|
NSA的方程式被破解了,未知数X等于几?
最近美国某公司(NSA)内部黑客团队方程式组织(Equation Group)被黑事件在网上传的沸沸扬扬、满城风雨。The Shadow Brokers(国内媒体翻译为影子经纪人)黑客组织将其入侵所得文件和哦功能根据以100万比特币(约5.68亿美元买)拍卖,为了证明文件和工具的有效性,并在Github给出了方程式组织攻击防火墙设备利用的攻击脚本和工具。
千里百科
故事相关人物简介: 美国某公司(NSA):无需多言,美国*部最大的情报部门,前两年“棱镜门”事件主角。 方程式组织(Equation Group):最近美国某公司(NSA)内部黑客组织。这个组织名字是2015年2月份,卡巴斯基公司在一份研究报告中给命名的。该组织的是拥有N多0day漏洞,掌握复杂有效的入侵工具,做事高度机密和流程化的国家级APT攻击黑客组织。据说著名的Stuxnet震网和Flame火焰病毒也与他们有关。 影子经济人(Shadow-Brokers):目前只知道是攻击方程式的黑客组织,没有其他信息。
事件分析
整个事件可以简略地概括为一个国家级黑客组织被另一个黑客组织入侵,并将其内部的0day漏洞利用代码、复杂的入侵工具以及攻击过程笔记等信息泄露的“悲剧”。而人们经过之前的“棱镜门”事件、HackingTeam被黑等事件的“洗礼”,也无心去评论是非黑白,谁对谁错。对于我等凡人来讲,更关心的是影子经纪人泄露的内容是不是真的?我们的安全环境是否受到威胁?从这类事件我们能学习到什么?
影子经纪人泄露的内容是不是真的?
是真的。从泄露文件中所包含有JETPLOW, BANANALEE等文件名和文件夹关键字信息, 就可以判断这与之前“棱镜门”事件泄露的NSA攻击防火墙的资料相匹配(此次泄露的攻击防火墙相关文件原始文件已被Github删除,感兴趣的小伙伴可以去Github搜索别人fork和保存的文件,还是有很多的)。卡巴斯基公司在8月16日发表报告指出,通过RC5/RC6加密算法对,影子经纪人泄露的文件应该就是方程式组织的内部资料:
此外,国内外好多安全公司和安全爱好者,也在分析这些攻击代码和工具,并验证了部分攻击的有效性,比如下面的视频是Cisco SNMP远程代码执行 漏洞复现过程,从而成功控制Cisco ASA设备:
所以我们可以肯定影子经纪人泄露的防火墙相关资料是NSA内部方程式组织的,并且是真是有效的。 我们的安全环境是否受到威胁?
从泄露的资料看,目前只有5家防火墙公司的产品受到威胁,但不排除还有其他的可能,简略的示意图如下:
这些攻击代码和工具有很多没有给出攻击的具体版本,我们也发现有些攻击payload不仅仅影响一个版本。所以这里建议使用这些防火墙的用户及时关注相关产品官方网站或与技术支持人员取得联系。
从这类事件我们能学习到什么?
跳出这个事件,站在上帝视角,小编发表下自己的感慨。
八岁那年我抓住了一只蝉,我以为我抓住了整个夏天。十八岁那年我买了个防火墙,我以为我买到了整个安全。可是万万没想到,对于攻击者来说,防火墙却给他们更大的攻击面。,增加的安全设备反而更加不安全了。最危险的地方也是最安全的地方,反过来最安全的地方也可能是最危险的地方。
参考链接: Rare implementation of RC5/RC6 in ‘ShadowBrokers’ dump connects them to Equation malware
| 
发表于 2016-9-9 09:52
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-9-9 10:31
工程师2级