卡巴斯基實驗室的研究人員公布了這些材料的研究細(xì)節(jié)：The Shadow Brokers公開的這份數(shù)據(jù)尺寸大約是300MB，里面具體包含針對某些防火墻產(chǎn)品的漏洞利用，黑客工具和腳本，工具名稱如BANANAUSURPER、BLATSTING、BUZZDIRECTION。不過這些文件都至少有3年的歷史了，最新的時間戳所標(biāo)的時間點是在2013年10月。

　　那么究竟憑什么說跟方程式有關(guān)呢?卡巴斯基實驗室有提到：“雖然我們無法確定攻擊者的身份或者動機(jī)，也不知道這些工具是從哪里或者怎么得來的，但我們可以明確，泄露的數(shù)百款工具，和方程式組織絕對有密切的關(guān)聯(lián)。”

　　The Shadow Brokers公布的文檔中大約有超過300個文件，采用RC5和RC6加密算法作為通用策略，手法和方程式如出一轍。

　　“其代碼相似性讓我們高度確認(rèn)，The Shadow Brokers泄露的工具和方程式的惡意程序的確是有關(guān)聯(lián)的。”上圖比對的就是早期方程式RC6代碼，和這次The Shadow Brokers泄露文檔中的代碼，相同的函數(shù)、約束條件，還有些比較罕見的特征都很能說明問題。

　　除了卡巴斯基之外，NSA另一個神秘組織TAO(特定入侵行動辦公室)的前員工也認(rèn)為這些工具和方程式所用的工具一樣。華盛頓郵報也已經(jīng)對此進(jìn)行了報道。

　　上周五，The Intercept公布了新一輪的Snowden泄密文檔，其中有許多工具與本次泄露的工具存在很強的關(guān)聯(lián)，這些都是證據(jù)：比如說Snowden披露的文檔中包含一款SECONDDATE利用工具，這個工具可在網(wǎng)絡(luò)層干涉web請求，并將之重定向至FOXACID服務(wù)器，“ 操作手冊 ”第28頁提到，NSA雇員必須使用ID，來標(biāo)記發(fā)往FOXACID服務(wù)器的受害者，里面提到ID為ace20468bdf13579，這個ID就在本次The Shadow Brokers泄露的14個不同的文件中有出現(xiàn)。

　　泄露的這些工具究竟可以用來做什么，我們還可以稍舉一些例子，比如說安全研究人員測試了EXTRABACON利用工具，確認(rèn)利用這款工具，在不需要提供有效身份憑證的情況下，就可以訪問思科防火墻：這款工具利用Cisco ASA軟件SNMP協(xié)議中的0-day漏洞(CVE-2016-6366)，可致“未經(jīng)授權(quán)的遠(yuǎn)程攻擊者”完全控制設(shè)備。

　　此外，還有利用思科一些更早漏洞的0-day利用工具，比如利用思科CVE-2016-6367漏洞的，這個漏洞存在于Cisco ASA軟件的命令行界面解析器中，可致未經(jīng)授權(quán)的本地攻擊者構(gòu)造DoS攻擊條件，以及存在執(zhí)行任意代碼的風(fēng)險——泄露的EPICBANANA以及JETPLOW工具都利用了該漏洞。

　　再舉個例子，其中還有一款工具能夠解密思科PIX VPN流量，并在主板固件中植入惡意程序，這種攻擊方式幾乎無法檢測到，也沒法刪除…這些工具波及到的安全廠商包括了思科、Juniper、Fortinet等。尤為值得一提的是，泄露文檔中也包含針對國內(nèi)天融信防火墻產(chǎn)品的漏洞利用。思科實際上也第一時間確認(rèn)了這些漏洞的存在，并發(fā)布了相應(yīng)的補丁——想一想，前文提到這些泄露文件的時間戳至少也是3年前的，可想而知這些0day漏洞有多0day。

　　據(jù)說方程式利用這些工具，針對思科、Fortinet等安全企業(yè)的客戶進(jìn)行監(jiān)聽，已經(jīng)有至少10年時間。FreeBuf最近也發(fā)了幾篇有關(guān)解析泄露文檔的文章，像是這一篇：《 NSA(美國國安局)泄漏文件深度分析(PART 1) 》，這些其實都是表現(xiàn)方程式有多恐怖的。

　　問題四：真的是為了100萬比特幣?

　　有關(guān)這個問題，業(yè)內(nèi)觀點眾所紛紜。要解答這個問題，這就得摸清發(fā)起本次攻擊的幕后主使究竟是誰了，目前比較主流的說法有兩種， 其一此次事件就是NSA內(nèi)部人員所為(老外的用詞是insider’s job) ——業(yè)界著名的Matt Suiche就是這么認(rèn)為的，他說他和前NSA TAO雇員就此事聊了聊。他在博客中是這么寫的：

　　“這次泄露的文件實際上也包含了NSA TAO工具套裝，這些工具原本是儲存在被物理隔離的網(wǎng)絡(luò)上的，根本就不會接觸到互聯(lián)網(wǎng)。”

　　“那些文件根本就沒有理由放在staging server服務(wù)器上，除非有人故意這么做。文件層級關(guān)系，還有文件名都沒變，這應(yīng)該表明這些文件是直接從源復(fù)制過來的。”

 2/3   首頁 上一頁 1 2 3 下一頁 尾頁