影子经纪人六月开闸放货,可能将成就一大批勒索者

E安全5月16日讯 窃取并公开美国国家安全局(简称:NSA)网络武器库的“影子经纪人”(Shadow Brokers)黑客组织刚刚宣称:将从今年6月开始,逐月出售包括浏览器、路由器、手机漏洞及相关工具、新的攻击行动disk(和此次传播勒索蠕虫病毒的Windows武器库一样,包括NSA支持的Windows 10网络攻击武器),还有更多的SWIFT供应商和央行入侵数据,以及针对中国、俄罗斯、伊朗和朝鲜的导弹和核弹计划的内部网络数据。

影子经纪人六月开闸放货,可能将成就一大批勒索者-E安全

就在昨天晚间,某宣称代表影子经纪人的人士在Steemit网站上发布了一条新消息。根据这一最新声明,该黑客组织公开了多项主张,同时威胁将发布更多危害性极强的机密信息。

在以下文章中,我们将编译引用影子经纪人的原文内容。如果内容翻译有误可以联系E安全(微信公众号:E安全)进行修正。其中提到的“方程式组织”(The Equation Group)为一个成熟度极高的“持续性威胁”组织,且被广泛认为与美国NSA有所关联。

相关阅读:美国NSA“方程式组织”使用的黑客工具列表及功能解释

影子经纪人表示其对于今年4月的机密信息曝光事件——直接引发了当下正在发生的WannaCrypt/WannaCry勒索软件风波,同时也可能导致更多其它潜在威胁——“负有重要责任”。去年8月,影子经纪人曾警告称NSA方程式组织已经遭遇入侵,而相关信息已经被其掌握。影子经纪人还通过拍卖方式提供了部分内容。为了证明其确实拥有大量值得关注的信息,影子经纪人先后公布了来自方程式组织的2013年防火墙工具以及一项陈旧的思科零日漏洞。然而,人们对于影子经纪人的说法并未采信。

为什么要进行拍卖?影子经纪人对于Bug赏金项目、将信息出售给“网络暴徒”或者“交给贪婪的企业帝国”等作法毫无兴趣。他们希望选择更具价值的对手。影子经纪人实际上是将矛头直接指向了方程式组织,但对方并无意对这些信息进行回购; 而此轮拍卖也没能吸引到任何政府机构、科技企业或者安全厂商的参与。

去年12月,影子经纪人取消了拍卖活动,并决定对这部分敏感信息进行分批出售。尽管如此,仍然没能吸引到买家。面对这样的情况,影子经纪人对结果进行了反思。他们得出的结论是人们之所以不感兴趣,是因为并不相信该组织掌握有高价值信息。

今年1月,影子经纪人发布了多份来自方程式集团2013 Windows Ops Disk内的程序截屏。在公布截屏的同时,他们清楚地意识到方程式集团将认出这些内容,并向微软方面发出警告。

(影子经纪人反对者马特·苏西在一条推文中坦言,‘影子经纪人似乎清楚地意识到,*只有*方程式组织能够从这些截屏当中发现有价值内容。’)

影子经纪人六月开闸放货,可能将成就一大批勒索者-E安全

今年2月,微软公司错过了原本雷打不动的补丁星期二发布。影子经纪人表示,这意味着微软跳过了补丁星期二,旨在对2013 Windows Ops Disk中的漏洞进行修复。3月,微软方面针对各SMB安全漏洞发布了修复补丁。甲骨文公司也修复了“大量安全漏洞”。而影子经纪人仍在等待,而未公布任何漏洞内容。

(这一说法与微软此前发布的MS17-010版本正好相符,此版本解决了多项SMB安全漏洞,也与众多从业者对于2月定期补丁取消一事的猜想不谋而合。)

今年4月,即截屏内容公布的90天之后(也在微软发布补丁的30天之后),影子经纪人正式发布了2013 Windows Ops Disk的相关内容。“为什么不呢?毕竟影子经纪人还掌握着更多漏洞信息……这正是影子经纪人向方程式集团宣战的号角,‘你们的基地已经归我们所有。’影子经纪人对于利用漏洞换取金钱并无兴趣。其所针对的一直都是方程式集团本身。”

影子经纪人在微软发布Windows补丁的30天之后才对这批漏洞信息进行曝光。微软方面与方程式集团间签订了一项价值达“每年数百万甚至数十亿美元”的合同。方程式集团对微软及其它技术企业、俄罗斯、中国、伊朗乃至以色列情报机构进行入侵。事实上,就连谷歌Zero项目也拥有一位前方程式集团成员。大家还记得Zero项目中的“可怕零日漏洞”吗?微软花了两天时间即将其解决——这恐怕很难归结为巧合。

那么,我们能否断言方程式集团向美国各技术企业付费以要求对方在安全漏洞公开披露之后再加以修复?为什么微软公司要秘密发布SMB安全漏洞的修复补丁?方程式集团刻意隐瞒SMB安全漏洞的作法是否令微软感到尴尬?微软认为其已经了解到方程式集团所发现的全部安全漏洞,并接受后者支付的资金以拖延相关补丁的发布。

就这一问题,微软公司首席律师布拉德·史密斯(Brad Smith)被推到了风口浪尖之上。

今年5月,我们并没有发布任何新的安全漏洞,但WannaCry突然出现。从犯罪软件的角度来看,WannaCry实际上非常奇怪。我们很难将其解释为断路开关抑或是打击特定国家的网络武器。亦有传闻指出,WannaCry可能是由朝鲜所一手开发。

马特·苏西在一条推文中提到,“影子经纪人认为,在WannaCry这样的勒索软件当中存在断路开关确实令人感到费解。”他还将WannaCry当中的代码与拉撒路集团(Lazarus Group,曾于2014年对索尼影业发动攻击,并自孟加拉国中央银行处窃取得8100万美元)的已知代码进行了直接比较,并得出结论称WannaCry与朝鲜之间确实存在一种明确但亦有可能属于巧合的联系。

影子经纪人六月开闸放货,可能将成就一大批勒索者-E安全

影子经纪人在文章中继续补充称:

今年6月,影子经纪人将公布“影子经纪人数据曝光月(The Shadow Brokers Data Dump of the Month)”服务。我们计划推出一项新的月度订阅模式,类似于俱乐部每月向会员提供酒水的形式。您按月支付会员费用,而我们则向每位会员提供曝光数据。会员可根据自身意愿对这些数据加以使用。

影子经纪人月度数据曝光服务可能包括:

· 网络浏览器、路由器与手机漏洞及相关工具

· 来自更新Ops Disks中的选定条目,包括适用于Windows 10的其它新型漏洞

· 来自更多SWIFT供应商及中央银行机构的内部网络数据

· 来自俄罗斯、中国、伊朗以及朝鲜的核武器与导弹项目的内部网络数据
更多细节信息将于今年6月正式披露。

如果责任方在全面出售前买下所有丢失数据,则影子经纪人将不再拥有持续出售此类敏感信息的经济动力,并承诺将相关内容永久移除。相信有关方面知道我们的比特币地址。

值得注意的是,文章的最后一部分——包括所有在售条目——重新使用标准英语表达。

马特·苏西在推文中指出,“影子经纪人针对Windows 10的声明暗示其拥有2013年之后的机密文件。那么NSA是否会根据与承包商间的协议而对此持有不同意见?”

影子经纪人六月开闸放货,可能将成就一大批勒索者-E安全

影子经纪人的声明与我们从外部观察的迹象保持一致,这也让人们更为好奇其是否真的已经掌握了全部内幕资料。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。0day

发表评论