图片 1

据CNET报道,如果没有黑客组织Shadow
Brokers(影子经纪人),勒索病毒WannaCry绝不会像现在那样遍布全球。据《华盛顿邮报》报道,这种病毒被认定为是美国国家安全局(NSA)此前泄露的黑客渗透工具之一——永恒之蓝(Eternal
Blue)升级而来。网络专家称,这份文件被一个叫做影子经纪人(Shadow
Brokers)的黑客团伙偷走,并于4月份公布。这个黑客组织宣称将会继续曝光更多窃取自美国国安局(NSA)的工具。

上周,乌克兰等国遭遇了伪装成勒索软件 Petya
的网络攻击,恶意程序主要目的是破坏数据而非勒索比特币赎金,它被安全研究人员命名为
NotPetya。

图片 2

近日,名为“Shadow
Brokers(影子经纪人)”的黑客组织声称成功入侵了跟NSA相关的Equation
Group(方程式组织)的计算机系统,并成功窃取到了大量的机密信息以及黑客工具。随后,“Shadow
Brokers”黑客组织将60%的泄漏文件在网上进行了公布,其中就包含有针对多款网络设备的漏洞利用代码。

NotPetya 利用了两种 NSA 漏洞利用代码 —— EternalBlue 和 EternalRomance
进行传播,这两个漏洞利用代码是在今年 4 月被神秘黑客组织 Shadow Brokers
公开的。

根据影子经纪人的相关报道,该组织盗走的黑客工具远不止“永恒之蓝”,他们声称入侵了NSA的黑客武器库,获得了大量的互联网攻击工具。

图片 3

但安全公司  F-Secure 发现, NotPetya 的部分组件是在今年 2
月左右编译的,如果这个时间线正确,那么 NotPetya
开发者在公众之前访问到了 NSA
漏洞利用代码。这一发现暗示 NotPetya 与 Shadow Brokers 可能存在联系。但
F-Secure
也承认,他们还无法确定开发者访问
NSA 代码的时间。

影子经纪人初露锋芒的时间大概是在2016年8月。该组织宣布自己攻破了NSA的防火墙,并且公布了思科ASA系列防火墙、思科PIX防火墙的漏洞。当时该组织在推特上表示,他们将免费提供一些黑客工具的下载,而这些攻击武器均来自另一黑客团队“方程式组织”。

警惕已知思科ASA设备漏洞仍可被用在其新设备版本中

来自:Solidot奇客

图片 4

据悉,目前Shadow
Brokers已经释放了大约300Mb的防火墙漏洞利用、植入和工具代码。而据安全公司和斯诺登泄露的文件显示这些代码是真实的,专家更指出,最近的文件可以追溯到2013年。

“方程式组织”隶属于NSA,被称为NSA的网络“武器库”。有业内人士表示,“方程式组织”是全球最顶尖的黑客团队,这个团队的加密程度无人能及。在2010年时“方程式组织”利用“震网病毒”和“火焰病毒”摧毁了伊朗核设施后名声大噪,也被认为应该是出自“方程式组织”之手。

这些漏洞利用、植入和工具代码专门针对Cisco、Fortinet、WatchGuard、Juniper
Networks和其他供应商的产品。这些公司都已经对泄漏的代码进行了分析,但到目前为止,只有思科发现了一个之前未发现的漏洞(CVE-2016-6366,CNNVD编号为CNNVD-
201608-012)。

目前勒索病毒已经感染了超过150个国家和地区的 30
万台电脑,导致医院、政府部门、学校及企业等电脑数据被加密锁定,需要缴纳赎金才能解锁,但是具体交了赎金后是否真的能够解锁,也很难证实。

这个漏洞能够影响思科自适应安全设备(ASA)软件的简单网络管理协议(SNMP)代码,拥有目标系统访问权限的远程攻击者可以利用这个漏洞执行任意代码,并获得设备的完全控制权。思科尚未发布一个安全漏洞的补丁,但它提供了一些解决方法。

图片 5

泄露的CVE-2016-6366漏洞的利用代码,被称为“EXTRABACON”,已经有几年历史了,所以只能在旧版本的ASA上正常工作。思科公司的安全专家表示已经修复了这个漏洞,并且表示只要用户运行的是最新版本的思科软件,那么他们就不会受到“Shadow
Brokers”事件的影响。

勒索病毒利用了“永恒之蓝”的漏洞,它首先被NSA发现,后被影子经纪人从其“黑客武器库”中窃走并曝光。沉寂一段时间的影子经纪人,最近突然再次活跃起来,警告NSA和全世界将有更多被窃取的NSA攻击工具曝光。

然而,
研究人员近日证明了泄露的思科ASA漏洞利用也可以在新版本的软件上进行远程代码执行。

影子经纪人表示,他们拥有美国75%的“网络武器”,将会公布更多的黑客工具,该组织曾尝试以拍卖的形式出售这些被窃取的黑客工具,但因为没有收到报价而取消。

图片 6

影子经纪人此前在一封信中说到,他们将在今年6月份左右会发布更多有关每月数据转储的详细信息,包括用户如何注册。经过勒索病毒袭击后,这些数据转储的需求会更多。RiskSense资深安全分析师肖恩·迪伦(Sean
Dillon)指出:“Shadow
Brokers已经证明,他们的确拥有非常有效的工具,为此对它们感兴趣的人很可能会去购买,特别是其他犯罪分子。他们依然拥有政府的工具,并希望能够获得大量金钱。”,一旦有人从影子经纪人获得这些数据转储后,这些漏洞很可能被曝光。在信的最后,Shadow
Brokers暗示,如果NSA支付赎金,他们也可以帮助解决这些问题。据研究人员称,同样的EternalBlue漏洞曾被恶意软件Aydlkuzz利用感染电脑,它可以操纵你的电脑,并获取个人信息。

泄露的思科ASA漏洞仍可被利用(图片来自网络)

在勒索病毒爆发的4天内,黑客组织已经收到7万美元赎金,但是目前仍无人认领。影子经纪人曾举行过网络拍卖活动,如果收到超过100万比特币,他们就会释放更多的黑客工具。但那次活动只获得了25美元左右的比特币。当时100万比特币价格大约为5.
8 亿美元。现在价值17. 6 亿美元。

研究人员设法修改了泄露的ASA漏洞利用代码,并将其应用到了版本ASA
9.2(4)上,该版本于2015年7月发布。

图片 7

此外,安全专家Balint
Varga-Perke称,泄露的漏洞利用代码甚至可以应用到更新的版本上。安全公司正在为目前不支持的思科ASA版本自动生成利用代码。修改ASA漏洞利用代码并将其应用到版本ASA
9.2(4)只花费了研究人员几个小时。

2016年10月,影子经纪人停止了销售,发起了类似众筹的活动。如果他们通过众筹活动获得10000比特币,就将提供给参与众筹活动的每个人一份黑客工具。两个月后,该组织的众筹尝试再次失败。但该团队并没有放弃一切可以赚钱的努力。他们之后开始在ZeroBin上小批量地销售黑客工具。2017年1月,该组织出售一批可以绕过杀毒软件的Windows黑客工具,价值越为750比特币。

“不幸的是,一些人只有在看到实际的演示之后才会认识到漏洞的风险,”Varga-Perke在一封电子邮件中说到。“我们希望我们的开发也能够让那些持怀疑论的人们认识到这些风险。”

媒体评价称,“影子经纪人”就像黑客中的军火商。他们经常会贩卖一些高级的攻击武器和重要的军事、政务、国防信息。客户在发现该团队的攻击能力后,往往会成为回头客,以求购买更新、更强的“攻击武器”。

根据思科针对CVE-2016-6366漏洞做出的安全公告,该漏洞影响所有ASA的软件版本和所有支持SNMP的版本。当供应商在一个运行版本9.4(1)的思科ASA
5506设备上测试泄露的漏洞利用代码时,软件崩溃了。

在今年4月中旬时,影子经纪人声称获得了NSA黑客工具的详细信息,据说美国政府正是利用这些工具入侵国际银行系统,侦查各国间资金流向,监控中东、拉美和其他地区国家银行间的资金往来。

思科产品安全事件响应团队的Omar
Santos也证实,漏洞利用代码经过修改可以应用到任何ASA代码上。

尽管在互联网上“名声显赫”,但至今仍无人知道影子经纪人究竟是谁。

目前还不清楚Shadow
Brokers的幕后推手是谁。虽然有怀疑是俄罗斯黑客所为,但也有人认为是一个国家安全局(NSA)内部人员所为。

【编辑推荐】