2017年5月份��,永恒之藍(lán)勒索蠕蟲病毒(WannaCry)肆虐全球����,導(dǎo)致150多個(gè)國家,30多萬受害者遭遇勒索軟件攻擊�����,醫(yī)療�、交通、能源���、教育等行業(yè)領(lǐng)域遭受巨大損失���。該勒索軟件之所以有如此大的威力����,主要是其借助了軍火級的網(wǎng)絡(luò)漏洞利用工具�����。黑客分子拿著軍用武器����,沖入民用設(shè)施����,掃蕩所到之處,破壞與掠奪之慘烈可想而知�����。
近日����,360威脅情報(bào)中心發(fā)布了《2017年中國高級持續(xù)性威脅(APT)研究報(bào)告》,其中提到��,以永恒之藍(lán)為代表的漏洞利用武器庫大規(guī)模試水���,標(biāo)志著網(wǎng)絡(luò)軍火進(jìn)入民用化的階段���,也使業(yè)界和公眾進(jìn)一步加深對APT攻擊與威脅的認(rèn)識和理解���。
據(jù)《報(bào)告》介紹,2017年泄露的網(wǎng)絡(luò)武器庫的最終源頭主要有兩個(gè):一個(gè)是據(jù)稱是NSA旗下的方程式組織���,另一個(gè)據(jù)稱是美國中情局(CIA)直屬的網(wǎng)絡(luò)情報(bào)中心�。
網(wǎng)絡(luò)軍火兩大泄露源頭助紂為虐
影子經(jīng)紀(jì)人最早在2016年8月就開始對外兜售據(jù)稱是NSA的網(wǎng)絡(luò)武器或攻擊工具����。該組織自稱獲得了方程式組織的網(wǎng)絡(luò)武器,并在GitHub公開拍賣���。隨后�,斯諾登則隔空響應(yīng)了影子經(jīng)紀(jì)人的判斷���,公開了NSA絕密文檔中幾處技術(shù)細(xì)節(jié)���,證實(shí)NSA攻擊工具與方程式組織攻擊武器屬于同源軟件。
圖:影子經(jīng)紀(jì)人兜售的武器與斯諾登曝光的NSA武器細(xì)節(jié)特征完全吻合
而中情局也雇傭了大批計(jì)算機(jī)網(wǎng)絡(luò)頂尖技術(shù)人員�,配合各個(gè)項(xiàng)目��、行動持續(xù)進(jìn)行武器研發(fā)���。據(jù)報(bào)道,截止2016年底���,CIA直屬的網(wǎng)絡(luò)情報(bào)中心擁有超過5000名員工,總共設(shè)計(jì)了超過1000個(gè)木馬��、病毒和其他“武器化惡意代碼”�。而2017年,從特朗普政府大幅提高軍事預(yù)算的政策傾向看����,CIA從事網(wǎng)絡(luò)武器庫開發(fā)人員數(shù)量會大幅增加。
《報(bào)告》中提到�����,CIA開發(fā)的一些網(wǎng)絡(luò)武器�����,在命名上非常具有欺騙性��。比如一款名為“精致美食”的黑客工具,貌似一款普通的打廣告的推廣軟件而已����。而“蜂房”也看似一個(gè)無害的程序,但實(shí)際可以攻擊互聯(lián)網(wǎng)路由器�����,建立被感染設(shè)備之間的通訊鏈路�����。
關(guān)于這些網(wǎng)絡(luò)武器是否已經(jīng)流入民用領(lǐng)域�,維基解密表示:中情局對其黑客武器庫已經(jīng)“失控”,其中大部分工具“似乎正在前美國政府的黑客與承包商中未被授權(quán)地傳播”��,存在“極大的擴(kuò)散風(fēng)險(xiǎn)”����。
WannaCry背后竟有APT組織的影子
不論是已經(jīng)借助漏洞武器爆發(fā)的WannaCry和petya,還是正面臨擴(kuò)散風(fēng)險(xiǎn)的其他黑客武器���,這背后似乎也暗藏著APT組織的影子:Google的研究員發(fā)現(xiàn)�����,2017年2月的一個(gè)疑似WannaCry的早期版本和APT組織的樣本之間具有一定的相似性�����。由此可見APT組織與漏洞武器幾乎如影隨形���,因?yàn)橹挥姓莆兆钚碌穆┒次淦��,他們才能針對目?biāo)發(fā)起更加精準(zhǔn)、致命的攻擊����。
圖:疑似WannaCry的早期版本與某APT組織的樣本對比
從安全角度看,武器庫的泄露致使大量高精尖的攻擊性惡意程序�,散播到開放的互聯(lián)網(wǎng),給一般的黑客�、網(wǎng)絡(luò)不法分子可乘之機(jī),利用這些武器級工具肆意滲透系統(tǒng)����、竊取數(shù)據(jù)信息、破壞信息基礎(chǔ)設(shè)施等�����,將給廣大普通互聯(lián)網(wǎng)用戶帶來巨大危害,WannaCry就是最典型的代表��。
而且武器級工具和普通的惡意軟件�、滲透工具等結(jié)合,讓很多攻擊行為同時(shí)具備高級攻擊手段和一般手段的特性���,增加了犯罪分子的隱蔽性�,也會干擾監(jiān)測識別高級威脅����。某種程度上,抬升了安全研究者的門檻����,增加了APT的防控難度,網(wǎng)絡(luò)安全企業(yè)仍然任重道遠(yuǎn)���。
文章內(nèi)容僅供閱讀���,不構(gòu)成投資建議,請謹(jǐn)慎對待����。投資者據(jù)此操作��,風(fēng)險(xiǎn)自擔(dān)�����。
京公網(wǎng)安備 11010502041587號