揭秘勒索病毒背後黑客組織

一場席捲全球的勒索病毒仍在入侵人們的電腦，同時也讓一個黑客組織浮出水面。

5月13日開始，一種名為「WanaCrypt0r 2.0」的蠕蟲病毒開始在互聯網上蔓延，它可以使感染的電腦在10秒內鎖住，電腦里所有文件全被加密無法打開，只有按彈窗提示交贖金才能解密。

據《華盛頓郵報》報道，這種病毒被廣泛認定為是根據美國國家安全局（NSA）此前泄露的黑客滲透工具之一——永恆之藍（Eternal Blue）升級而來。網路專家稱，這份文件被叫做影子經紀人（Shadow Brokers）的犯罪團伙偷走，並於4月公佈於眾。

根據此前的報道，影子經紀人盜走的黑客工具遠不止「永恆之藍」，他們聲稱入侵了NSA的黑客武器庫，獲得了大量的互聯網攻擊工具。

曾挑戰美國最牛黑客團伙「方程式組織」

歷史資料顯示，影子經紀人在互聯網上初露鋒芒是在2016年8月。這個神秘黑客組織宣布自己攻破了NSA的防火牆，並且公布了思科ASA系列防火牆、思科PIX防火牆的漏洞。

據《連線》報道，當時影子經紀人明目張胆地在推特上表示，他們將免費提供一些網路攻擊和黑客工具的下載，而這些攻擊武器均來自另一黑客團隊「方程式組織」。

「方程式組織」隸屬於NSA，被稱為NSA的網路「武器庫」。有業內人士表示，「方程式組織」是全球最頂尖的黑客團隊，這個團隊的加密程度無人能及。2010年毀掉伊朗核設備的震網病毒和火焰病毒，也被廣泛認為出自「方程式組織」之手。

網路安全廠商卡巴斯基在2015年發布監測報告稱，「方程式組織」是全球技術最牛的黑客組織之一，在網上活躍近20年，是網路間諜中的「王冠製造者」。當年，卡巴斯基在全球42個國家發現了「方程式組織」的500個感染行為。同時卡巴斯基還表示，這只是冰山一角，由於這個黑客團隊製造的「武器」擁有超強的自毀能力，絕大多數進攻完成之後，不會留下任何痕迹。

黑客中的「軍火販子」

在聲稱盜取了「方程式組織」的攻擊武器之後，影子經紀人開始在網上拍賣這些文件。

影子經紀人表示，如果他們收到超過100萬比特幣，他們就會釋放他們已經擁有的更多的黑客工具。但那次拍賣最終只獲得了價值25美元的比特幣。

2016年10月，影子經紀人停止了銷售，並開通了類似眾籌的活動。他們表示，如果最終他們完成10000比特幣的眾籌目標，就將提供給參與眾籌的人每人一份黑客工具。當兩個月後，該組織的眾籌嘗試再次宣告失敗。

但影子經紀人並沒有因此放棄利用這批文件賺錢的努力。他們之後開始在ZeroBin上小批量地銷售黑客工具。2017年1月，該組織以750比特幣的價格出售一批能夠繞過殺毒軟體的Windows黑客工具。

有媒體評價稱，「影子經紀人」好像黑客中的軍火商。他們時常會販賣高級的攻擊武器，有時也販賣重要的世界軍政信息。他們喜歡在競爭對手之間販賣武器，客戶在發現對手的攻擊能力和本人一樣后，很自然就會成為「影子經紀人」的回頭客，以求購更新的「武器」配備。

今年4月8日，影子經紀人在medium.com博客網站上發表博文，其中公開了曾經多次拍賣失敗的方程式組織Equation Group(為NSA提供服務專門對國外進行間諜活動的組織的黑客工具包——EQGRP-Auction-Files。現在任何人都可以去解密這個文件，獲取其中的一些有價值的東西。

通過網友的解密，該工具包中包括：rpc.cmsd——針對Solaris-基於Unix的操作系統的遠程0day漏洞；TOAST框架——國家安全局的TAO團隊用來清除的Unix wtmp文件的事件日誌；ElectricSlide工具——模擬中文瀏覽器的工具；NSA訪問涉及巴其斯坦移動運營商Mobilink的GSM網路的證據等等。