最近国内各大媒体都在讨论美国网络司令部等政府部门对其它国家发起网络攻击,植入恶意软件,欲将全球拖入网络安全战争当中,事实上美国发起网络战争,以及进行网络军备训练,并不是现在才开始的,很早之前美国就开始大量的对其他国家政企发起各种网络攻击,美国也是全球发动网络战争最多的国家……
最近纽约时报披露美国网络战部队入侵俄罗斯电网部署恶意程序,同时美国网络战司令部去年从国会获得授权,其战略从防御转为进攻,是不是就说明美国国会已经同意或支持美国网络安全相关部门对其他国家进行网络攻击?之前美国政府网络安全政府各部门不是一直在背后做一些见不得人的事吗?现在是打算公开做了?
不知道大家是否还记得曾经轰动全球的WannaCry勒索病毒,大家知道这个事件是怎么爆发的吗?永恒之蓝的攻击工具又是怎么来的?
2017年5月12日,WannaCry勒索病毒通过MS17-010漏洞在全球范围大规模爆发,感染全球大量的计算机,该勒索病毒感染计算机后会向计算机植入加密程序,加密主机中的文件,加密算法使用RSA2048,受害者主机被加密之后,弹出的勒索解密程序,如下所示:
2017年5月13日晚间,英国安全研究人员发现WannaCry勒索病毒隐藏一个Kill Switch域名开关,通过这个域名开关可以阻止WannaCry进行传播感染,逆向分析,如下所示:
里面包含一个Kill Switch域名开关,如下所示:
当这个域名存在的时候,则退出程序,不执行后面的操作,域名地址:
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
(此域名已经被相关部门接管)
2017年5月14日,WannaCry出现变种版本2.0,该变种样本取消了Kill Switch域名开关,如下所示:
就算发现域名存在,也感染加密主机,之后WannaCry又出现了几个不同的变种版本,这里就不多说了……
WannaCry不是本文讨论的重点,它之所以能大规模爆发,引发全球恐慌,主要是由于它利用“永恒之蓝”的漏洞,关于永恒之蓝漏洞网上有很多相关的介绍和详细的分析文章,WannaCry就是利用了永恒之蓝漏洞,快速进行传播感染,那问题来了,黑客们开发WannaCry使用的永恒之蓝漏洞工具又是哪里来的?下面我们来分析一下永恒之蓝漏洞的由来
2016年8月份,国外的一群黑客入侵了NSA下属的“方程式黑客组织(Equation Group)”,这群黑客就是”影子经纪人(The Shadow Brokers)”,他们盗取了NSA下方程式黑客组织的黑客工具包,这是继2015年Hacking Team被黑事件之后,又一次经典的“黑吃黑”案例,NSA工具包中包含大量的0day,木马远控等,Shadow Brokers入侵NSA下属Equation Group,也成为了史上的第二个”TheHackingTeam”事件!
2016年8月,Shadow Brokers向各思科等各大网络安全公司,拍卖NSA方程式工具,要价100万比特币,拍卖失败!
2016年10月,Shadow Brokers再次发起第二次拍卖,这次不要100万比特币了,只要10000比特币,依然拍卖失败!
2016年12月,Shadow Brokers将NSA黑客工具包直接公开在ZeroNet平台进行出售,详细划分出每个工具的价格,总价格仅1000比特币,里面有一款Windows Warez工具售价750比特币,可绕过市面上大多数杀毒软件,然而也并没有多少人购买!
2017年1月,Shadow Brokers心灰意冷,因为没有人买他们的工具包,他们决定退隐江湖,并留下了一个比特币钱包和58个文件,当比特币钱包满10000比特币时他们就将重出江湖,不问江湖事了!
2017年4月14日晚,Shadow Brokers又突然在互联网上公布了之前获得的NSA方程式黑客组织的部分文件,其中就包含针对windows操作系统以及其他服务器系统软件的多个高危漏洞利用工具
Shadow Brokers公布的NSA武器中,包含了EternalBlue(永恒之蓝)、EternalChampion(永恒王者)、EternalRomance(永恒浪漫)、EternalSynergy(永恒协作)、 EmeraldThread(翡翠纤维)、ErraticGopher(古怪地鼠)、EducatedScholar(文雅学者)等SMB漏洞攻击工具
黑客看到这些漏洞利用工具之后,马上下载,并集成到了WannaCry勒索病毒之中,4月14日晚上公布的漏洞利用工具,在5月12日WannaCry就席卷了全球,中间有一个月的时间,然而Shadow Brokers发布漏洞利用工具之后,并没有太多的人在意,也没有人去积级打补丁,导致了后面WannaCry大面积的感染
这下终于搞明白了,原来黑客们开发WannaCry勒索病毒使用的永恒之蓝漏洞是NSA雇佣的”方程式黑客组织”开发的网络攻击工具包里面的,直到现在还会发现大量利用永恒之蓝漏洞的挖矿和勒索病毒的变种出现,试想如果这些漏洞利用工具不被影子经纪人黑掉并公开出来,NSA独自掌握着这些漏洞利用工具,真要发动网络战争,NSA通过这些漏洞进行网络攻击,可以想象会有啥后果,而且现在NSA究竟还有多少像永恒之蓝这样的漏洞攻击工具包武器,外界还不知道……
那NSA究竟是什么组织呢?
美国国家安全局(National Security Agency,简写为NSA)是美国政府机构中最大的情报部门专门负责收集和分析外国及本国通讯资料,隶属于美国国防部,又称国家保密局。它是1952年根据杜鲁门总统的一项秘密指令,从当时的军事部门中独立出来,用以加强情报通讯工作的,是美国情报机构的中枢,NSA(National Security Agency)美国国家安全局,是美国政府机构中最大的情报部门专门负责收集和分析外国及本国通讯资料,隶属于美国国防部,又称国家保密局
2014年NSA雇员斯诺登公开了大量NSA内部文档,剑指NSA通过各种手段,监听美国国民网络活动和其他国家网络设备数据信息,称为“棱镜门”事件,从此NSA的一些黑幕被慢慢揭露,NSA也从幕后慢慢走到大众视野之中……
NSA有哪些黑幕呢?
1998年有人发现Windows操作系统中存在用途等详情不清的第二把密钥,微软公司在每一份Windows操作系统中都安装了一个程序“后门”,专供NSA在需要时进入全世界Windows用户的电脑
2009年初,NSA就启动了一项针对华为的大规模行动,组成一个特别行动小组渗透华为公司的内部网络,复制1400个客户的资料和工程师使用的内部培训文件,同时NSA从2009年起就入侵香港及中国内地各大学,政企官员以及学生电脑,盗取相关资料信息
可见美国针对华为的攻击,并不是现在才开始,现在华为大力发展5G,导致美国在未来可能就无法监控华为了,关键通信技术被华为掌握,从而开始加大力度打压华为
2013年,英国《卫报》和美国《华盛顿邮报》报道美国国家安全局(NSA)和联邦调查局(FBI)于2007年就启动了一个代号为“棱镜”的秘密监控项目,直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报,对美国一些大型的互联网科技公司进行监听
2014年1月14日,有相关媒体报道美国国家安全局在全球近10万台电脑中植入软件,可以监控这些电脑的活动或发起网络攻击
2015年2月23日,NSA在多个品牌的电脑硬盘中植入间谍软件,并与英国情报部门用黑客手段侵入芯片制造商内部系统,盗取了手机通信稳私加密的密钥
这些估计仅仅是NSA的冰山一角,不过从上面的这些事件,我们可以看出美国NSA一直都没有停止过对其它国家和企业进行网络攻击行为,直到斯诺登事件之后,NSA才渐渐浮出水面,被大家关注,NSA后面还开通了GitHub帐号:https://nationalsecurityagency.github.io/,
开源了一些工具和项目,有兴趣的可以去研究下
最近美国一些政府部门、安全媒体、专家学者老是不断的炒作“中国网络威胁论”,声称自己受到中国黑客的攻击,之前美国司法部还指控两名中国公民从事黑客活动,涉嫌渗透45家美国公司和政府机构,窃取知识产权和其他数据,真的是“贼喊捉贼”,美国是互联网技术和资源最强大的国家,同时也是最早成立网络司令部、把网络攻击作为主要军事手段的国家之一,美国网络司令部等政府部门每天在做什么,自己不清楚吗?
据相关媒体报道,截至2016年底,中央情报局直属的网络情报中心拥有超过5000名员工,总共设计了超过1000个木马、病毒和其他“武器化恶意代码”,除了美国国家安全局、中央情报局,美军网军也在开发自己的网络武器,美国已经是世界上头号网络武器大国,这样一个网络武器大国却一直控告其他国家进行网络安全攻击武器的研发和行动?哈哈哈哈
全球网络安全战争,现在越演越激烈,国与国之间的网络安全攻击也越来越频繁,各个国家都在大力投入进行网络安全军备竞赛,培养自己的网络安全人才,组建网络安全作战部队,在未来网络安全战争,网络安全武器会发挥着巨大的作用
好了,就聊到这里吧,针对美帝对其他国家发起的网络攻击,你又知道哪些消息,欢迎留言
最后还是感谢那些支持我的朋友们,欢迎大家关注微信公众号:CyberThreatAnalyst,会分享更多精彩内容!
安全的路很长,贵在坚持……
本文转载自: CyberThreatAnalyst