不只是“永恒之蓝”，NSA的网络武器库中还有秘密军火

近日，微软总裁兼首席法务官Brad Smith公开指责美国国家安全局（NSA）在此次勒索病毒爆发中负有不可推卸的责任，甚至将此次“网络武器库被盗事件”与战斧导弹遭窃相提并论。

而这次勒索病毒来袭，也使人们再次关注起一个叫做“方程式组织”（Equation Group）的神秘黑客组织。据称，此次勒索病毒“WannaCry”正是另一黑客组织窃取“方程式组织”的“永恒之蓝”漏洞工具升级而来。

该顶级黑客组织被广泛认为隶属于NSA，是NSA的“网络武器库”。那么，该组织为什么会成为NSA的武器库？而这一武器库中，还存着哪些“秘密军火”呢？红星新闻记者从一份卡巴斯基安全实验室（卡巴斯基实验室成立于1997年，目前它已成为一家著名的国际信息安全软件提供商）2015年发布的报告中发现端倪。

卡巴斯基实验室发布关于“方程式组织”的报告

1、 被认为隶属于NSA的 “方程式组织”有什么来头？

曾研发出赫赫有名的“震网”、“火焰”病毒

它的武器库中目前已被发现6件“装备”

报告的开头，红星新闻记者注意到，卡巴斯基实验室评价 “方程式组织” 为世界上最先进、最精密的黑客组织，最早活跃在网络上的时间可追溯到2001年，甚至1996年。

而除了这次公布的“永恒之蓝”外，据美国TechCrunch网站报道，“方程式组织”还研发出诸多赫赫有名的“病毒武器”，包括2010年曾席卷全球工业界的病毒——震网（Stuxnet）。该恶意软件曾袭击伊朗核设施，对伊朗浓缩铀计划产生了重大影响。

2012年，又一名为“火焰”的蠕虫病毒再次在中东地区蔓延。该病毒被认为比“震网”更为复杂、杀伤力更大，而它的“背后制造者”，仍是“方程式组织”。

目前，这一黑客组织的武器库中已经被发现6件“装备”，分别为EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Grayfish和Fanny。其中，Fanny主要用于搜集中东和亚洲地区的目标信息，该武器与2010年首次被发现的“震网”病毒密切相关。

实际上，这一“全知全能”的黑客组织和美国国家安全局的渊源，可谓是由来已久。

据美国科技媒体网站ars Technica2015年的一篇报道中指出，根据“方程式组织”能够制造出“震网”等威力强大的黑客工具，卡巴斯基专家推测，这一组织正是美国国家安全局的”杰作”。

而且，卡巴斯基的专家还提供了更加详细的证据：该机构的源代码中将键盘记录器代称为“Grok"，而此代码和此前斯诺登泄密的一篇名为“美国国防部计划将影响世界上数百万台计算机”的文章中提到的代码一模一样。

斯诺登 图据CNN

2、盗窃武器库的黑客“影子经纪人”有什么来头？

曾在网络上公开拍卖盗窃的黑客工具

曝至少有针对微软的15个系统漏洞工具被泄露

实际上，此次“WannaCry”病毒的爆发，正是黑客组织影子经纪人（Shadow Brokers)盗窃了他们的武器库造成的后果。

去年8月，黑客组织“影子经纪人”就开始在网上公开拍卖网络攻击和黑客工具，但购买的人数寥寥无几。

今年四月份，在受到上次拍卖失败的刺激后，“影子经纪人”主动公开了此前拍卖的工具包，并重新拍卖从“方程式组织”中窃取的恶意攻击工具。

据美国有线电视新闻网此前报道，至少有针对微软的15个系统漏洞工具被泄露，而这次造成勒索病毒的永恒之蓝，不过是其中之一。

此次攻击的特别之处>>>

这是首个已知的能直接感染固态硬盘的恶意软件

在这份报告中，卡巴斯基实验室详解了各攻击平台的攻击实施过程，并特别指出，黑客组织“影子经纪人“最精密的一点是能够感染固态硬盘。”

可能很多人不太明白对固态硬盘的入侵意味着什么。据“FreeBuf黑客与极客”网站发布的一篇解读称，这意味着它能够将数十种常见品牌的硬盘固件进行重新编程，并可以无限次“复活”。

受到感染的硬盘使得攻击者可以持续的对受害者的计算机进行控制和数据窃取，而这也是首个已知的能够直接感染硬盘的恶意软件。

红星新闻记者 王雅林 实习生 翟佳琦 编辑 包程立