卡巴斯基確認︰近日外洩入侵工具，來自美國安局相關頂尖黑客組織

今個星期一，自稱「影子經紀人」（Shadow Brokers）的匿名黑客組織在網上發佈消息，聲稱入侵了另一黑客組織「方程組」（Equation Group）的電腦系統，盜取了他們的檔案——包括不少黑客工具——並打算拍賣。

神秘的「方程組」

「方程組」並非等閒之輩，而這其實也不是該組織的名字，而是電腦保安公司卡巴斯基（Kaspersky）所起的代號。而根據現有資料——包括斯諾登（Edward Snowden）所洩露的文件——顯示，「方程組」跟美國國安局（NSA）有關。

卡巴斯基指「方程組」是全球最頂尖的黑客組織，所使用的攻擊技巧非常複雜及精密，更跟惡名昭彰的Stuxnet有關——後者是透過受感染的USB硬碟輾轉入侵特定目標的惡意程式，被指由美國及以色列資助開發，用作攻擊伊朗核設施。

奇怪的拍賣

那麼，匿名的「影子經紀人」所言是否屬實？觀乎其拍賣方式，的確很難令人信服︰他們要求參與競投者以比特幣（bitcoin）出價，但只能夠直接付款給他們，假如出價並非最高，就無法取回已付金額。

「影子經紀人」又宣稱任何出價者均會獲得一份「安慰獎」，而如果競投總金額達到100萬比特幣（約5.75億美元），他們將公開另一組高質數據。

在他們提供的「常見問答」中，有一條問題是︰「為甚麼我要相信你們？」答案以不完整的英文寫成︰「沒有信任，風險。你喜歡回報，你冒險，或者贏，或者不，沒有保證。」

程式碼跟「方程組」有關

不過，他們同時發放了300MB的程式碼數據樣本，有下載的研究人員表示跟NSA曾使用的攻擊手段吻合。多倫多大學的公民實驗室研究人員Claudio Guarnieri表示︰「看來似乎是NSA攻擊了某人，然後對方能找到攻擊源頭，並成功反擊。」Guarnieri的專長是分析由國家資助的惡意程式。

卡巴斯基的分析顯示，這300MB數據大部份來自3年前，當中有數百個工具跟「方程組」有強烈關係。他們解釋，「方程組」廣泛使用兩組加密演算法，分別稱為RC5及RC6，但「方程組」程式當中使用的一個常數，跟常見的RC5/6程式碼有別。

他們提供了一組例子，比較了「影子經紀人」洩露出來的數據以及「方程組」的RC6程式碼︰

Image Credit: Kaspersky Lab GReAT

研究人員解釋，這種特定的RC6程式碼他們此前只在「方程組」的惡意軟件中見過，而今次的數據中有超過300個檔案含有這種程式碼。因此卡巴斯基認為，所有檔案都是偽造的機會甚微。

他們又指，這些程式碼的相似，使他們相信「影子經紀人」取得的工具，跟「方程組」的惡意軟件有關。即使「影子經紀人」宣稱數據來自後者時未有提供證據，卡巴斯基的分析確認了其說法。

動機成疑

電腦保安專家Nicholas Weaver雖然相信今次的資訊並非偽造，但他同時認為整件事並不合理，只是用來分散注意力。他指比特幣太易追查，用來洗錢是瘋狂行為——更何況他們要求5億美元。

而《Wired》翻查的資料顯示，「影子經紀人」未有收到太多比特幣，暫時只有26次交易，總數有約1.72個比特幣（約992美元）。

《華盛頓郵報》引述數名曾任職NSA旗下「特定入侵行動辦公室」（Tailored Access Operations, TAO）的員工，均指今次釋放出來的檔案都是真的，不過其中一人懷疑，「影子經紀人」手上並未獲得「最有趣」的工具，否則會要求更多。

斯諾登則估計，今次洩密很可能來自俄羅斯一方，旨在提出警告，顯示自己能證明美國攻擊其他人的責任。假如有行動針對美國的盟友或者跟選舉有關，可能會導致顯著的外交後果。

資料來源︰

• Group claims to hack NSA-tied hackers, posts exploits as proof (Ars Technica)
• Hackers Claim to Auction Data They Stole From NSA-Linked Spies (Wired)
• How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last (Ars Technica)
• Equation Group: The Crown Creator of Cyber-Espionage (Kaspersky Lab)
• The Equation Giveaway (Kaspersky Lab GReAT)
• Confirmed: hacking tool leak came from “omnipotent” NSA-tied group (Ars Technica)
• NSA hacking tools were leaked online. Here’s what you need to know. (The Washington Post)
• ‘Shadow Brokers’ Leak Raises Alarming Question: Was the N.S.A. Hacked? (The New York Times)
• Powerful NSA hacking tools have been revealed online (The Washington Post)
• No One Wants to Buy Those Stolen NSA-Linked ‘Cyberweapons’(Wired)