据媒体报道,勒索病毒“想哭”(以下简称“WannaCry”)攻击全球150个国家的电脑,黑客组织再在“暗网”上发布一款由美国国家安全局(以下简称“NSA”)网攻武器“EsteemAudit”改造而成的软件。多名网络安全分析师警告称,这一软件已经被修改,能够被用于犯罪活动。
金山安全威胁情报中心负责人告诉记者,与“WannaCry”所基于的NSA黑客工具“永恒之蓝”(EternalBlue:其漏洞编号为CVE-2017-0144,对应微软补丁编号为MS17-010)一样,“EsteemAudit”也是利用微软视窗系统旧版本中的一个漏洞,来感染互相通信的计算机,从而进行传播或发起恶意攻击。
据国外媒体报道,美国情报和执法官员称,他们担忧“WannaCry”的大规模传播可能预示着一波类似的攻击浪潮。目前,至少十几个由NSA开发的工具在“暗网”上被作为潜在的新型网络武器的基础进行讨论。
欧洲刑警组织表示,“WannaCry”截至前日已感染全球150个国家逾30万部计算机,虽然欧洲灾情已受控,但危机仍未解除,因黑客很可能正在改进勒索软件,伺机施袭。
网络安全分析师及情报官员透露,他们已大概了解“WannaCry”来龙去脉。他们表示,这一病毒主要有三个来源,首先是NSA,他们研发了网络间谍工具“EternalBlue”,随后这一工具外泄,而一群身份不明的黑客将之“武器化”,然后“WannaCry”的发布者添加了勒索软件,利用病毒索要赎金。
路透社曾援引美国联邦政府公布的数据以及情报部门官员的话报道称,美国90%的网络项目开支用于研发黑客攻击武器,各种攻击武器可侵入“敌人”的电脑网络、监听民众、令基础设施瘫痪或受阻。网络安全专家指责,美国斥巨资研发黑客攻击工具而非自卫机制,造成全球网络环境“更不安全”。
微软总裁兼首席法务官布拉德·史密斯在14日经由博客发布一份声明,谴责美国政府部门囤积黑客攻击工具的做法。
“我们以前见过美国中央情报局储存的有关(电脑网络)弱点的各种情报遭维基揭秘网站曝光。如今,美国国家安全局储存的这类情报失窃,以致影响全球各地的电脑用户,”史密斯说。
而美国总统特朗普的国土安全顾问汤姆·博塞特(Tom Bossert)于当地时间15日否认NSA开发了勒索工具。
美国总统特朗普(Donald Trump)的国土安全及反恐顾问汤姆·博塞特(Tom Bossert)
博塞特表示,这一利用数据进行勒索的工具不是由NSA开发出来的。“该工具是由犯罪方开发的,将其嵌入文件,利用钓鱼邮件传播,并导致感染、加密和锁定。”博塞特说,但他回避了美国情报机构外泄的黑客工具是否会在未来导致更多网络攻击的问题。
实际上,引发此次勒索软件肆虐的NSA网络武器库泄露早于去年8月就被披露出来。当时,一个名叫Shadow Brokers(影子经纪人)的黑客组织宣称已攻入NSA下属的“方程式组织”黑客组织,盗取其网络武器库。“影子经纪人”通过社交平台泄露其中部分黑客工具和数据,并以100万个比特币(价值约为5.68亿美元)的高价公开拍卖完整数据包,但叫卖没有引起回应和广泛的关注,最终流拍。
此后,“影子经纪人”几次尝试出售NSA网络武器库都没有成功,其最近一次曝光NSA网络武器的信息发布于今年4月中旬,该组织称NSA曾入侵国际银行系统,以监控一些中东和拉丁美洲银行之间的资金流动。NSA网络武器库黑客工具“永恒之蓝”据悉就是由“影子经纪人”泄露的。
而提到NSA网络武器库,就绕不开“方程式组织”。这个黑客组织被认为是NSA一个“不愿承认”的部门,近似“奇幻熊”黑客组织之于俄罗斯。在2015年被卡巴斯基实验室“抓现行”之前,“方程式组织”隐秘地活跃了15年之久。媒体报道称,由于恶意软件开发、行动技术突破和对目标封锁所花费的时间、金钱均由国家资助,项目资源几乎不受限,“方程式组织”得以成为全球“最牛”的黑客组织。
在卡巴斯基实验室此前公布的“方程式组织”制造的42个国家范围内的500次感染中,伊朗、俄罗斯、巴基斯坦、阿富汗、印度、叙利亚、马里名列前茅。由于恶意软件内置自毁机制,“方程式组织”的攻击很难被追踪,因此此次武器库泄露的黑客工具和此前暴露的一些攻击手法,仅能代表NSA网络武器库的冰山一角。据悉,在此前的网络攻击中,“方程式组织”曾使用蠕虫病毒、硬盘病毒、间谍软件、基于网络展开攻击等多种攻击手法。
金山安全威胁情报中心负责人认为,本次病毒勒索其实算不上真正意义上的网络攻击,这只是一次简单的试水,如果是真正的攻击,后果将更加严重。
有业内人士表示,黑客组织掌握着所有品牌电脑的漏洞,本次攻击的是微软的电脑和系统,但他们同样掌握了其他系统的漏洞。
对此,金山安全威胁情报中心负责人表示,普通用户在平时使用电脑时要以防御为主,查杀为辅,养成备份习惯。
本文转自d1net(转载)