卡巴斯基確認︰近日外洩入侵工具,來自美國安局相關頂尖黑客組織

卡巴斯基確認︰近日外洩入侵工具,來自美國安局相關頂尖黑客組織
Photo Credit: Jason Reed / REUTERS / 達志影像
我們想讓你知道的是

近日遭一個黑客組織外洩的數據,被卡巴斯基確認是跟另一黑客組織「方程組」的入侵工具有關,外界視「方程組」為美國國安局旗下的頂尖黑客組織。

唸給你聽
powered by Cyberon

今個星期一,自稱「影子經紀人」(Shadow Brokers)的匿名黑客組織在網上發佈消息,聲稱入侵了另一黑客組織「方程組」(Equation Group)的電腦系統,盜取了他們的檔案——包括不少黑客工具——並打算拍賣。

神秘的「方程組」

「方程組」並非等閒之輩,而這其實也不是該組織的名字,而是電腦保安公司卡巴斯基(Kaspersky)所起的代號。而根據現有資料——包括斯諾登(Edward Snowden)所洩露的文件——顯示,「方程組」跟美國國安局(NSA)有關。

卡巴斯基指「方程組」是全球最頂尖的黑客組織,所使用的攻擊技巧非常複雜及精密,更跟惡名昭彰的Stuxnet有關——後者是透過受感染的USB硬碟輾轉入侵特定目標的惡意程式,被指由美國及以色列資助開發,用作攻擊伊朗核設施。

奇怪的拍賣

那麼,匿名的「影子經紀人」所言是否屬實?觀乎其拍賣方式,的確很難令人信服︰他們要求參與競投者以比特幣(bitcoin)出價,但只能夠直接付款給他們,假如出價並非最高,就無法取回已付金額。

「影子經紀人」又宣稱任何出價者均會獲得一份「安慰獎」,而如果競投總金額達到100萬比特幣(約5.75億美元),他們將公開另一組高質數據。

在他們提供的「常見問答」中,有一條問題是︰「為甚麼我要相信你們?」答案以不完整的英文寫成︰「沒有信任,風險。你喜歡回報,你冒險,或者贏,或者不,沒有保證。」

程式碼跟「方程組」有關

不過,他們同時發放了300MB的程式碼數據樣本,有下載的研究人員表示跟NSA曾使用的攻擊手段吻合。多倫多大學的公民實驗室研究人員Claudio Guarnieri表示︰「看來似乎是NSA攻擊了某人,然後對方能找到攻擊源頭,並成功反擊。」Guarnieri的專長是分析由國家資助的惡意程式。

卡巴斯基的分析顯示,這300MB數據大部份來自3年前,當中有數百個工具跟「方程組」有強烈關係。他們解釋,「方程組」廣泛使用兩組加密演算法,分別稱為RC5及RC6,但「方程組」程式當中使用的一個常數,跟常見的RC5/6程式碼有別。

他們提供了一組例子,比較了「影子經紀人」洩露出來的數據以及「方程組」的RC6程式碼︰

pic4
Image Credit: Kaspersky Lab GReAT

研究人員解釋,這種特定的RC6程式碼他們此前只在「方程組」的惡意軟件中見過,而今次的數據中有超過300個檔案含有這種程式碼。因此卡巴斯基認為,所有檔案都是偽造的機會甚微。

他們又指,這些程式碼的相似,使他們相信「影子經紀人」取得的工具,跟「方程組」的惡意軟件有關。即使「影子經紀人」宣稱數據來自後者時未有提供證據,卡巴斯基的分析確認了其說法。

動機成疑

電腦保安專家Nicholas Weaver雖然相信今次的資訊並非偽造,但他同時認為整件事並不合理,只是用來分散注意力。他指比特幣太易追查,用來洗錢是瘋狂行為——更何況他們要求5億美元。

而《Wired》翻查的資料顯示,「影子經紀人」未有收到太多比特幣,暫時只有26次交易,總數有約1.72個比特幣(約992美元)。

《華盛頓郵報》引述數名曾任職NSA旗下「特定入侵行動辦公室」(Tailored Access Operations, TAO)的員工,均指今次釋放出來的檔案都是真的,不過其中一人懷疑,「影子經紀人」手上並未獲得「最有趣」的工具,否則會要求更多。

斯諾登則估計,今次洩密很可能來自俄羅斯一方,旨在提出警告,顯示自己能證明美國攻擊其他人的責任。假如有行動針對美國的盟友或者跟選舉有關,可能會導致顯著的外交後果。

資料來源︰

或許你會想看
更多『新聞』文章 更多『科技』文章 更多『Kayue』文章
Loader