上周,一个名为“暗影经纪人”(Shadow Brokers)的组织从美国国家安全局(NSA)窃取了 234 兆字节的数据。泄露的信息包括 NSA 用于窃听嫌疑人和敌人的“网络武器”的信息,以及一个揭示 NSA 恶意软件指纹的追踪代码。
但是,在我们理解这次泄露的意义之前,要解开“暗影经纪人”的身份之谜,一个八英尺高的外星人,以及围绕这一切的外交象棋博弈,我们必须从 2015 年发布的一份报告开始。
去年,网络安全研究组织卡巴斯基实验室(Kaspersky Lab)对有史以来曝光过的最先进、影响最广的黑客活动进行了分类。其幕后黑手,即方程式组织(Equation Group),已经在俄罗斯、中国、印度、伊拉克、伊朗、英国、墨西哥和法国等国的政府部门建立了数百个后门。总共有 42 个国家被渗透。方程式组织还偏好物理攻击,拦截了 Fortinet、TopSec、Cisco 和 Juniper 等 IT 公司的硬件设备,这些公司的技术构成了全球大部分网络安全基础设施的骨干。
到卡巴斯基实验室将方程式组织认定为 NSA 预防性黑客特遣队(TAO)的一个分支时,方程式组织已经花费 14 年时间悄悄地在世界大部分网络基础设施中建立了一个广泛的后门网络。正如一位匿名的前 TAO 成员在《华盛顿邮报》上所说,他们的文件是“王国之钥”。这些文件经常以奇怪的命名方式进行组织,例如 EPIC BANANA、BANANAGLEE 和 EXTRA BACON。
而正是这些文件被“暗影经纪人”泄露了。通过交叉引用这些文件中的过往攻击手法和代码,以及其不同寻常的命名方式,与斯诺登的缓存和方程式组织的揭露进行比对,可以清楚地看出,“暗影经纪人”的信息很大一部分来源于方程式组织和 TAO。
谁干的?
“暗影经纪人”这个名字似乎直接取自于游戏《质量效应 2》(Mass Effect 2)。没错,就是那个电子游戏。在游戏中,一个名叫暗影经纪人的八英尺高的外星人,安静且冷酷地进行着黑市信息交易——这与黑客组织的行径形成了有趣的对比。
当黑客们发布他们的缓存时,他们表现得肆无忌惮、吹嘘炫耀。他们用蹩脚的英语吹嘘自己胜过了 NSA,并提议拍卖加密的 NSA 数据。但“极其荒谬的‘邪恶博士’式数额”——一百万比特币(5.76 亿美元),以及竞拍失败者将没收资金而无法获得解密密钥的事实——表明“暗影经纪人”并没有认真期望从中获得什么。
除非,这是一种企图通过散布一场愚蠢的追逐来转移注意力的尝试,目的是塑造一个虚假的、寻求名气的集体。就像游戏中的角色一样,这个经纪人可能是一个拥有庞大网络访问权的个体,一个 NSA 内部人士试图掩盖自己的踪迹。
敏感的 NSA 信息通常存储在隔离网络(air-gapped networks)上——即不与互联网连接的网络。由于这一点以及其他安全措施,它们很难被破解。然而,人类是容易的入口点,正如爱德华·斯诺登所证明的,拥有内部访问权限并使用 U 盘的人可以绕过这些系统。
一个心怀不满的内部人士试图通过一场愚蠢的追逐来转移注意力是可行的——但根据巧合、常规逻辑和外交学 101,俄罗斯黑客的攻击看起来更可能。
隔离网络固然好,但并非牢不可破。用恶意软件感染员工的手机,你就可以用它作为通道,从隔离网络中窃取数据。用程序来改变内部风扇的转速,你可以有效地将数据通过摩尔斯电码发送给监听设备,然后再将其解码成有用的信息。然而,如果一个 TAO 操作员失误,将敏感信息保存在可通过互联网访问的暂存服务器上,这些措施可能就变得不必要了。
正如最近由黑客 Guccifer 2.0 发布的民主党全国代表大会泄露事件所示,黑客经常声称对攻击负个人责任。然而,普遍的观点是,此类事件通常是国家支持的,政府保持完全否认的权利。俄罗斯否认对 DNC 攻击负责,但白宫考虑采取制裁措施作为回应。
按照这是俄罗斯攻击的逻辑,那么这是一种出色的外交手段。作为对制裁提议的回应,这次泄露让 NSA 蒙羞,揭露了他们对更多思科和飞塔(Fortinet)基础设施的后门,并正如斯诺登所说:
换句话说,“离我们远点,因为我们可以展示你们的指纹在哪里。”而且,由于许多文件都追溯到 2013 年,“暗影经纪人”手中早已掌握了这些指纹。
所以,NSA 可能面临一个胆敢不逃跑的rogue(流氓)内部人士,反而精心策划了一场时间点恰好匹配外交紧张局势的愚蠢追逐,或者是一场训练有素、含沙射影的国家支持的攻击。就目前而言,只有一件事是确定的:无论“暗影经纪人”是他、她还是它们,都玩了太多《质量效应》。
