影子經紀人曝光的NSA大殺器可能與Stuxnet相關

上周五，神秘的影子經紀人（Shadow Brokers）再放大招，曝光了NSA使用的極具破壞性和殺傷力的Windows系統漏洞利用工具。研究人員發現，該工具可能與Stuxnet相關。

此次曝光的NSA大殺器中，有幾處地方提及了先前被斯諾登披露的NSA絕密計劃和軟體，例如用來控制遠程植入程序的「STRAITBIZARRE」，以及入侵SWIFT系統的「JEEPFLEA」項目，這些線索都側面映證該批工具從NSA精英黑客團隊「方程式組織」處獲取的可能性。

與Stuxnet的相關性線索

腳本關聯性

但令人詫異的是，在這批117.9MB的NSA網路武器中，竟然還包含了一個震網病毒（Stuxnet）所使用的工具。據賽門鐵克公司Stuxnet研究人員Liam O』Murchu透露，該工具是針對Windows託管對象格式文件（MOF）的一個漏洞利用程序，其腳本start_dll.mof與Stuxnet中使用的腳本幾乎一致。

但O』Murchu也表示，Stuxnet與影子經紀人曝光的NSA工具之間確實存在很強的關聯性，但還沒有足夠證據來證明。目前來看，只能說可能性很強。因為在Stuxnet中發現的通用腳本，後來被研究人員逆向並添加到Metasploit公開庫中利用，也就是說任何人都可使用Metasploit構造與Stuxnet十分相似的MOF文件漏洞利用腳本。但O』Murchu也說明，影子經紀人周五泄露的MOF文件漏洞利用工具最後編譯時間為2010年9月9日，是Stuxnet首次被發現的三個月後，也即其逆向利用代碼被添加到Metasploit前不久。

以下是該漏洞利用工具在Stuxnet中的部分代碼：

以下是影子經紀人曝光的該工具部分腳本代碼：

參考關聯性

除此之外，其它研究人員還注意到另外一種關聯，即兩者均為MOF漏洞利用工具，並且其中出現了一些隱晦的參考，如影子經紀人曝光的該工具中ASCII藝術字體「WON THE GOLD MEDAL」（贏得金牌）字樣。而Stuxnet行動的絕密代號據說就是「Olympic Games」。

並且，奇怪的是，據在線惡意軟體檢測庫Virus Total發現，殺軟Avast把影子經紀人曝光的其它多個漏洞利用工具都通過特徵檢測識別Stuxnet蠕蟲病毒。據反病毒分析專家 Joxean Koret表示，即使可能存在誤報，但這種情況也非常奇怪，值得探究。

目前，該條關聯線索可能是NSA黑客組織和Stuxnet代碼開發人員最早的相關性技術證據。由此，我們不得不產生這樣的疑問：難道是NSA精英黑客團隊「方程式組織」參與了Stuxnet攻擊事件？或者這根本就是一場組織嚴密的「嫁禍式攻擊」？

*參考來源：motherboard，freebuf小編clouds編譯，轉載請註明來自Freebuf.com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！