是沟通的问题……
拍卖失败后,该组织又折腾了一次失败的众筹活动,不过比拍卖好一点,拿到 1 万比特币。12 月,他们又开始在 ZeroBin 上小批销售骇客工具。以 750 比特币的价格出售一批能绕过防毒软件的 Windows 骇客工具。
都把美国安全局的骇客武器偷来了,影子掮客开始酝酿一些大事来震慑一下 NSA 旗下的方程式小组,期待他们能出大价钱赎回这些武器。
为示威而公开网络武器
今年 1 月,影子掮客在网上释出多个 NSA 网络武器程式库中的程式截图,其中包括微软 Windows 系统的重大漏洞。到了 2 月,微软公司果然打破了原本不在周二释出系统修补程式的习惯,这说明他们遇到重大的漏洞需要修补和更新。
3 月,微软针对多个 SMB 远端通讯漏洞释出更新程式。其中影响此次全球勒索病毒的“永恒之蓝”修补程式就包括在内。同期,甲骨文公司也修复了“大量安全漏洞”。
到了 4 月,影子掮客在网上公开当时截图中多个骇客武器和漏洞。
他们可能高估了网友的安全意识和漏洞修补能力。虽然微软于 4 月就释出包括永恒之蓝在内的多个漏洞修补程式,然而到了 5 月,WannaCry 勒索事件爆发,仍然依靠这个已经有修补程式的漏洞肆虐全球。
“影子掮客”再也坐不住了。自己武器程式库中的一个“小小”工具就在全世界掀起这么大的波澜,如果大家再不认识这个武器程式库的价值,恐怕有些说不过去了。在社群网站上,影子掮客称:
今年 6 月,影子掮客将公布“影子掮客每月资料堆”(The Shadow Brokers Data Dump of the Month)服务。
计划推出一项新的月订阅,类似俱乐部每月向会员提供酒水的形式。会员按月支付费用,而我们则向每位会员提供曝光资料。会员可根据自身意愿使用这些资料。
影子掮客每月资料堆服务可能包括:网络浏览器、路由器与手机漏洞及相关工具,来自更新 Ops Disks 中的选择专案,包括适用 Windows 10 的其他新型漏洞;更多 SWIFT 供应商及中央银行机构的企业网络资料;来自俄罗斯、中国、伊朗以及北朝鲜核武与导弹专案的企业网络资料。
更多细节资讯将于今年 6 月正式披露。
如果责任方在全面出售前买下所有丢失资料,则影子掮客不再拥有出售此类敏感资讯的经济动力,并承诺将相关内容永久移除。相信有关人士知道我们的比特币账户。
从文章内容来看,他们声称拥有 Windows 10 的最新漏洞,暗示着他们可能又获得新资料,至少他们的资料不老旧。从口吻来看,像是对方程式组织发出的抗议和最后通牒。
(本文由 雷锋网 授权转载;首图来源:shutterstock)
延伸阅读:
- 神秘骇客组织扬言,将出售新间谍工具
