入侵Equation Group服务器可能会对NSA运营和美国外交政策造成严重后果

展示未知敌人的力量

转到NSA大楼。

2016年8月13日，加里·卡梅伦（Gary Cameron）摄影/路透社（Reuters） 2016年8月13日，未知人士发布了The Equation Group的开源代码和漏洞利用，并承诺将发布从被黑客入侵的服务器收到的其他信息。此事件的重要性很难高估。

首先，方程式小组隶属于国家安全局（NSA），并且大概参与了技术上复杂的网络攻击，例如感染在伊朗运行铀浓缩离心机的计算机。 2010年，利用Windows中的0day漏洞的Stuxnet恶意软件由于转速的变化而使西门子的1,000到5,000台离心机失效。结果，美国-以色列奥林匹克运动会严重地制止了伊朗的核计划，并据说阻止了以色列对伊朗的核设施进行空袭。

所使用的恶意软件（后来称为Stuxnet）于2010年6月被白俄罗斯的反病毒专家发现，他们不知道这是什么。事实是，由于美国或以色列程序员的错误，该病毒继续传播到受灾地区之外，并开始使其他国家的西门子工业设施瘫痪。没有人对此负责。

除Stuxnet之外，Equation集团还拥有其他几种复杂的进攻性网络武器和间谍软件的著作权，这些武器被用于外国政府机构和商业公司的间谍活动。这些是狭窄领域的Duqu和Flame工具专家所熟知的。与Stuxnet一样，这些工具在卡巴斯基实验室全球研究与分析团队（GReAT）的黑客部门进行了仔细的分析-也许是世界上最好的外国进攻性网络武器分析部门。俄罗斯专家得出结论，并发现证据表明这些程序具有通用的模块，模块和代码片段，也就是说，一个或多个彼此接近的作者团队参与了开发。

人们一再提出关于美国支持网络攻击的假设。现在，黑客组织Shadow Brokers威胁要提供直接证据。



自称“影子经纪人”黑客组织的不知名人士发布了多个漏洞，并组织了一次奇怪的拍卖，其中输掉的赌注不会退还给参与者。拍卖中获胜者被承诺打开从The Equation Group服务器窃取的所有信息。

如果不是在少数情况下，所有这些本来就显得相当可疑和难以置信。

首先，发布现实生活中的漏洞-在NSA间谍软件目录中提到了这些漏洞，该目录由Edward Snowden在2013年发布。但是这些文件斯诺登从未发布过，这是新信息。

如第一个测试结果所示，已发布的漏洞利用确实有效。

爱德华·斯诺登本人昨天用十几条推文对泄漏进行了评论。他明确表示，The Equation Group的入侵确实发生了（也就是说，相信Shadow Brokers的真实性）。同时，斯诺登（Snowden）发布了一些有关NSA间谍软件如何工作以及其他国家/地区正在制造的网络武器的详细信息。他说，针对性攻击是针对特定目标的，几年来一直未被发现。信息是通过C2服务器（实际上称为计数器计算机网络利用或CCNE）或代理ORB（代理跃点）收集的。各国正试图发现其对手的CCNE并探索其工具。自然，在这种情况下，重要的是不要透露敌人的武器被发现的事实，以便他继续使用，这样就无法从已经受感染的系统中删除恶意软件。

爱德华·斯诺登说，国家安全局在这方面不是唯一的。其他国家的情报正在做同样的事情。

斯诺登说，知道对手正在寻找和探索CCNE时，已指示NSA的黑客部门TAO（量身定制的访问运营办公室）不要将其程序二进制文件留在CCNE服务器上，而是“人们很懒”，并且有时会遭到破坏。

显然，这正是现在发生的情况。爱德华·斯诺登（Edward Snowden）表示，NSA的CCNE服务器以前曾遭到黑客入侵，但现在已经是首次公开示威。敌人为什么举行这样的示威活动？没有人知道。但是爱德华·斯诺登（Edward Snowden）怀疑，“影子经纪人”的这一行动更有可能就最近冲突升级带来外交解释。入侵美国民主党全国委员会，此后在Wikileaks上发布了20,000份美国政客的私人电子邮件，这揭示了政治游戏中的难看内容。

爱德华·斯诺登写道：“间接证据和常识表明俄罗斯参与其中。” “这就是为什么这很重要：泄漏可能是一个警告，表明有人可能证明美国对从此特定CCNE服务器进行的任何攻击有罪。”


“这可能会对外交政策造成严重后果。特别是如果其中一项行动是针对美国盟国的。特别是如果它与选举有关。”

因此，根据斯诺登的说法，影子经纪人的行动是一种先发制人的打击，可以影响对手的行动，而对手现在正在考虑如何对美国民主全国委员会的骇客行为做出反应。特别是有人警告美国人，冲突升级在这里是不合适的，因为他拥有所有王牌。

斯诺登补充说，可用的稀有数据表明一个未知的黑客确实获得了对该NSA服务器的访问权限，但在2013年6月失去了访问权限。 NSA当时可能只是停止使用它。

一些专家还倾向于相信黑客入侵等式集团不是假货。独立漏洞利用程序和0day漏洞交易者The Grugq（独立安全专家Claudio Guarnieri ）证明了这一点，他长期以来一直在分析西方情报机构进行的黑客攻击活动。德米特里·阿尔佩罗维奇（CrowdStrike）同意他的观点。他认为，黑客“多年来一直在等待这些信息，等待发布的最成功时刻”。

“绝对，一切看起来都是真实的，” 信息安全领域的知名专家之一布鲁斯·施耐尔（Bruce Schneier）说。 “问题是，为什么有人在2013年偷了它并在本周发布？”

出版来源分析昨天，卡巴斯基实验室GReAT部门的专家发表了文章。他们将发布的文件与属于The Equation Group的先前已知的恶意软件样本进行了比较-并发现它们之间的相似性很强。特别是，该方程组使用的密码RC5 / RC6，其中加密库中减去的恒定的具体实施0x61C88647，而在传统的广泛使用RC5 / RC6代码使用另一个恒定0x9E3779B9，即-0x61C88647。由于在某些设备上加法比减法快，因此将常数存储为负值而不是减法效率更高。



比较发现旧样本与Shadow Brokers发布的文件之间有数百段相似的代码。



如果斯诺登是对的，影子经纪人的行为更有可能是“外交”的，那么宣布的带有奇怪条件的“拍卖”只是一种伪装。仅出于PR的目的才需要它，以便使故事在媒体中捕获并尽可能广泛地传播。他们在推特上复制了对“拍卖”的所有引用。回想一下，影子经纪人承诺向拍卖的获胜者提供信息，他们将支付不切实际的100万（！）比特币，即超过十亿美元。目前，他们已经在自己的钱包中收到15个投注，总计1,629 BTC。最高出价为1.5 BTC。

方程组的开发资料库已从Github中删除。原因不是恶意软件代码已在此处发布，因为同一个The Hacking Team的状态漏洞长期存在于Github上，并不令人满意。 Github称其原因为试图从出售被盗代码中获利，这与Github用户协议的条款相抵触。文件也会从Tumblr媒体服务中删除。然而，漏洞仍可从其他几个来源：

» 磁体：？XT =瓮：btih：40a5f1514514fb67943f137f7fde0a7b5e991f76＆TR = HTTP：//diftracker.i2p/announce.php
» http://dfiles.ru/files/9z6hk3gp9
» https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU
» http://95.183.9.51/
免费的文件（证明）：免费eqgrp-，file.tar.xz.gpg
sha256sum = b5961eee7cb3eca209b92436ed7bdd74e025bf615b90c408829156d128c7a169
GPG --output --decrypt eqgrp -自由file.tar.xz eqgrp -自由file.tar.xz.gpg
存档密码：theequationgroup

WikiLeaks已承诺很快会在自己的家中上传文件。

美国国家安全局新闻服务社拒绝置评。

Source: https://habr.com/ru/post/zh-CN396779/