「影子經紀人」真實身份是NSA內鬼？

關注E安全 關注網路安全一手資訊

E安全8月2日訊 美國政府正在追蹤「影子經紀人」（Shadow Brokers）的身份。Shadow Brokers 4月泄露了大量NSA Windows漏洞利用，其中某些漏洞被利用來實施了兩起席捲全球的勒索軟體攻擊。

Shadow Brokers正式被美三方聯合立案調查

據報道，美國政府接觸大量前NSA僱員試圖解開這些工具如何落入Shadow Brokers之手。FBI、國家反情報與安全中心以及NSA內部警務小組Q Group聯合展開調查。

雖然調查人員認為，NSA前僱員（NSA內部僱員或承包商）難脫嫌疑，但進一步調查無法排除其它可能性，即現任NSA僱員也可能與Shadow Brokers有關聯。

Shadow Brokers用蹩腳的英文定期發布消息，推銷新一批漏洞利用。兩名研究人員試圖購買這些漏洞，但被告知可能會違法後打消了念頭。

目前尚不清楚，Shadow Brokers究竟是NSA員工或承包商。但兩名知情人士透露，調查排除了哈羅德·馬丁（NSA承包商博思艾倫漢密爾頓公司的僱員）的可能性，畢竟他目前正在監獄服刑。

NSA對研究人員的這一猜測並未予以置評。

影子經紀人如何一步步博得關注度？

近一年來，Shadow Brokers出盡風頭。

2016年8月

Shadow Brokers於去年8月首度浮出水面，出售「方程式組織」（Equation Group）使用的黑客工具。江湖傳言「方程式組織」是為NSA效力的黑客組織。

2017年1月

Shadow Brokers出售NSA大量Windows漏洞利用。

在此之後，Shadow Brokers又將這些漏洞利用公開泄露在網上。

其中一個漏洞 「永恆之藍」（ETERNALBLUE）被黑客利用開發了WannaCry勒索軟體。WannaCry勒索軟體今年5月在全球範圍內爆發，150多個國家受到影響，30萬名用戶中招，造成損失達80億美元。

另一個漏洞是「永恆浪漫」（ETERNALROMANCE），被黑客用來開發Petya（也被稱為NotPetya、ExPetr、Nyetya和GoldenEye），該惡意軟體於今年6月攻擊了歐洲的Windows電腦，並散布至其它國家。

2017年5月

Shadow Brokers宣稱：將從今年6月開始，逐月出售包括瀏覽器、路由器、手機漏洞及相關工具、新的攻擊行動disk（和此次傳播勒索蠕蟲病毒的Windows武器庫一樣，包括NSA支持的Windows 10網路攻擊武器），還有更多的SWIFT供應商和央行入侵數據，以及針對中國、俄羅斯、伊朗和朝鮮的導彈和核彈計劃的內部網路數據。

2017年7月

Shadow Brokers再次宣布推出訂閱服務，將會為願意支付數千美元的買家提供更多NSA工具。近幾個月Shadow Brokers的行事作風有些變化，他們改變了機密信息的分享方式，其餘方面照舊。

考慮Shadow Brokers的行事作風，也有人認為該組織是國家攻擊者，可能是俄羅斯黑客組織。其身份之謎是今年信息安全行業最熱門的話題之一。

黑帽大會上關於Shadow Brokers是NSA內鬼的分析

在Black Hat 2017安全盛會上，威脅檢測公司Comae Technologies創始人馬特·弗西對Shadow Brokers做出了自己的解讀，他也認為Shadow Brokers是NSA內鬼，而非外部國家攻擊者。

弗西表示，美國國防與情報界僱用了數萬個承包商，而大量內鬼近幾年浮出水面，包括斯諾登和馬丁。Shadow Brokers最初泄露的工具相對較少，第一批免費漏洞利用包括許多常用防火牆產品中的漏洞，隨後又曝光了Solaris操作系統漏洞利用， 還包括「方程式組織」針對目標（包括中國和伊朗等國的域名）等詳情。

弗西指出，Shadow Brokers要做的不只是泄露並出售NSA網路武器，種種不算低調的行為表明，其還想博得頭條，贏得關注。

據報道，共和黨人威爾·赫德表示，「了解真相」是美國情報機構和眾議院情報委員會的「重中之重」。而赫德是唯一公開評論Shadow Brokers的國會議員。

02

E安全推薦文章

官網：www.easyaq.com

2017年8月

01

02

03

04

05

06

07

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！