美国，技术“最牛”黑客组织的隐密主子

徐阳晨+郭爽

根据安全信息领域的媒体报道，“方程式组织”与美国国家安全局关系密切，是一个该局可能“不愿承认”的部门，这在黑客圈几乎是公开的秘密。

美国“截击”网站8月19日证实，被称为美国国家安全局（NSA）网络“武器库”的“方程式组织”（Equation Group）近日遭黑客组织“影子经纪人”（The Shadow Brokers）袭击。这让一向低调却有美国政府背景的黑客组织“方程式组织”曝光了一把。

美政府背景黑客组织被曝光

与NSA关系密切的“方程式组织”

“方程式组织”这个名字不是他们自己取的，而是最早由卡巴斯基发现命名的。之所以命名为“方程式组织”，是因为这个黑客团队的加密水平无人能出其右。

“方程式组织”到底有多牛？2010年破坏伊朗核设施的“震网”病毒和 “火焰”病毒被广泛认为出自他们之手，其水平由此可见一斑。2015年，网络安全厂商卡巴斯基在全球42个国家发现了“方程组”的500个感染行为。但是连卡巴斯基自己都承认，这只是冰山一角，因为这个黑客团队制造的“武器”拥有超强的自毁能力，绝大多数进攻完成之后，不会留下任何痕迹。

8月13日上午，一个名叫“影子经纪人”的黑客组织通过社交平台称，通过跟踪“方程式组织”的网络通信流量，已攻入这个黑客组织，在这个被称为NSA的“武器库”中发现了大量网络武器，并免费向所有人泄露了其中部分黑客工具和数据。不仅如此，“影子经纪人”还宣称将通过互联网拍卖所获取的这些“最好的文件”，如果他们收到100万个比特币（总价值约为5.68亿美元，1美元约合6.69元人民币），就会公布更多工具和数据。

而在“影子经纪人”从“方程式组织”获取的文件中，包括大量命令控制服务器的安装脚本和配置文件。泄露文件涉及的一些黑客工具名称与斯诺登公布的内容吻合。

卡巴斯基去年发布监测报告说，“方程式组织”已经活跃近20年，是全球技术“最牛”的黑客组织之一，堪称网络间谍中的“王冠制造者”。根据安全信息领域的媒体报道，这一组织与美国国家安全局关系密切，是一个该局可能“不愿承认”的部门，这在黑客圈几乎是公开的秘密。

风波掀起一周后，8月19日，美国“截击”网站证实，根据斯诺登提供的最新文件，可以确认这些被泄露的工具是美国国家安全局的软件，其中部分属于秘密攻击全球计算机的强悍黑客工具。

最重要的证据，来源于斯诺登最新提供的一份绝密文件——NSA“恶意软件植入操作手册”。手册指导操作人员在使用一个恶意软件程序SECONDDATE时，需要借助一个特殊的16位字符串。而在“影子经纪人”从“方程式组织”已泄露出来的几十个黑客工具中，工具SECONDDATE就在其中，其相关代码更是大量包含这一字符串。

在美国政府搭建的复杂全球网络攻击和监控体系中，SECONDDATE这个工具起到特殊作用。在“影子经纪人”泄露的所有文件中，有47个与SECONDDATE工具相关，其中包含了该工具不同版本的源代码、使用方法和其他相关文件。“截击”网站称，斯诺登公布的其他文件还显示，NSA在巴基斯坦、黎巴嫩的行动中也使用过SECONDDATE。但美国国家安全局目前尚未就这一事件做出回应。

这一事件随即在网络安全领域掀起轩然大波。一些专家认为，这是为让美国政府颜面扫地精心炮制的骗局;而另一些专家则表示，他们对泄露的数据、漏洞和黑客工具进行了分析，结果显示，这一惊人事件的可信度非常高。前美国国家安全局工作人员对媒体表示，“毫无疑问，这就是通向这个王国的钥匙。”

事件发生后，斯诺登在推特网站上发文称，美国国家安全局留下了灾难性的网络漏洞，但“3年多宁愿去攻击（他人），也不去修复”，“美国产品中维护已知漏洞的直接结果，就是被他们的敌人发现”。

黑客中的军火商

再来说说“影子经纪人”。

黑掉顶级黑客组织“方程式组织”这一举动，立即让“影子经纪人”名声大噪。没过几天，这一可以“自在出入”NSA的黑客组织就已位列媒体排出的全球“最牛黑客组织排行榜”第三名。

“影子经纪人”好像黑客中的军火商。他们时常会贩卖高级的攻击武器，有时也贩卖重要的世界军政信息。他们喜欢在竞争对手之间贩卖武器，客户在发现对手的攻击能力和本人一样后，很自然就会成为“影子经纪人”的回头客，以求购更新的“武器”配备。

没有人知道“影子经纪人”背后藏着谁。按照斯诺登的分析，这一黑客集团可能与俄罗斯方面有关。他在推特上说，“间接证据表明，这件事情与俄罗斯有关。这种泄露有可能是个警告，用以告诉世界，美国实际上策划了世界上很多黑客攻击的事情。”

此外，也有专家分析说，这一黑客组织可能来自NSA内部知情人员，甚至有可能是又一个斯诺登一样的存在。

迄今，尚无有力证据证明这些说法的精确性。不过，“影子经纪人”发布过几次看似杂乱无章的“对外宣言”，让言语学家抓住了一些把柄。

一份言语学分析报告显示，“影子经纪人”在运用英语时有明显错误，显然是为了迷惑别人，让人误以为这一黑客组织成员并非以英语为母语。

英俄双语翻译阿列克谢·科瓦列夫也赞同这种观点，“有太多破绽暴露了作者的母语是英语。”

“神行客”背景也不单纯

“方程式组织”并不是近来唯一被认为有美国官方背景的黑客组织。8月初，美国网络安全技术供应商赛门铁克就爆料，黑客组织“神行客”（Strider）对中国、俄罗斯、 瑞典、比利时等国进行网络攻击，并发现其有强烈的意图性和政府背景。卡巴斯基实验室和俄罗斯一家同类企业也发表声明，指认“神行客”的不轨行为。

“神行客”也是美国相当低调，隐蔽性强、技术手段高明的网络间谍式攻击小组，已秘密行动5年之久，直至最近才被网络安全机构捕获踪影。它的攻击对象为涉及国家情报服务的个人或组织，主要利用的恶意软件为Remsec。

大多数时候，Remsec后门在计算机内存运行，常规杀毒软件难以检测。并且，该后门目标集中，很少染指普通计算机，从而使得该间谍组织隐秘攻击长达5年之久而未被察觉。

迄今“神行客”已利用Remsec感染了36台电脑，这个黑客小组目标选择性极强。赛门铁克追踪发现，“神行客”借助网络手段部署恶意软件，可以在这些电脑内开设“后门”，继而记录键盘动作并窃取电脑文档。

研究人员称，之所以将Remsec判断为恶意软件并带有攻击性质，是因为它攻击中展示出“超强”的谍报能力，如技术高度复杂、隐身防侦察能力极强、针对不同目标可以模块化定制等，而且已知攻击目标是典型政府情报部门感兴趣的机构或个人。

研究分析证明，Remsec不仅是极为罕见的高级恶意攻击软件，而且带有政府背景。

之所以这么说，首先它与“火焰”的攻击模式十分相似。2012年“火焰”病毒在伊朗活跃了长达6个月的时间。赛门铁克研究人员发现，“火焰”的攻击特点十分奇怪，所谓的“大规模”感染，也仅仅有1000台左右的电脑中毒。这些恶意软件是带有目的性的接近某些用户，或只感染目标，不触及普通的个人计算机，这也许是伊朗石油部门电脑系统大面积遭到“火焰”侵入的根本原因。

“火焰”的自行毁灭系统令人吃惊，它一旦完成数据收集后，可开启自我毁灭程序，不留下可追踪线索。并且，“火焰”病毒约有20兆字节，使用Lua的编程语言，编写复杂精密，很可能有国家或大型机构参与此事，提供了资金及技术支持。“这需要数量庞大的专业人员工作数百小时，花费高达数百万美元才能被制造出来，而世界上只有少数几个国家和地区具备这个能力，包括美国、英国、德国。”美国网络影响中心主任斯格特·伯格认为。这些特点，在Remsec身上同样具备。

其次，隐蔽性、目标性强于一般病毒。Lua的使用本身代表着一种“自我保护机制”，这种语言不易被安全软件检测到。Remsec的许多功能被植入计算机网络系统中，通常藏身于用户缓存而非硬盘中，因此极难被发现。据统计，尽管各国安全检测机构不断升级过滤系统，但像Remsec这样的高级精准间谍软件，业界每年只能追查出一两个。卡巴斯基对此回应，尽管他们已然掌握对方的特点和路线，但这很可能是障眼法，“神行客”背后的资源要比想象的强大。

另外，目前发现的被“神行客”攻击的机构大多集中于政府部门、科学研究中心、军事实体、电信运营商及金融机构、企业IT系统等，通过监测这些受感染的网站，开启受损系统后门，窃取个人信息，收集情报。

美政府是黑客软件最大购买方

据英国路透社早前报道，一直以来，美国政府才是黑客软件的最大购买方，美国情报机构和国防部每年花费巨资用于购买商用计算机系统。NSA局长基思·亚历山大将军曾表示，美国政府每年花费数十亿美元研制网络防御和构造日益复杂的网络武器，“旨在必要时，对外国计算器网络发动进攻。”

多个美国联邦政府机构——国防部、国土安全部、美国宇航局、国家安全局曾参加过名为“防御态势”的年度黑客大会。意在为政府招募黑客人才，国家安全局网络防御的负责人表示：“我们需要把最优秀、最聪明的人变成随时应战的网络武士。”但除了强化网络安全任务之外，国家安全局对暗中从事的网络间谍和其他的攻击性活动，在公开场合几乎只字不提。

让人们忧虑的是美国政府在“棱镜”曝光后仍一意孤行，越走越远。美国政府利用庞大的信息优势，可直接进入美国国际网络公司的中心服务器里挖掘数据、收集情报。同时，美国分布了绝大部分全球互联网根服务器，并拥有全球最强大的互联网产业及垄断市场，网络霸权滥用阴影一直笼罩其他各国。

对于美国黑客的战略性入侵行径，各国政府安全机构都作出了相应的对战措施，在紧抓本国网络核心信息安全的基础上，量体裁衣，制定发挥本土网络优势的防卫方案。

日本、韩国等国家，早已组建“网络军队”，成立专门的“网络武装力量”，以防备黑客攻击，加强保护机密信息的能力。每年划拨巨额的国防经费，用以研发和改进实施网络战的核心技术。英国、俄罗斯、印度等国也纷纷加入“招募黑客”行动，网络部队黑客优先，政府看重技术和智商优于常人的网络精英，计划把这些人才和技术快速转变为军事用途。

面对网络霸权国的时时挑衅压力，深感邻国网络安全系统积极构建的促动，中国网络安全和信息国产化步伐也在不断加快，第四届中国互联网安全大会于8月16日召开，大会以“协同联动，共建安全+命运共同体”为主题，并首次举办四国多边闭门论坛，邀请多国军方代表讨论国家间网络空间安全，引领国家网络信息安全走向。

（综合摘编自《国际先驱导报》《环球》）