不隻是“永恒之藍”，NSA的網絡武器庫中還有秘密軍火

近日，微軟總裁兼首席法務官Brad Smith公開指責美國國家安全局（NSA）在此次勒索病毒爆發中負有不可推卸的責任，甚至將此次“網絡武器庫被盜事件”與戰斧導彈遭竊相提並論。

而這次勒索病毒來襲，也使人們再次關注起一個叫做“方程式組織”（Equation Group）的神秘黑客組織。據稱，此次勒索病毒“WannaCry”正是另一黑客組織竊取“方程式組織”的“永恒之藍”漏洞工具升級而來。

該頂級黑客組織被廣泛認為隸屬於NSA，是NSA的“網絡武器庫”。那麼，該組織為什麼會成為NSA的武器庫？而這一武器庫中，還存著哪些“秘密軍火”呢？紅星新聞記者從一份卡巴斯基安全實驗室（卡巴斯基實驗室成立於1997年，目前它已成為一家著名的國際信息安全軟件提供商）2015年發布的報告中發現端倪。

卡巴斯基實驗室發布關於“方程式組織”的報告

1、 被認為隸屬於NSA的 “方程式組織”有什麼來頭？

曾研發出赫赫有名的“震網”、“火焰”病毒

它的武器庫中目前已被發現6件“裝備”

報告的開頭，紅星新聞記者注意到，卡巴斯基實驗室評價 “方程式組織” 為世界上最先進、最精密的黑客組織，最早活躍在網絡上的時間可追溯到2001年，甚至1996年。

而除了這次公布的“永恒之藍”外，據美國TechCrunch網站報道，“方程式組織”還研發出諸多赫赫有名的“病毒武器”，包括2010年曾席卷全球工業界的病毒——震網（Stuxnet）。該惡意軟件曾襲擊伊朗核設施，對伊朗濃縮鈾計劃產生了重大影響。

2012年，又一名為“火焰”的蠕蟲病毒再次在中東地區蔓延。該病毒被認為比“震網”更為複雜、殺傷力更大，而它的“背後製造者”，仍是“方程式組織”。

目前，這一黑客組織的武器庫中已經被發現6件“裝備”，分別為EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Grayfish和Fanny。其中，Fanny主要用於搜集中東和亞洲地區的目標信息，該武器與2010年首次被發現的“震網”病毒密切相關。

實際上，這一“全知全能”的黑客組織和美國國家安全局的淵源，可謂是由來已久。

據美國科技媒體網站ars Technica2015年的一篇報道中指出，根據“方程式組織”能夠製造出“震網”等威力強大的黑客工具，卡巴斯基專家推測，這一組織正是美國國家安全局的”傑作”。

而且，卡巴斯基的專家還提供了更加詳細的證據：該機構的源代碼中將鍵盤記錄器代稱為“Grok"，而此代碼和此前斯諾登泄密的一篇名為“美國國防部計劃將影響世界上數百萬台計算機”的文章中提到的代碼一模一樣。

斯諾登 圖據CNN

2、盜竊武器庫的黑客“影子經紀人”有什麼來頭？

曾在網絡上公開拍賣盜竊的黑客工具

曝至少有針對微軟的15個係統漏洞工具被泄露

實際上，此次“WannaCry”病毒的爆發，正是黑客組織影子經紀人（Shadow Brokers)盜竊了他們的武器庫造成的後果。

去年8月，黑客組織“影子經紀人”就開始在網上公開拍賣網絡攻擊和黑客工具，但購買的人數寥寥無幾。

今年四月份，在受到上次拍賣失敗的刺激後，“影子經紀人”主動公開了此前拍賣的工具包，並重新拍賣從“方程式組織”中竊取的惡意攻擊工具。

據美國有線電視新聞網此前報道，至少有針對微軟的15個係統漏洞工具被泄露，而這次造成勒索病毒的永恒之藍，不過是其中之一。

此次攻擊的特別之處>>>

這是首個已知的能直接感染固態硬盤的惡意軟件

在這份報告中，卡巴斯基實驗室詳解了各攻擊平台的攻擊實施過程，並特別指出，黑客組織“影子經紀人“最精密的一點是能夠感染固態硬盤。”

可能很多人不太明白對固態硬盤的入侵意味著什麼。據“FreeBuf黑客與極客”網站發布的一篇解讀稱，這意味著它能夠將數十種常見品牌的硬盤固件進行重新編程，並可以無限次“複活”。

受到感染的硬盤使得攻擊者可以持續的對受害者的計算機進行控製和數據竊取，而這也是首個已知的能夠直接感染硬盤的惡意軟件。

紅星新聞記者 王雅林 實習生 翟佳琦 編輯 包程立