勒索病毒背後黑手是誰?
雖然一方面各種應急手冊、緊急補丁、漏洞修復工具,以及讓家庭使用者安心的科普文章在大量刷存在感。但另一方面,我們看到該病毒的變異版“如約而至”,被攻擊範圍和受攻擊次數在不斷增加,已受攻擊網路依舊沒有很好的處理方案。
在病毒襲擊爆發的48小時之內,我們身邊的學校、加油站、政府網路已經相繼有受襲案例傳出,在國外更是直接產生了病毒影響醫院工作的惡性事件。
這樣肆虐全世界的病毒襲擊,已經很久沒有出現在人類世界的新聞當中了。而此次事件的多方矛頭,都指向一種名為“WanaCrypt0r 2.0”的蠕蟲病毒。這種病毒被廣泛認定為是根據 NSA(美國國家安全域性)此前洩露的駭客滲透工具之一,永恆之藍(Eternal Blue)升級而來。
假如這次事件明確指向NSA的滲透武器洩露事件,那麼此次大規模病毒肆虐恐怕很難被定義為孤立事件。
反而更有可能是,此次事件與之前著名的駭客組織“影子經紀人(Shadow Brokers)”攻破NSA駭客武器庫,導致大量基於Windows系統漏洞的駭客工具流失事件有關。這次流散出的工具絕不僅僅是“永恆之藍”一種或一個型別。其中隱含的未知風險,也許比目前大眾判斷中更加驚人。
如果看過生化危機,那這集劇情你可能眼熟
恰好在一個月前的4月15日,已經屢次出手“教訓”NSA的神秘組織“影子經紀人”釋出了一份關於NSA的洩密文件。
這份300M的轉存文件中,是NSA旗下駭客組織“方程式”的入侵工具,主要針對微軟的Windows系統和裝載SWIFT系統的銀行。
這些惡意攻擊工具中,包括惡意軟體、私有的攻擊框架及其它攻擊工具。根據已知資料,其中至少有設計微軟23個系統漏洞的12種攻擊工具,而這次完成“變身出擊”的永恆之藍,不過12種的其中之一而已。
(影子經濟人所上傳洩露工具)
永恆之藍所針對的是Windows中的SMB網路檔案共享協議所存在漏洞。其他針對RDP遠端顯示協議、Kerberos 伺服器認證協議的尊重審查(Esteem Audit)、 愛斯基摩卷(Eskimo Roll)等等,說不定還在暗中蠢蠢欲動。
更加令人在意的,是洩露出的攻擊工具中另一個主要構成部分,是針對銀行、政府系統所使用的SWIFT系統的漏洞攻擊工具。影子經紀人說,這些武器的主要目的是NSA用來攻擊中東地區銀行。而如果這些工具為別有用心的犯罪者掌握,那事件更加不堪設想。
拋開技術工具不說,我們來回顧一下這次劇情:神秘的駭客組織“影子經紀人”宣佈攻破了據說為NSA開發網路武器的美國駭客組織“方程式”(Equation Group)的系統,並下載了他們的攻擊工具對外傳播,藉以證明NSA組織並實施了大量針對他國的非法駭客攻擊。
簡單來說,就是一個神秘高手為了揭開另一個“大內高手”的真面目,把他發明的武林至毒給偷出來並散佈到了江湖上。然後,江湖上的阿貓阿狗得到了這份神秘武器,一場腥風血雨就此展開…..
等等….如果你看過生化危機的話,後面的劇情可能你都該猜著了。
影子經紀人:以怒懟為樂趣,以搞事情為己任
這裡不妨簡單回顧一下這個“小李飛刀,例不虛發”的神秘組織——影子經紀人。
2016年8月,這個組織首次亮相在人類面前。這個神秘駭客組織宣佈自己攻破了NSA的防火牆,並且公佈了思科ASA系列防火牆,思科PIX防火牆的漏洞。
隨後他們還公開拍賣得到的駭客工具包,宣佈如果收到超過100萬比特幣,就會釋放他們已經擁有的大量駭客工具。但顯然世界人民還是不太買駭客的面子,這次拍賣最終獲得了2比特幣的尷尬結果。
賺錢心情強烈的駭客組織,又在2016年10月開啟了眾籌活動,宣佈當他們收到10000比特幣後將提供給每一位參與眾籌者駭客工具包。12月,眾籌活動又尷尬的失敗了。
雖然這個有點傻萌氣質的傲嬌駭客組織在賺錢的路上屢屢掉坑,但他們偷來的東西卻不斷被證明貨真價實。先是思科和Fortinet發出了安全警告,隨後著名的洩密者愛德華·斯諾登,以及NSA多名前僱員都證明了這份工具包的真實性。
有意思的是,影子經紀人還發布了證據,表明中國的大學和網路資訊供應商是NSA入侵最頻繁的領域。
作為全世界僱傭最多計算機專家的單位,NSA的內部機密被真實網路駭客入侵絕對是首次。而造成的影響恐怕也比想象中嚴重很多。
今年4月,搞事情絕不嫌事大,並且永遠抓住NSA怒懟的影子經紀人再次出手。直接放出了這份長久沒有賣出去的工具包。隨後其中一個工具,就在今天的世界襲擊中被找到了身影。無論正邪善惡,這個團隊和被他們竊取了的NSA,恐怕都難以撇清責任。
劃重點:“工具工程化水準”才是最要命的
眾多網路安全專案團隊和從業者都表示,影子機器人在4月的這一次攻擊工具洩露是一場網路安全界的核爆。
這個說法事實上一點都不誇張。在很長時間裡,網路安全襲擊一般有兩個模式:一是襲擊者自行根據所發現漏洞編訂襲擊方式,也就是一般意義上的駭客襲擊;二是襲擊者製造病毒類程式引發範圍襲擊。
這兩個模式中,病毒也可以完成先傳遞——引發襲擊的過程。但病毒製造者傳遞給襲擊實施者的往往是病毒原本,很容易被安全工具撲滅。
但這次流傳出的襲擊工具則不同,引用專業網路安全企業的評價,這次洩露出的駭客工具“在漏洞的危險程度、漏洞利用程式的技術水平、以及工具工程化水平,都屬於世界頂級水平”。其中漏洞利用方面,我們可能已經對新病毒的殺傷力見慣不慣,但在工具工程化水平上,網際網路世界中尚是首次集中出現如此高水平的襲擊工具。
(影子經紀人爆出NSA侵入世界多家銀行)
所謂工具工程化,是指攻擊工具可被反覆利用、改寫,以達到適應襲擊目標與針對性潛伏和釋放作用的能力。普遍認為,NSA流出的這部分駭客襲擊工具,更多是針對國家網路、軍用網路和銀行網路釋放,並且有意識的提高了底層工具化能力,以提升網路戰中的標準化應用程度。
這種高度工具化網路襲擊工具的外洩,無疑是把軍用大規模殺傷性武器隨手拋到了民間。這給未來世界網路安全埋下的禍患,絕不只是一次襲擊可以消抵的。
抱歉,這才剛開始:關於網路安全戰的未來
在熊貓燒香肆虐之後十年,我們又迎來了一次大規模的網路病毒襲擊。而這次中國與世界的同步、襲擊工具的特殊背景,以及襲擊方式的獨特,都讓我們感到了對網路安全世界的更深恐懼。
尤其在AI技術不斷髮展的今天,AI投入產品化應用已經不再話下,而AI、物聯網、雲計算等新技術帶來的負面利用也在快速提升。在近兩年的世界網路安全事件中,我們已經可以看到以下幾種襲擊方式開始主導網路安全問題。
一、工業網路勒索:以這次比特幣勒索病毒為例,透過工具化蠕蟲病毒的有目的放置,然後集中時間有計劃引發,可以說是一種全新的病毒襲擊方式。
這種模式的問題在於,它可以有效威脅工業網路、醫療網路、銀行網路等大型非民用網路,從而達到數額巨大的勒索獲益目的。並且隨著比特幣支付技術帶來的便利,始作俑者往往更難被繩之以法。在這次世界範圍襲擊之後,這種襲擊方式恐怕還將持續增加。
二、信任攻擊:AI威脅人類恐怕還很遠,但AI被壞人利用恐怕今天就在發生。透過AI技術模擬聲音源、語氣、筆記、修辭習慣等等,已經是很容易達成的技術效果。於是用AI生成熟人的聲音和郵件,從而進行網路詐騙的方式在快速增加。
目前英國一年已經可以發現超過10萬起的“技術型網路詐騙”,在網路安全的領域中這被稱為“信任攻擊”。
三、物聯網攻擊:2016年1月,烏克蘭電網系統遭駭客攻擊,導致了數百戶家庭供電被迫中斷。這是人類歷史上第一次導致停電的網路攻擊。
隨著物聯網技術的進步以及能源生產部門的徹底網路化,針對物聯網的駭客襲擊也逐漸開始增多。這次的勒索病毒也大範圍進入了物聯網領域。而這個領域的網路襲擊,往往也是危險度更強、更加難以防範的一種。
四:關鍵資料更改:大資料運算正在成為新的能源和生產力提供者,但有資料就有虛假資料。如果在關鍵資料上動手腳,有時候可以造成不留任何痕跡的網路襲擊。透過更改關鍵資料的襲擊模式也在近兩年悄然增多。而以AI演算法進行資料攻擊,生成合情合理的“假資料鏈”,則更加是一種毀滅性打擊。
事實上,新技術加持和大量洩漏事件帶給不法駭客的武器升級,遠比安全部門快上很多。這次經歷的全球性襲擊,恐怕還是眾多事件的開始而已。未來的全球網路安全,恐怕會是一場“大逃殺”模式的無盡戰爭。
勒索病毒背後黑手是誰?
雖然一方面各種應急手冊、緊急補丁、漏洞修復工具,以及讓家庭使用者安心的科普文章在大量刷存在感。但另一方面,我們看到該病毒的變異版“如約而至”,被攻擊範圍和受攻擊次數在不斷增加,已受攻擊網路依舊沒有很好的處理方案。
在病毒襲擊爆發的48小時之內,我們身邊的學校、加油站、政府網路已經相繼有受襲案例傳出,在國外更是直接產生了病毒影響醫院工作的惡性事件。
這樣肆虐全世界的病毒襲擊,已經很久沒有出現在人類世界的新聞當中了。而此次事件的多方矛頭,都指向一種名為“WanaCrypt0r 2.0”的蠕蟲病毒。這種病毒被廣泛認定為是根據 NSA(美國國家安全域性)此前洩露的駭客滲透工具之一,永恆之藍(Eternal Blue)升級而來。
假如這次事件明確指向NSA的滲透武器洩露事件,那麼此次大規模病毒肆虐恐怕很難被定義為孤立事件。
反而更有可能是,此次事件與之前著名的駭客組織“影子經紀人(Shadow Brokers)”攻破NSA駭客武器庫,導致大量基於Windows系統漏洞的駭客工具流失事件有關。這次流散出的工具絕不僅僅是“永恆之藍”一種或一個型別。其中隱含的未知風險,也許比目前大眾判斷中更加驚人。
如果看過生化危機,那這集劇情你可能眼熟
恰好在一個月前的4月15日,已經屢次出手“教訓”NSA的神秘組織“影子經紀人”釋出了一份關於NSA的洩密文件。
這份300M的轉存文件中,是NSA旗下駭客組織“方程式”的入侵工具,主要針對微軟的Windows系統和裝載SWIFT系統的銀行。
這些惡意攻擊工具中,包括惡意軟體、私有的攻擊框架及其它攻擊工具。根據已知資料,其中至少有設計微軟23個系統漏洞的12種攻擊工具,而這次完成“變身出擊”的永恆之藍,不過12種的其中之一而已。
(影子經濟人所上傳洩露工具)
永恆之藍所針對的是Windows中的SMB網路檔案共享協議所存在漏洞。其他針對RDP遠端顯示協議、Kerberos 伺服器認證協議的尊重審查(Esteem Audit)、 愛斯基摩卷(Eskimo Roll)等等,說不定還在暗中蠢蠢欲動。
更加令人在意的,是洩露出的攻擊工具中另一個主要構成部分,是針對銀行、政府系統所使用的SWIFT系統的漏洞攻擊工具。影子經紀人說,這些武器的主要目的是NSA用來攻擊中東地區銀行。而如果這些工具為別有用心的犯罪者掌握,那事件更加不堪設想。
拋開技術工具不說,我們來回顧一下這次劇情:神秘的駭客組織“影子經紀人”宣佈攻破了據說為NSA開發網路武器的美國駭客組織“方程式”(Equation Group)的系統,並下載了他們的攻擊工具對外傳播,藉以證明NSA組織並實施了大量針對他國的非法駭客攻擊。
簡單來說,就是一個神秘高手為了揭開另一個“大內高手”的真面目,把他發明的武林至毒給偷出來並散佈到了江湖上。然後,江湖上的阿貓阿狗得到了這份神秘武器,一場腥風血雨就此展開…..
等等….如果你看過生化危機的話,後面的劇情可能你都該猜著了。
影子經紀人:以怒懟為樂趣,以搞事情為己任
這裡不妨簡單回顧一下這個“小李飛刀,例不虛發”的神秘組織——影子經紀人。
2016年8月,這個組織首次亮相在人類面前。這個神秘駭客組織宣佈自己攻破了NSA的防火牆,並且公佈了思科ASA系列防火牆,思科PIX防火牆的漏洞。
隨後他們還公開拍賣得到的駭客工具包,宣佈如果收到超過100萬比特幣,就會釋放他們已經擁有的大量駭客工具。但顯然世界人民還是不太買駭客的面子,這次拍賣最終獲得了2比特幣的尷尬結果。
賺錢心情強烈的駭客組織,又在2016年10月開啟了眾籌活動,宣佈當他們收到10000比特幣後將提供給每一位參與眾籌者駭客工具包。12月,眾籌活動又尷尬的失敗了。
雖然這個有點傻萌氣質的傲嬌駭客組織在賺錢的路上屢屢掉坑,但他們偷來的東西卻不斷被證明貨真價實。先是思科和Fortinet發出了安全警告,隨後著名的洩密者愛德華·斯諾登,以及NSA多名前僱員都證明了這份工具包的真實性。
有意思的是,影子經紀人還發布了證據,表明中國的大學和網路資訊供應商是NSA入侵最頻繁的領域。
作為全世界僱傭最多計算機專家的單位,NSA的內部機密被真實網路駭客入侵絕對是首次。而造成的影響恐怕也比想象中嚴重很多。
今年4月,搞事情絕不嫌事大,並且永遠抓住NSA怒懟的影子經紀人再次出手。直接放出了這份長久沒有賣出去的工具包。隨後其中一個工具,就在今天的世界襲擊中被找到了身影。無論正邪善惡,這個團隊和被他們竊取了的NSA,恐怕都難以撇清責任。
劃重點:“工具工程化水準”才是最要命的
眾多網路安全專案團隊和從業者都表示,影子機器人在4月的這一次攻擊工具洩露是一場網路安全界的核爆。
這個說法事實上一點都不誇張。在很長時間裡,網路安全襲擊一般有兩個模式:一是襲擊者自行根據所發現漏洞編訂襲擊方式,也就是一般意義上的駭客襲擊;二是襲擊者製造病毒類程式引發範圍襲擊。
這兩個模式中,病毒也可以完成先傳遞——引發襲擊的過程。但病毒製造者傳遞給襲擊實施者的往往是病毒原本,很容易被安全工具撲滅。
但這次流傳出的襲擊工具則不同,引用專業網路安全企業的評價,這次洩露出的駭客工具“在漏洞的危險程度、漏洞利用程式的技術水平、以及工具工程化水平,都屬於世界頂級水平”。其中漏洞利用方面,我們可能已經對新病毒的殺傷力見慣不慣,但在工具工程化水平上,網際網路世界中尚是首次集中出現如此高水平的襲擊工具。
(影子經紀人爆出NSA侵入世界多家銀行)
所謂工具工程化,是指攻擊工具可被反覆利用、改寫,以達到適應襲擊目標與針對性潛伏和釋放作用的能力。普遍認為,NSA流出的這部分駭客襲擊工具,更多是針對國家網路、軍用網路和銀行網路釋放,並且有意識的提高了底層工具化能力,以提升網路戰中的標準化應用程度。
這種高度工具化網路襲擊工具的外洩,無疑是把軍用大規模殺傷性武器隨手拋到了民間。這給未來世界網路安全埋下的禍患,絕不只是一次襲擊可以消抵的。
抱歉,這才剛開始:關於網路安全戰的未來
在熊貓燒香肆虐之後十年,我們又迎來了一次大規模的網路病毒襲擊。而這次中國與世界的同步、襲擊工具的特殊背景,以及襲擊方式的獨特,都讓我們感到了對網路安全世界的更深恐懼。
尤其在AI技術不斷髮展的今天,AI投入產品化應用已經不再話下,而AI、物聯網、雲計算等新技術帶來的負面利用也在快速提升。在近兩年的世界網路安全事件中,我們已經可以看到以下幾種襲擊方式開始主導網路安全問題。
一、工業網路勒索:以這次比特幣勒索病毒為例,透過工具化蠕蟲病毒的有目的放置,然後集中時間有計劃引發,可以說是一種全新的病毒襲擊方式。
這種模式的問題在於,它可以有效威脅工業網路、醫療網路、銀行網路等大型非民用網路,從而達到數額巨大的勒索獲益目的。並且隨著比特幣支付技術帶來的便利,始作俑者往往更難被繩之以法。在這次世界範圍襲擊之後,這種襲擊方式恐怕還將持續增加。
二、信任攻擊:AI威脅人類恐怕還很遠,但AI被壞人利用恐怕今天就在發生。透過AI技術模擬聲音源、語氣、筆記、修辭習慣等等,已經是很容易達成的技術效果。於是用AI生成熟人的聲音和郵件,從而進行網路詐騙的方式在快速增加。
目前英國一年已經可以發現超過10萬起的“技術型網路詐騙”,在網路安全的領域中這被稱為“信任攻擊”。
三、物聯網攻擊:2016年1月,烏克蘭電網系統遭駭客攻擊,導致了數百戶家庭供電被迫中斷。這是人類歷史上第一次導致停電的網路攻擊。
隨著物聯網技術的進步以及能源生產部門的徹底網路化,針對物聯網的駭客襲擊也逐漸開始增多。這次的勒索病毒也大範圍進入了物聯網領域。而這個領域的網路襲擊,往往也是危險度更強、更加難以防範的一種。
四:關鍵資料更改:大資料運算正在成為新的能源和生產力提供者,但有資料就有虛假資料。如果在關鍵資料上動手腳,有時候可以造成不留任何痕跡的網路襲擊。透過更改關鍵資料的襲擊模式也在近兩年悄然增多。而以AI演算法進行資料攻擊,生成合情合理的“假資料鏈”,則更加是一種毀滅性打擊。
事實上,新技術加持和大量洩漏事件帶給不法駭客的武器升級,遠比安全部門快上很多。這次經歷的全球性襲擊,恐怕還是眾多事件的開始而已。未來的全球網路安全,恐怕會是一場“大逃殺”模式的無盡戰爭。