转载

揭秘NSA秘密黑客组织方程式

NSA 被黑了！？不不。

发布消息的黑客组织 The Shadow Broker （暗影经纪人），只是声称他们入侵了“Equation Group”（方程式组织），并将他们从该黑客组织的计算机系统中所获取到的大部分黑客工具全部泄漏在了互联网上，并告诉大家还有一些需要付费的“优质文件”。

众所周知，黑客组织方程式与NSA有着说不清道不明的关系。而 NSA肯定不会对此事件进行任何回应，但斯诺登却已按耐不住，在推特上公开质疑此事，称是有人故意下圈套，想让大家觉得美国政府参与过多次黑客行动。

目前事件还没有进一步的进展，不妨让我们来扒一扒这个与NSA有着千丝万缕联系的黑客组织，方程式。

据国外安全专家分析，黑客组织方程式的行踪可以追溯至2001年，甚至更早，1996年时就有活跃迹象，团体成员数超过60人。方程式被评价为是现有最隐秘、最先进、最复杂的具有高度威胁的黑客组织。

方程式的名字是由发现他们的卡巴斯基实验室命名的。卡巴斯基在报告中曾说，之所以叫他们方程式，是因为在他们的行动中，比较偏爱加密算法、模糊策略等比较复杂的技术。

揭秘NSA秘密黑客组织方程式

黑客组织方程式病毒图谱

据卡巴斯基分析报告，RC5加密算法技术贯穿方程组设计的恶意软件与蠕虫病毒，有一些也使用了RC6、RC4和AES。

RC5和RC6两种加密算法是由Ronald Rivest分别在1994年与1998年研究出的。两种算法非常相似，RC6是在RC5基础上在密钥中加了一个额外的增值算法，使其更加的牢固。两种加密算法的密钥都是使用相同的机制与常数P和Q建立的。

有安全专家称，有迹象表明这个组织与美国国家安全局有关。认为方程组与NSA有关联的一名计算机安全专家 Claudio Guarnieri 曾是NSA“棱镜门”事件分析小组的成员，他认为，卡巴斯基实验室现在分析曝光的恶意软件，早在之前安全专家的研究中就有所涉及，虽然可能分析的深浅不同。Guarnieri曾肯定的告诉福布斯，方程式黑客组织的行为百分之百与NSA有关，因为该组织某些高调的攻击行动代号与NSA泄密事件 “棱镜门”中所泄漏文件中记载的活动信息十分相似。

该方程组依靠多种技术来感染他们的攻击目标。主要包括：

•自我复制 Fanny 蠕虫病毒

•借助光驱与系统漏洞

•借助U盘与系统漏洞

•基于网络展开攻击

在方程组黑客组织发布的诸多病毒中， Fanny 蠕虫病毒是最厉害的一个，可以入侵有网闸隔离的网络。为了实现这种入侵攻击，他们使用了一种独特的基于USB 的控制机制，可以允许攻击者在被物理隔断的网络中自由出入。

这个独特的USB控制机制，主要是通过U盘感染来实现。U 盘中有一个隐藏的存储区域可以收集到来自被隔离网络的基本系统信息，当感染范尼蠕虫病毒的U盘被插入后，在联网状态下，可以立即将收集到的信息发送给攻击者。

如果攻击者想要对被网闸隔离的网络环境运行指令，他们可以把指令通过蠕虫病毒存储在U盘的隐蔽空间。当U盘被插入目标电脑，蠕虫病毒会自动识别并运行指令。

在卡巴斯基实验室检测到的方程式黑客组织的七种攻击方式中，有四种都是利用零日漏洞实现的。其中还有卡巴斯基实验室未研究出的漏洞利用攻击方式，主要针对装有洋葱路由TOR的火狐浏览器。

卡巴斯基实验室在分析研究中还发现，在入侵过程中，方程组可以一次利用一个程序链上的十个漏洞。但其所设置的蠕虫病毒对攻击目标的尝试攻击次数总共不会超过三次，如果第一次尝试未成功，会接着进行第二次与第三次尝试，如果三次尝试都没有攻击成功，他们就会放弃攻击此目标。

另有安全专家发现，利用了曾破坏伊朗核工厂铀浓缩计划的病毒（Stuxnet）中就包含有Fanny 蠕虫病毒的漏洞入侵技术。

揭秘NSA秘密黑客组织方程式