这个名为Shadow Brokers（影子经纪人）的组织近日高调宣称，将会继续曝光更多窃取自美国国安局（NSA）的网络武器。

　　据了解，勒索病毒利用了被称为Eternal Blue的漏洞，它首先被NSA发现，后被ShadowBrokers组织从其“黑客武器库”中窃走并曝光。自去年8月份销声匿迹的Shadow Brokers周二突然再次活跃起来，警告NSA和全世界：将有更多被窃NSA工具曝光。

　　Shadow Brokers表示，他们依然拥有美国75%的“网络武器”，并将发布更多工具，这些工具利用浏览器、路由器以及手机漏洞。此外，他们也会发布来自俄罗斯、中国、伊朗以及朝鲜的网络数据。Shadow Brokers最初曾尝试以拍卖的形式出售这些被窃工具，但因为没有收到报价而取消。

　　在周二的信中，他们称对偷取祖母的退休金不感兴趣，只是想向Equation Group（方程式组织）发送信息，后者是与NSA关系密切的黑客组织。Shadow Brokers宣称，他们将在6月份发布更多有关每月数据转储的详细信息，包括感兴趣的用户如何注册。在勒索病毒WannaCry袭击取得巨大影响力后，它们的需求可能会更多。

　　Risk Sense资深安全分析师肖恩·迪伦（Sean Dillon）指出：“ShadowBrokers已经证明，他们的确拥有非常有效的工具，为此对它们感兴趣的人很可能会去购买，特别是其他犯罪分子。他们依然拥有政府的工具，并希望能够获得大量金钱。”

　　在勒索病毒爆发的短短4天内，黑客组织已经收到7万美元赎金。迪伦表示，一旦有人从Shadow Brokers获得数据转储，这些漏洞很可能曝光。在信的最后，Shadow Brokers暗示，如果NSA支付赎金，他们也可以帮助解决这些问题。

　　那么，Shadow Brokers（影子经纪人）到底是一个什么样的组织？

　　曾挑战美国最牛黑客团伙



　　历史资料显示，影子经纪人在互联网上初露锋芒是在2016年8月。这个神秘黑客组织宣布自己攻破了NSA的防火墙，并且公布了思科ASA系列防火墙、思科PIX防火墙的漏洞。

　　据《连线》报道，当时影子经纪人明目张胆地在推特上表示，他们将免费提供一些网络攻击和黑客工具的下载，而这些攻击武器均来自另一黑客团队“方程式组织”。

　　“方程式组织”隶属于NSA，被称为NSA的网络“武器库”。有业内人士表示，“方程式组织”是全球最顶尖的黑客团队，这个团队的加密程度无人能及。2010年毁掉伊朗核设备的震网病毒和火焰病毒，也被广泛认为出自“方程式组织”之手。

　　网络安全厂商卡巴斯基在2015年发布监测报告称，“方程式组织”是全球技术最牛的黑客组织之一，在网上活跃近20年，是网络间谍中的“王冠制造者”。

　　当年，卡巴斯基在全球42个国家发现了“方程式组织”的500个感染行为。同时卡巴斯基还表示，这只是冰山一角，由于这个黑客团队制造的“武器”拥有超强的自毁能力，绝大多数进攻完成之后，不会留下任何痕迹。

　　黑客中的“军火贩子”



　　在声称盗取了“方程式组织”的攻击武器之后，影子经纪人开始在网上拍卖这些文件。

　　影子经纪人表示，如果收到超过100万比特币，就会释放他们已经拥有的大量黑客工具。但显然世界人民还是不太买黑客的面子，这次拍卖最终获得了2比特币的尴尬结果。

　　赚钱心情强烈的黑客组织，又在2016年10月开启了众筹活动，宣布当他们收到10000比特币后将提供给每一位参与众筹者黑客工具包。12月，众筹活动又尴尬的失败了。

　　虽然这个有点傻萌气质的傲娇黑客组织在赚钱的路上屡屡掉坑，但影子经纪人并没有因此放弃利用这批文件赚钱的努力。他们之后开始在ZeroBin上小批量地销售黑客工具。2017年1月，该组织以750比特币的价格出售一批能够绕过杀毒软件的Windows黑客工具。

　　值得注意的是，影子经纪人还发布了证据，表明中国的大学和网络信息供应商是NSA入侵最频繁的领域。

　　作为全世界雇佣最多计算机专家的单位，NSA的内部机密被真实网络黑客入侵绝对是首次。而造成的影响恐怕也比想象中严重很多。

　　有媒体评价称，“影子经纪人”好像黑客中的军火商。他们时常会贩卖高级的攻击武器，有时也贩卖重要的世界军政信息。他们喜欢在竞争对手之间贩卖武器，客户在发现对手的攻击能力和本人一样后，很自然就会成为“影子经纪人”的回头客，以求购更新的“武器”配备。

　　泄密美国国安局资料



　　继2016年的拍卖失败以后，影子经纪人最重要的发布发生在今年4月中旬，该组织声称获得了NSA黑客工具的详细信息，据说美国政府正是利用这些工具入侵国际银行系统，侦查各国间资金流向，监控中东和拉美国家银行间的资金往来。

　　影子经纪人从“方程式组织”获取的这份300M的泄密文档显示，其中的黑客工具主要针对微软的Windows系统和装载环球银行间金融通信协会（SWIFT）系统的银行。这些恶意攻击工具中，包括恶意软件、私有的攻击框架及其他攻击工具。

　　根据已知资料，其中至少有设计微软23个系统漏洞的12种攻击工具，而这次造成勒索病毒的永恒之蓝，不过12种的其中之一。

　　不过，随后SWIFT否认了曾被黑客攻入。

　　按照英国广播公司的说法，如果4月曝光的资料和工具被确认来自NSA，这将是“棱镜”事件后，NSA遭遇的最严重“爆料”。

　　《连线》在报道中称，连前美国国家安全局工作人员爱德华？斯诺登也认为，影子经纪人盗取了NSA的“武器库”似乎是真的。因为由该组织提供的恶意软件中，包含了与NSA在内部文件中使用的相同的16个字符的识别码。

　　那么，这就是一个神秘高手为了揭开另一个“大内高手”的真面目，把他发明的武林至毒给偷出来并散布到了江湖的故事，借以证明NSA组织并实施了大量针对他国的非法黑客攻击。

　　谁是影子经纪人？



　　尽管在互联网上兴风作浪，但至今没有人知道影子经纪人究竟是谁。

　　不过，下黑手者虽然目前还找不到，但其所用的工具，却明确无误地指向了一个机构——NSA（National Security Agency），美国国家安全局。黑客所使用的“永恒之蓝”，就是NSA针对微软MS17-010漏洞所开发的网络武器。

　　美国知名作家兼记者詹姆斯·班福德（James Bamford）则分析指出，影子经纪人有可能来自美国安全部门的内部人士。在斯诺登2013年公布NSA的相关文件中，出现了与影子经纪人泄露内容相同的代码——名为Second Date-3021.exe的恶意软件中的一串数字，同时出现在斯诺登和影子经纪人发布的文件中。

　　此前，斯诺登曾发表了一系列推特分析，NSA恶意软件的分段式服务器攻击并非前所未有，他认为，从间接证据来看影子经纪人与俄罗斯当局有关。不过，路透社在评论文章中称，如果俄罗斯是影子经纪人背后的力量，那么俄罗斯就不会公布数据被盗的情况。

　　一份言语学分析报告显示，“影子经纪人”在运用英语时有明显错误，显然是为了迷惑别人，让人误以为这一黑客组织成员并非以英语为母语。英俄双语翻译阿列克谢？科瓦列夫也赞同这种观点：“有太多破绽暴露了作者的母语是英语。”

　　距离WannaCry勒索病毒集中爆发已经超过了100了小时，而我们仍不知对手是谁，更可怕的，如果真如Shadow Brokers所说的那样，将会有更多的美国国安局病毒曝光，那对全球将会造成无法估量的损失。

（文章来源：IT时代网）