TA的每日心情 | 开心
2023-1-25 22:00 |
|---|
签到天数: 33 天 [LV.5]常住居民I
|
发表于 2020-9-18 14:21
来自手机
|
显示全部楼层
ian87714 发表于 2020-9-18 13:53
講了這麼多 ,你現在要不趕快去查證 , 中國傳音手機''Tecno'' 是不是有''偷非洲用戶的錢'' 是不是有'' ...
“方程式组织”网络武器泄露事件及启示
来源: 《信息安全与通信保密》
作者: 新 明
浏览量:802 时间: 2017-02-15 15:20:39

据媒体报道,美国“方程式组织”遭黑客入侵,并由此泄露了美国家安全局的网络“武器库”。本文着重分析“方程式组织”的背景和进行网络攻击的主要做法及特点,并就该事件给我国网络安全带来的影响提出几点启示。这对于我们了解美国网络“武器库”情况,充分认识其网络武器的隐蔽性、破坏性和复杂性,积极应对网络带来的新挑战和新威胁具有参考作用。
引言
2016 年8 月13 日,一条爆炸性新闻称,有美国国家安全局(NSA)背景的“方程式组织”(Equation Group) 遭黑客入侵,由此可能泄露了NSA 的网络“武器库”。该事件在网络安全领域及黑客界引起轩然大波。对此,NSA 始终没有做出官方解释。但此事件让“方程式组织”对全球40 多个国家和地区秘密实施网络攻击的情况浮出水面,我国也是其网络攻击的重点目标。此次事件凸显了网络空间安全问题的现实性和紧迫性。
事件概况
事件起因
2016 年8 月13 日,一个名为“影子经纪人”(The Shadow Brokers) 的神秘黑客组织通过社交平台宣称,他们攻击了一个有NSA 背景的黑客组织,将NSA 用于大规模监控和情报活动的网络武器和文件公布在Github、Tumblr和PastBin 等互联网平台上,公开了其所掌握数据的60%,内容涉及大量的网络武器和文件,包括命令和控制中心(C&C)服务器的安装脚本、配置文件,以及针对一些知名网络设备制造商的路由器和防火墙等产品的网络武器。他们强调这些网络武器来自“方程式组织”,而NSA 也曾使用这些武器从事网络间谍活动。“影子经纪人”组织宣称,剩下的40% 的网络武器和文件将会用比特币在网上拍卖,条件是当他们的账户收到100 万个比特币( 约合人民币37.7 亿元) 时,价高者得,且有意竞投者必须预先以比特币付款,竞投失败也不会退款。对此,安全专家警告称,黑客组织给出的拍卖价高到匪夷所思,很可能另有所图。目前,这些拍卖网页和声明以及泄露文件的镜象网站已关闭,有的网址也不复存在。
专家看法
事件发生后,一些网络安全专家称,这可能是一次精心设计的骗局,因为黑客组织开出的价格极高,可能并不是真心打算出售这些数据,而真正的目的是转移媒体视线,让美国政府特别是情报机构颜面扫地;另一些网络安全专家对泄露文件进行分析后认为,此事可信度极高,可能是NSA 内部人员或者俄罗斯黑客所为。一位不愿意透露姓名的NSA 前雇员表示:“在泄露的文件中,包含有NSA 下属特别行动小组(TAO)的网络武器,而这些网络武器均存储在物理隔离的服务器中。所以这些网络武器没有理由会出现在网络服务器中,除非有人故意为之。从这些文件目录结构以及文件的命名风格来看,这些文件是直接从服务器中复制出来的。”因此,NSA 内部人员所为的可能性较大。
除了内部人员所为的猜测外,还有不少声音纷纷指向俄罗斯黑客。8 月18 日,美国防务承包商前雇员爱德华·斯诺登在推特网站发文称,此次攻击极有可能是俄罗斯黑客发起的,如果属实,将对美俄紧张关系造成严重后果。根据他的分析,很可能是NSA 的黑客在利用二进制文件收集数据时,将这些网络武器上传至NSA 的临时服务器,作为其后续追踪入侵者恶意软件行动的一部分,这种做法也被称为“计算机网络利用”。NSA 的黑客小组可利用这些网络武器来追踪入侵者的足迹。当服务器记录下入侵者的所有活动足迹后, 就可以追踪入侵者在攻击中使用的是什么黑客工具,并在未来找到黑客在入侵网站时使用的IP 地址。但是, NSA的黑客有时可能会忘记从服务器中删除二进制文件,从而导致这些网络武器反被入侵者获取。
各方态度
这次黑客披露的文件显示,为了利用漏洞,NSA 发现漏洞也不通知美国制造商,导致美国思科公司的防火墙至少已经被黑客利用了3 年。事件发生后,作为网络安全领军厂商,思科公司和飞塔公司在第一时间做出响应,证实黑客曝光的漏洞属实。思科公司发言人称,已经修复了此次被黑客泄露的多个零日漏洞,迄今尚未发现任何新的漏洞,也会继续调查此事。其他科技公司则不予置评。NSA 自始至终没有做出官方的解释。
“方程式组织”的活动及特点
组织背景
2015 年2 月16 日,俄罗斯卡巴斯基实验室披露,他们发现一个活动了约20 年的网络黑客组织,团队成员超过60 人,其攻击能力和危害程度超过了此前人们所知道的所有黑客团伙。卡巴斯基将该组织命名为“方程式组织”(Equation Group),因为他们在网络攻击中比较偏爱使用强大的加密方法、模糊策略等复杂技术。
外界普遍认为,从各方面看,“方程式组织”与NSA 有着极为密切的联系,应是一个为NSA效力的秘密组织。
一是斯诺登最新提供的一份绝密文件——NSA“恶意软件植入操作手册”显示,操作人员运用“SECONDDATE”恶意软件时,需借助一个特殊的16 位字符串“ace02468bdf13579”。而“影子经纪人”泄露的“方程式组织”几十个网络武器中,SECONDDATE 就在其中,其相关代码更是大量包含这个16 位的字符串。而在泄露的文件中有47 个与SECONDDATE 工具相关,其中包含了该工具不同版本的源代码、运用方法和其他相关文件。
二是在“ 方程式组织” 所使用的恶意软件中发现了诸如“STRAITACID” 和“STRAITSHOOTER”的源代码,而这些代码属于NSA 下属TAO 部门的网络武器。
三是泄露的键盘记录器软件与“震网”(Stuxnet)和“火焰”(Flame)病毒的开发者在技术层面具有共性。根据卡巴斯基实验室掌握的证据,“方程式组织”是著名的“震网”和“火焰”病毒的幕后操纵者,与NSA 有着极其密切的关系,该组织成员是黑客界精英中的精英。
四是NSA 一位前雇员向路透社记者透露,卡巴斯基对“方程式组织”情况的分析真实无误,美国情报部门将此类情报项目的保密级别定为等同于“震网”的级别。另一位前情报人员也证实,NSA 开发出了在硬盘驱动中隐匿间谍软件的技术,而这次泄露出来的网络武器中就采用了这种技术。
五是“方程式组织”在恶意软件开发、行动技术突破和目标封锁方面投入的人力、财力和物力均由国家资助,国家为其项目开发提供的资源几乎不受限制。
六是恶意软件中的时间戳显示,软件的编程者们绝大多数在周一到周五工作,具体对应了朝八晚五的美国东部时间。
主要做法
“方程式组织”使用300 多个互联网域名和100 台服务器托管庞大的命令及控制架构,依靠多种技术来感染和攻击目标,做法相当独特。
(1)借助U 盘自我复制和传播蠕虫病毒。每当U 盘插入目标计算机,病毒就会进行自我复制,从而对与互联网实行隔离的网络进行敏感情况的侦查。在电脑病毒感染某台未连至互联网的电脑后,搜集网络信息并将其保存至U 盘的一个隐蔽区域。如果该U 盘随后被插入一台连入互联网的电脑,就会将数据上传至攻击者服务器并下载任何攻击者指令。如U 盘再次被插入一台隔离电脑,下载的指令就会被执行。每当U 盘在隔离网络的电脑和连入互联网的电脑间相互切换,进程就会继续。在入侵过程中,“方程式组织”每次攻击可利用程序链上的10 个漏洞,但所设定攻击目标的尝试攻击次数不超过3 次,如果3 次攻击尝试都没有成功,便会放弃此次攻击。
(2)借助光驱与系统漏洞进行攻击。“方程式组织”曾拦截邮寄途中的光碟,在光碟上植入恶意程序后,再寄给原收件单位,这种非法手段与NSA 曾经半路拦截并感染思科网络设备的手段一样。该组织为了利用漏洞进行攻击,发现漏洞后也不通知产品制造厂商。卡巴斯基从此次曝光的恶意软件中发现,“方程式组织”共使用了7 种漏洞利用工具,至少有4 种利用了零日漏洞,用于攻击主流品牌的防火墙、服务器和操作系统等。
(3) 研发恶意软件平台改写硬盘固件。“ 方程式组织” 研发的恶意软件平台“GrayFish”可以在电脑操作系统启动前进入引导记录,将其数据存储进操作系统的注册表中,然后修改加载机制,改写受感染电脑的硬盘固件,主要针对西部数码、迈拓、三星、IBM、镁光、东芝、希捷等12 类硬盘驱动程序。为防止军队等重要部门对硬盘擦除和重新格式化,这款恶意软件平台创建了一个秘密信息存储库,可使从受害者处窃取的敏感数据即便在重新格式化驱动程序、重装操作系统后仍然可用。
(4)开发恶意软件攻击Windows 操作系统。“方程式组织”开发的“EquationDrug”恶意软件用于攻击老版本的Windows 操作系统,比如Windows 95/98/ME。该恶意软件具有极高的顽固性,在格式化硬盘和重装系统后仍然能够存活。恶意软件一旦入侵硬盘固件,就将无限次地“复活”。它可能会阻止删除某个特定的磁盘扇区,或在系统重启过程中将其替换为恶意代码,硬盘被感染后就无法对其固件进行扫描。大多数硬盘只能对其硬件固件区域进行写入,却不具备读取功能。这意味着,人们几乎对此一无所知,无法检测硬盘是否被该恶意软件所感染。由于病毒在系统启动初始阶段就处于活动状态,所以它能够截取加密密码,并将其保存在磁盘的隐藏区域。
(5) 采用诱骗隐藏传染手段。首先,诱骗用户点击某个网站链接。当用户上当点击后,病毒就会被下载到用户电脑或iPhone、iPad 等手持设备上。其次,病毒会将自己隐藏到电脑硬盘之中,并将藏身之处设置为不可读,避免被杀毒软件探测到。隐藏起来的病毒,就是“方程式组织”攻击平台Grayfish,其他攻击武器都通过该程序展开,去收集用户的密码等信息,发送回Grayfish 储存起来。同时,病毒也会通过网络和USB 接口传播。病毒修改了电脑和手持设备的驱动程序,一旦探测到有U 盘插入,病毒就会自动传染到U 盘上,并且同样把自己隐藏起来。当U 盘又被插入到另一个网络,例如一个与外界隔离的工控网络,病毒就被引入那个网络,并逐步传遍整个网络。
主要特点
(1) 攻击目标多。卡巴斯基记录了该组织向全球42 个国家和地区秘密实施网络攻击的情况。其中,从2001 年至今,该组织已经攻击了伊朗、俄罗斯、叙利亚、阿富汗、阿联酋、中国、香港、印度、英国、美国等国家和地区的上万个目标,大量设备被感染了恶意软件。由于“方程式组织”使用的恶意软件具有自我毁灭机制,因此卡巴斯基推断以上受害者只是冰山一角,实际数量可能更多。这些受害者包括政府部门;金融、核能研究机构;电信、航空、能源、石油和天然气、交通、军工和纳米技术等重要部门或行业;伊斯兰激进分子和学者;大众媒体以及加密技术开发企业等。中国是重点攻击目标,属于重灾区,如天融信公司的防火墙漏洞就被他们用来实施攻击。
(2)攻击目的明确。该组织所追求的目的不是为了窃取个人信息和实施经济诈骗,而是为国家利益服务,进行网络监控,搜集情报,破坏目标的工业生产,制造社会混乱,甚至直接攻击军事设施。其危害性远远超出了人们所熟悉的熊猫烧香、盗号木马等。有多条证据表明,曾经破坏伊朗核工厂的“震网”病毒就是“方程式组织”的一大“杰作”。“震网”病毒侵入伊朗用于操作核设施离心机的工业软件,持续了5 年之久,直到2010 年才被发现。其后果是,由于缺少核原料,伊朗制造核武器的计划被迫流产。
(3)攻击武器强悍。被泄露武器库中有文件名50 多个,类型分为3 类,其中安装在被劫设备上的恶意软件植入程序有28 个,允许攻击者劫持设备、提取数据或部署植入程序/ 工具的漏洞利用程序有15 个,可部署多个植入程序和漏洞利用的软件数据包工具有13 个。这些工具可对不同型号的防火墙实施攻击,适用多种环境。主要针对思科ASA 和PIX 防火墙、瞻博网络(Juniper Net Screen)防火墙、天融信(TOPSEC)防火墙、飞塔(Fortinet)防火墙的远端控制设备(RCE)存在的漏洞实施攻击,以达到获取防火墙控制权限的目的。这些防火墙均为全球主流品牌,其中涉及我国在用品牌的约60%。由此可见,我国约60% 的部门及公司在用防火墙有可能被黑客工具拥有者直接突破并访问。
(4)攻击方法独特。传统的病毒往往单兵作战,攻击手段单一,传播途径有限,而“方程式组织”则动用多种病毒工具进行协同作战,发动全方位立体进攻,是名副其实的最强网络攻击武器:依托U 盘自我复制和传播蠕虫病毒,研发恶意软件平台改写硬盘固件工具,借助光驱与系统漏洞进行攻击,利用恶意软件攻击老版本Windows 操作系统,采用诱骗隐藏传染手段。此外,有些漏洞攻击的方法也很独特,连卡巴斯基实验室也表示惊奇。 |
|
楼主: 电磁铁
IP卡
狗仔卡
显身卡
