|
更多全球网络安全资讯尽在E安全官网www.easyaq.com E安全4月18日讯 “影子经纪人”(Shadow Brokers)上周五再抛重磅信息,曝光NSA使用的Windows系统高危漏洞工具。 最新披露的文件中,有几处提到先前揭露的NSA绝密计划和软件,例如用来远程控制植入程序的“STRAITBIZARRE”,以及入侵SWIFT系统的“JEEPFLEA”,暗指这些工具的确从“方程式组织”(美国国家安全局NSA精英黑客团队)处窃取得来。 此次披露的文件中令人惊诧的是,该文件中包含“震网蠕虫”(Stuxnet)病毒中使用的一款工具。赛门铁克公司Stuxnet研究人员Liam O'Murchu表示,此工具是针对Windows MOF文件的漏洞利用,与Stuxnet使用的脚本几乎完全相同。Stuxnet与NSA工具之间确实存在很强的关联性,但目前还不足以断定这两者之间的关联。 O'Murchu解释称,尽管两者之间的关联性很强,但目前缺乏确凿的证据,因为在Stuxnet中发现的通用脚本后来被反向工程并由研究人员添加到Metasploit(热门开源黑客工具包)中。这就意味着使用Metasploit的任何人都可以创建与Stuxnet十分相似的MOF文件。 然而,影子经纪人周五泄露的MOF文件创建工具最后编译时间为2010年9月9日,也就是Stuxnet首次被发现三个月后,即代码被添加到Metasploit前不久。 以下是Stuxnet的部分脚本: 以下是影子经纪人曝光的部分脚本: 其它研究人员还注意到这两者之间存在明显的关联,两者均为MOF漏洞利用,并出现了不太明显的参考,例如披露工具中的ASCII艺术中带有“WON THE GOLD MEDAL”字样。据报道,Stuxnet行动的绝密代号是“Olympic Games”。 在线恶意软件库Virus Total表示奇怪的是,反病毒程序Avast将影子经纪人上周五曝光的其它漏洞利用检测认定为Stuxnet。 具有丰富反病毒软件分析经验的安全研究人员乔斯因-柯罗特表示,虽然可能存在误报,但出现这样的误报太奇怪了。 美国政府从未正式承认,NSA借助以色列政府黑客的帮助创建Stuxnet,并对伊朗核设施发起攻击。然而,这几乎成了公开的秘密。 影子经纪人长期以来声称,他们曝光的工具来自“方程式组织”。各方广泛认为,方程式组织就是为NSA效力的黑客组织。因此,许多人怀疑,影子经纪人披露的Stuxnet MOF文件创建工具可能就是NSA黑客和开发人员编写Stuxnet的最早技术证据。 当然,影子经纪人曝光的组织也可能只是简单间接获取了Stuxnet工具,并重新加以利用。 据报道,NSA先前已经参与开发并部署了Stuxnet,各界很难不认为方程式组织就是NSA的黑客组织。 E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com |
|
|
