揭秘NSA秘密黑客組織方程式

NSA  被黑了！？  不不。

發布消息的黑客組織 The Shadow Broker （暗影經紀人），只是聲稱他們入侵了「Equation Group」（方程式組織），並將他們從該黑客組織的計算機系統中所獲取到的大部分黑客工具全部洩漏在了網際網路上，並告訴大家還有一些需要付費的「優質文件」。

眾所周知，黑客組織方程式與NSA有著說不清道不明的關係。而NSA肯定不會對此事件進行任何回應，但斯諾登卻已按耐不住，在推特上公開質疑此事，稱是有人故意下圈套，想讓大家覺得美國政府參與過多次黑客行動。

目前事件還沒有進一步的進展，不妨讓我們來扒一扒這個與NSA有著千絲萬縷聯繫的黑客組織，方程式。

據國外安全專家分析，黑客組織方程式的行蹤可以追溯至2001年，甚至更早，1996年時就有活躍跡象，團體成員數超過60人。方程式被評價為是現有最隱秘、最先進、最複雜的具有高度威脅的黑客組織。

方程式的名字是由發現他們的卡巴斯基實驗室命名的。卡巴斯基在報告中曾說，之所以叫他們方程式，是因為在他們的行動中，比較偏愛加密算法、模糊策略等比較複雜的技術。

黑客組織方程式病毒圖譜

據卡巴斯基分析報告，RC5加密算法技術貫穿方程組設計的惡意軟體與蠕蟲病毒，有一些也使用了RC6、RC4和AES。

RC5和RC6兩種加密算法是由Ronald Rivest分別在1994年與1998年研究出的。兩種算法非常相似，RC6是在RC5基礎上在密鑰中加了一個額外的增值算法，使其更加的牢固。兩種加密算法的密鑰都是使用相同的機制與常數P和Q建立的。

有安全專家稱，有跡象表明這個組織與美國國家安全局有關。認為方程組與NSA有關聯的一名計算機安全專家 Claudio Guarnieri  曾是NSA「稜鏡門」事件分析小組的成員，他認為，卡巴斯基實驗室現在分析曝光的惡意軟體，早在之前安全專家的研究中就有所涉及，雖然可能分析的深淺不同。Guarnieri曾肯定的告訴福布斯，方程式黑客組織的行為百分之百與NSA有關，因為該組織某些高調的攻擊行動代號與NSA洩密事件「稜鏡門」中所洩漏文件中記載的活動信息十分相似。

該方程組依靠多種技術來感染他們的攻擊目標。主要包括：

•自我複製 Fanny 蠕蟲病毒

•藉助光碟機與系統漏洞

•藉助U盤與系統漏洞

•基於網絡展開攻擊

在方程組黑客組織發布的諸多病毒中，Fanny 蠕蟲病毒是最厲害的一個，可以入侵有網閘隔離的網絡。為了實現這種入侵攻擊，他們使用了一種獨特的基於USB 的控制機制，可以允許攻擊者在被物理隔斷的網絡中自由出入。

這個獨特的USB控制機制，主要是通過U盤感染來實現。U 盤中有一個隱藏的存儲區域可以收集到來自被隔離網絡的基本系統信息，當感染範尼蠕蟲病毒的U盤被插入後，在聯網狀態下，可以立即將收集到的信息發送給攻擊者。

如果攻擊者想要對被網閘隔離的網絡環境運行指令，他們可以把指令通過蠕蟲病毒存儲在U盤的隱蔽空間。當U盤被插入目標電腦，蠕蟲病毒會自動識別並運行指令。

在卡巴斯基實驗室檢測到的方程式黑客組織的七種攻擊方式中，有四種都是利用零日漏洞實現的。其中還有卡巴斯基實驗室未研究出的漏洞利用攻擊方式，主要針對裝有洋蔥路由TOR的火狐瀏覽器。 

卡巴斯基實驗室在分析研究中還發現，在入侵過程中，方程組可以一次利用一個程序鏈上的十個漏洞。但其所設置的蠕蟲病毒對攻擊目標的嘗試攻擊次數總共不會超過三次，如果第一次嘗試未成功，會接著進行第二次與第三次嘗試，如果三次嘗試都沒有攻擊成功，他們就會放棄攻擊此目標。

另有安全專家發現，利用了曾破壞伊朗核工廠鈾濃縮計劃的病毒（Stuxnet）中就包含有Fanny 蠕蟲病毒的漏洞入侵技術。

黑客組織方程式病毒攻擊圖譜

迄今為止，方程式黑客組織曾開發出的惡意軟體與蠕蟲病毒，已感染過全球超過30多個國家的網絡。成功攻破了包括政府或外交部門、電信、航空航天、核能源、軍事、金融、伊斯蘭宗教等組織機構的加密技術。口味這麼複雜，能跟政治沒有關係？

雷鋒網原創文章，未經授權禁止轉載。詳情見轉載須知。