揭秘美國國安局 NSA 的秘密駭客「組織方程式」

方程式駭客組織曾開發出的惡意軟體與蠕蟲病毒,已感染過全球超過 30 多國網路。成功攻破了包括政府或外交部門、電信、航空宇宙、核能、軍事、金融、伊斯蘭宗教等組織機構的加密技術。口味這麼複雜,能跟政治沒有關係?
評論
評論

本文來自 合作媒體雷鋒網 , INSIDE 授權轉載。

NSA 被駭了!? 不,不是這樣。

發佈消息的駭客組織 The Shadow Broker(暗影經紀人),只是聲稱他們入侵了「Equation Group」(方程式組織),並將他們從該駭客組織的電腦系統中所獲取到的大部分駭客工具全部洩漏在了互聯網上,並告訴大家還有一些需要付費的「優質文件」。

眾所周知,駭客組織方程式與 NSA 有著說不清道不明的關係。而 NSA 肯定不會對此事件進行任何回應,但斯諾登卻已按耐不住,在推特上公開質疑此事,稱是有人故意下圈套,想讓大家覺得美國政府參與過多次駭客行動。

目前事件還沒有進一步的進展,不妨讓我們來看一看這個與 NSA 有著千絲萬縷聯繫的駭客組織,方程式。

據國外安全專家分析,駭客組織方程式的行蹤可以追溯至 2001 年,甚至更早,1996 年時就有活躍跡象,團體成員數超過 60 人。方程式被評價為是現有最隱秘、最先進、最複雜的具有高度威脅的駭客組織。

方程式的名字是由發現他們的卡巴斯基實驗室命名的。卡巴斯基在報告中曾說,之所以叫他們方程式,是因為在他們的行動中,比較偏愛加密算法、模糊策略等比較複雜的技術。

57b6db6dbce9e
▲駭客組織方程式病毒圖譜

據卡巴斯基分析報告,RC5 加密算法技術貫穿方程組設計的惡意軟體與蠕蟲病毒,有一些也使用了 RC6、RC4 和 AES。

RC5 和 RC6 兩種加密算法是由 Ronald Rivest 分別在 1994 年與 1998 年研究出的。兩種算法非常相似,RC6 是在 RC5 基礎上在密鑰中加了一個額外的增值算法,使其更加的牢固。兩種加密算法的密鑰都是使用相同的機制與常數 P 和 Q 建立的。

有安全專家稱,有跡象表明這個組織與美國國家安全局有關。認為方程組與 NSA 有關聯的一名電腦安全專家 Claudio Guarnieri 曾是 NSA「稜鏡門」事件分析小組的成員,他認為,卡巴斯基實驗室現在分析曝光的惡意軟體,早在之前安全專家的研究中就有所涉及,雖然可能分析的深淺不同。Guarnieri 曾肯定的告訴富比士,方程式駭客組織的行為百分之百與 NSA 有關,因為該組織某些高調的攻擊行動代號與 NSA 洩密事件「稜鏡門」中所洩漏文件中記載的活動訊息十分相似。

該方程組依靠多種技術來感染他們的攻擊目標。主要包括:

  • 自我複製 Fanny 蠕蟲病毒
  • 借助光碟驅動程式與系統漏洞
  • 借助隨身碟與系統漏洞
  • 基於網路展開攻擊

在方程組駭客組織發佈的諸多病毒中,Fanny 蠕蟲病毒是最厲害的一個,可以入侵有網閘隔離的網路。為了實現這種入侵攻擊,他們使用了一種獨特的基於 USB 的控制機制,可以允許攻擊者在被物理隔斷的網路中自由出入。

這個獨特的 USB 控制機制,主要是通過隨身碟感染來實現。隨身碟中有一個隱藏的儲存區域可以收集到來自被隔離網路的基本系統資訊,當感染 Fanny 蠕蟲病毒的隨身碟插入後,在聯網狀態下,可以立即將收集到的訊息發送給攻擊者。

如果攻擊者想要對被網閘隔離的網路環境運行指令,他們可以把指令通過蠕蟲病毒儲存在隨身碟的隱蔽空間。當隨身碟被插入目標電腦,蠕蟲病毒會自動識別並運行指令。

在卡巴斯基實驗室檢測到的方程式駭客組織的七種攻擊方式中,有四種都是利用零日漏洞實現的。其中還有卡巴斯基實驗室未研究出的漏洞利用攻擊方式,主要針對裝有洋蔥路由 TOR 的火狐瀏覽器。

卡巴斯基實驗室在分析研究中還發現,在入侵過程中,方程組可以一次利用一個程序鏈上的十個漏洞。但其所設置的蠕蟲病毒對攻擊目標的嘗試攻擊次數總共不會超過三次,如果第一次嘗試未成功,會接著進行第二次與第三次嘗試,如果三次嘗試都沒有攻擊成功,他們就會放棄攻擊此目標。

另有安全專家發現,利用了曾破壞伊朗核工廠鈾濃縮計劃的超級病毒(Stuxnet)中就包含有 Fanny 蠕蟲病毒的漏洞入侵技術。

57b6dbcfab959
▲駭客組織方程式病毒攻擊圖譜

迄今為止,方程式駭客組織曾開發出的惡意軟體與蠕蟲病毒,已感染過全球超過 30 多國網路。成功攻破了包括政府或外交部門、電信、航空宇宙、核能、軍事、金融、伊斯蘭宗教等組織機構的加密技術。口味這麼複雜,能跟政治沒有關係?