MalwareMustDie关闭博客网站 抗议NSA利用恶意软件攻击公共机构

近期，国外一篇博客披露，著名的反恶意软件组织MalwareMustDie决定关闭其博客网站，以抗议NSA（美国国家安全局）利用黑客工具入侵无辜国家的教育和公共服务器。

文章指出，Shadow Brokers（影子经纪人）团队之前曾泄露NSA黑客工具，其文件内容可任意下载。此外，该组织还公布了其他文件，包括NSA入侵过的49个国家的IP地址。多家新闻媒体的安全专家认为这些节点与“方程式组织”的活动有关。

从公布的目标列表来看，日本是受影响第二大的国家，但却并不在“方程式组织”的目标列表之中。因此，MalwareMustDie团队开始关注该事件。

同时，文章援引安天实验室对“方程式组织”的系列分析报告，在报告中，安天研究人员逆向了“方程式组织”使用恶意软件感染Linux和Solaris平台进行入侵活动的结果，并公开了除了哈希以外的全部细节信息。原文引用了一篇微信报告，我们在安天官网找到原报告，地址为：http://www.antiy.com/response/EQUATIONS/EQUATIONS.html

图1：逆向“方程式”使用的Linux和Solaris恶意软件

安天实验室发现了“方程式组织”使用恶意软件(Double Fantacy组件)感染Linux和Solaris平台的入侵活动。（中文版）

（为方便阅读，下划线字体部分为图片译文）

MalwareMustDie团队的研究人员开始挖掘细节并发现，通过在特定时期内的环境列表中可访问的部分追踪到了未知可疑恶意代码及活动，其时期和活动与之前公开提到的内容一致。到目前为止，该团队正避免公开披露发现结果。

这次调查之后，有新证据表明大学或学院、互联网服务供应商（ISP）、公共邮件服务、有线电视网络、国家NIC网络、娱乐网络、政府办公区等遭到了非授权访问和恶意活动攻击。因为调查根据Shadow Brokers（影子经纪人）泄露的列表展开，所以假设攻击者所属国家的间谍组织应为此次事件负责。

图2：影子经纪人公布的标有PITCHIMPAIR & INNOVATION代号的日本被感染节点列表

根据平台使用情况，该事件调查的事实或许还与《明镜周刊》（Der Spiegel）之前报道的NSA被泄露的文件有关：

图3：《明镜周刊》对NSA入侵查询的描述

根据平台使用情况，该事件调查的事实或许还与《明镜周刊》（Der Spiegel）之前报道的NSA被泄露的文件有关：

(TS//SI//REL FVEY)TAO/ATO 持久化 POLITERAIN(CAN) 团队正需要有创新意识的实习生。我们的任务是通过使用低级编程攻击硬件来远程降级或破坏对手的计算机、路由器、服务器和网络使能设备。我们的实习生将学会：

(U//FOUO)为LINUX、Windows、Solaries及Apple OS编写驱动程序。

(U//FOUO)在组环境中使用SVN 。

(TS//SI//REL)反向工程嵌入式系统。

(TS//SI//REL)提供符合Up-sec和拒绝性要求的代码。

(TS//SI//REL)恢复被攻击的设备。

(U//FOUO)与多个中小企业合作打造独特产品。

(TS//SI//REL)开发攻击者思维模式。

(TS//SI//REL FVEY)POLITERAIN 总会积压一些下面会列出的需要产品化的小型攻击。我们欢迎开放的意见，但我们重点关注固件、BIOS、BUS或驱动程序级别的攻击。实习生可以在4-6个月左右完成以下项目。大多数项目都足够特殊到在机密机构简介或发表。

（下划线字体部分为图片译文）

一个友好国家被指入侵其联盟国的服务，这个结论让人难以接受，但证据确凿。通过入侵和恶意软件实施大规模攻击活动需要攻击者当局的批准，显然当局认可并授权执行了攻击活动。

调查的当前结论是，MalwareMustDie 作为一个众所周知的对抗任何形式恶意软件的实体组织，四年以来，其博客网站一直发布反恶意软件研究和分析博客，旨在反对恶意软件、网络犯罪及利用恶意软件在互联网上实施破坏行为，现决定关闭博客网站malwaremustdie.org，恢复时间不确定，并在twitter页面发表声明：

图4：MalwareMustDie针对NSA入侵的抗议声明

官方抗议声明：

“我们不进行抗议，也并非有此目的的组织。然而，DFIR 和 RE从公共网络中发现的恶意对象表明，NSA或CIA（或任何美国机构）正利用或曾利用rootkit安装木马后门（恶意软件）。不能容许在一些友好国家的大学和教育网络、有线网络、公共NIC服务器和政府服务器中形成缓冲攻击平台，而批准执行的人必须对此行动负责。

为此，我们决定关闭MMD博客网站，恢复时间不确定。美国有关实体机构和研究人员禁止直接访问通信与研究。

另外，我们会在研究中停止使用美国的服务或产品。由于NSA 或 CIA“自己”就可获得许多信息，美国公民完全可以通过本国间谍实体机构询问我们所能提供的所有研究信息，不必直接访问本站。本文为MalwareMustDie团队的官方声明。错了便是错了，无论你是谁。如果我们无法行得正，那么将永远无法扼制互联网中的“不正之风”。”

MalwareMustDie, NPO/www.malwareemustdie.org

（下划线字体部分为图片译文）

“为此，我们决定关闭MMD博客网站，恢复时间不确定。美国有关实体机构和研究人员禁止直接访问通信与研究。另外，我们会在研究中停止使用美国的服务或产品。”

博客标题表明了MalwareMustDie的立场：以任何目的在任何活动中使用恶意软件都不能被接受。“错了便是错了，无论你是谁。如果我们无法行得正，那么将永远无法扼制互联网中的‘不正之风’。”这是正确的立场，因为恶意软件必须扼杀。

关于作者：Odisseus，独立安全研究员，曾参与意大利及全球入侵、渗透测试和开发等相关主题的研究。

原文发布时间为：2016年11月18日