本周早些時候,自稱“影子經(jīng)紀人”的黑客團伙,宣稱要拍賣一大波網(wǎng)絡(luò)武器——他們黑進美國國家安全局(NSA)“方程式”黑客小組所偷來的黑客工具。
除了NSA被黑本身令人震驚,數(shù)據(jù)的泄露和該神秘團伙僅為賺錢的聲明,也確實有些令人意外。為什么呢?
1. 他們“黑掉”了NSA一臺服務(wù)器的宣告十分可疑
從前NSA雇員內(nèi)線得來的消息顯示,情報機構(gòu)的黑客小組是不會把漏洞利用程序和工具包放到很可能被盜的網(wǎng)絡(luò)服務(wù)器上的。這些數(shù)據(jù)更有可能的滲漏場景,很有可能是某內(nèi)部人士下載到U盤上,再帶出來的。相比黑客行動,此事更像是涉及人力情報的經(jīng)典諜報行動。
一組未知黑客試圖搞定NSA的想法也是不太靠譜的。美國情報機構(gòu)可是勢力龐大又記仇的,如果沒有特別好的理由,應(yīng)該沒人會想站到他們的對立面。100萬比特幣(5.65億美元)的價格也絕非普通黑客能夠想像出來的。
2. 黑客入侵服務(wù)器后,一般會選擇低調(diào)潛伏好方便駐留
此事件諸多奇怪之處之一,就是所泄露數(shù)據(jù)的超級公開性。黑客攻入目標計算機后,一般不會激活你的攝像頭或是運行奇怪的程序,因為那樣一來你就會很快發(fā)現(xiàn)異常而著手清除。同樣的規(guī)律放到NSA身上也適用。
如果“影子經(jīng)紀人”掌握了NSA的命令與控制服務(wù)器(C2),做個安靜的觀察者,找找其他能找到的有趣的東西,或許會是他們更好的選擇。
但是,這個團伙卻在Pastebin(一個可以存儲文本的網(wǎng)站)上寫道:“我們追蹤了方程式的流量,發(fā)現(xiàn)了他們的源區(qū)域,黑掉了他們?,F(xiàn)在我們手握方程式的眾多網(wǎng)絡(luò)武器。”這不就相當于立即通知NSA黑客小組他們攤上大事兒了嗎?
雖然尚不確定,卻很有可能該團伙已喪失對服務(wù)器的訪問權(quán),因此他們也不再在意重新登錄了。鑒于泄露的文件都挺老的,事情的真相很有可能就是這樣。但他們的做法仍然不太尋常,因為像這樣的聲明是很有可能被受害者事后調(diào)查追責的,那就會帶來試圖找出案犯真實身份的復(fù)盤行動了。
如果該團伙是沒什么背景的小角色,給嘴巴拉上封條是更好的做法,尤其在他們的受害者是NSA的情況下。
3. 漏洞利用售賣一直都有,但人們從不宣之于口
軟件漏洞利用就是黑客的數(shù)字黃金,可以讓他們進入到之前無人察覺而沒有打補丁的系統(tǒng)或網(wǎng)絡(luò)。這也是為什么“零日”漏洞利用市場如此誘人的原因。此類代碼可是價值幾十數(shù)百萬美元的。
大多數(shù)時候,一個漏洞要么是被安全研究人員發(fā)現(xiàn),然后報告給公司去修復(fù);要么被黑客拿去黑市售賣賺錢。因此,“影子經(jīng)紀人”這類的團伙想要賣掉他們的戰(zhàn)利品情有可原,但公開出來就有點超出想象了。
一位不愿透露姓名的前NSA黑客說:“從我的角度,這可真是太詭異的舉動了。大多數(shù)組織要么發(fā)現(xiàn),要么交易漏洞。如果像安全研究公司做的那樣僅是發(fā)現(xiàn)漏洞,那他們通常會公布出他們的發(fā)現(xiàn)。他們真的是為公司和使用這些產(chǎn)品的用戶著想。”
“其他情況下,兄弟們會在漏洞市場進行交易。低調(diào)售賣。這么公開的拍賣是我生平僅見。其中的意圖是什么還不好說。”那么,他們到底打的什么主意呢?
4. 斯諾登的啟示
用前NSA承包商愛德華·斯諾登的口氣來說,影子經(jīng)紀人的公開泄露和聲明滿溢著俄羅斯的氣息,代表了莫斯科對華盛頓的警告。傳達的訊息就是:如果你們的政策制定者繼續(xù)譴責我們主導(dǎo)了民主黨全國委員會(DNC)黑客事件,那我們就用這次事件暗指你們做的更過分。
斯諾登在推特上寫道:“這有可能造成嚴重的外交影響。尤其是在這些行動針對美國盟友,針對選舉的情況下。”雖然斯諾登目前在莫斯科避難,某種程度上有點像是俄羅斯情報機構(gòu)的喉舌,他的話卻還是有一定道理的。
前NSA研究科學家埃特爾猜測:“DNC黑客事件發(fā)生,美國政客被激怒,讓NSA做出隱秘響應(yīng)。影子經(jīng)紀人就是俄羅斯對NSA隱秘響應(yīng)的另一個回應(yīng)。很多非常公開的信息你來我往,很值得一看。”埃特爾也不認為會有人真出錢拍下那些東西。鑒于維基解密宣稱已經(jīng)獲得了那些工具存檔,這一看法很有可能是對的。
維基解密官方推特上寫道:“我們已經(jīng)獲得了早前發(fā)布的NSA網(wǎng)絡(luò)武器的存檔,并將適時發(fā)布我們自己的原始副本。”
已有媒體試圖就此事聯(lián)系影子經(jīng)紀人,但該黑客組織目前并未對此作出任何回應(yīng)。