勒索病毒攻击是谁打开了潘多拉的魔盒?
勒索病毒攻击是谁打开了潘多拉的魔盒?
龚蔚
近日,一次迄今为止最大规模的勒索病毒网络攻击席卷全球。这种勒索病毒名为WannaCry(及其变种),全球各地的大量组织机构遭受了它的攻击。这一切的一切要从一个“方程式组织”说起。
早在几年前,多家安全研究机构及安全实验室对一些重大的网络犯罪行为及重大的网络病毒进行跟踪分析后,发现所有的这些病毒样体及攻击源头都指向了一个叫作方程式组织(Equation Group)的机构。
根据当时掌握的信息,这个组织规模庞大资金充足,并拥有足够的调用互联网资源的能力。追踪发现,全世界至少有42个国家的几百个恶意软件和这个组织有关。从2001年到现在,方程式组织已经在伊朗、俄罗斯、叙利亚、阿富汗、英国、美国等全球超过30个国家感染了数千个甚至上万个受害者。
随着调查的继续,最终这个神秘组织初露端倪,虽然到目前为止没有公开的证据足以证明,但很多线索告诉我们,它和某发达国家的安全局有密不可分的关系,甚至有部分该国安全局的代号编码被收入在这个组织的软件代码中,通过代码时间戳的行为习惯分析,这个组织一般只在周一到周五编写代码,更像某种商业机构或政府企业,种种分析之后发现,这个叫作方程式的组织或许就是该发达国家安全局编制内的一个机构,抑或是提供该国安全局网络攻击武器的军火商。总之这个组织拥有这个世界最先进的网络攻击手段及网络攻击组织能力。
大概在一个月前,有个叫影子经纪人的黑客团队攻破了方程式组织的网络大门,窃取了大量的内部信息,同时影子经纪人希望方程式组织支付足够多的费用(要价100万美金比特币)用于赎回被窃取的内部资料,看上去这一切就像是黑吃黑。影子经纪人的黑客团队为了证明自己的确攻破了方程式的大门,随后在网上公布了他们武器库的一部分资料。
当资料被公布的那一刻,全世界网络安全的人员惊呆了,这个武器库如此之强大,就好像给你展示了一个时空穿越机器,而且这个机器可能是他的实验室里众多的设备之一,而且这东西可能人家很多年前就有,是搁在那都积灰了的陈旧设备。
铺垫了这么多才开始说正事,还是回到我们这次大规模爆发的勒索软件。其实勒索软件早在几年前就存在,且每年呈上升的趋势,之前的勒索软件主要传播的途径是通过一些仿冒邮件的方式,而这次勒索软件主要依赖之前方程式组织泄露的高级漏洞,可以自动传播入侵,一下子将勒索软件传播的效率指数倍地提高,所以导致勒索软件事件大规模发生。
笔者认为,如果没有影子经纪人披露的方程式武器库(网络漏洞库),如果搭载这些高级漏洞的也不是勒索软件,作为全世界唯一拥有这个秘密的上述发达国家安全局是否会搭载一些其他的程序(例如情报收集)?影子经纪人公布的只是一小部分武器库,现实世界该国安全局是否已全面部署了这种全世界情报获取的方式?这一切不是遐想,只是他会不会这么做,是不是已经做了。
方程式入侵事件后,美国公民自由联盟律师在声明中称:“这些攻击事件彰显了一个事实:网络安全漏洞不仅会被我们的安全机构利用,也会被世界范围内的黑客和犯罪分子利用。” 而今天发生大规模勒索事件后,我很想再把这句话倒过来说一下:“网络安全漏洞不仅会被黑客和犯罪分子利用,也会被安全机构用来作为全世界争夺网络空间控制权的武器。”
目前来看,抓到影子经纪人核心团队并要到密码是解开文件的唯一办法。这次病毒扩散如此之广,主要是因为利用了泄露漏洞,从技术上看并不难。国内也有类似的黑客勒索,不排除会利用这次泄露的漏洞。建议受到勒索的企业和个人不要付费,否则结果一定是会收到更多的勒索。
(作者为WIFI万能钥匙首席安全官、资深互联网安全从业人士)