一年前,“影子经纪人”组织在互联网上发布一大批意外流出的美国国安局(NSA)黑客工具时,大多数研究这些材料的专家都注意到了其中最为显著的工具类型——即刻意囤积且用于安装恶意软件并接管目标设备的零日漏洞攻击手段。然而,来自匈牙利的几位安全研究人员还从数据当中发现了其它一些值得关注的内容——事实证明,美国国安局亦在主动检测受感染设备上来自其它国家黑客的脚本与扫描工具。
根据目前的情况来看,这些脚本及工具与此前曝光的安全漏洞同样值得关注。研究人员们指出,单在2013年(也就是国安局工具被‘影子经纪人’窃取的那一年),其已经至少在对45个由国家支持、在安全领域被称为高级持续威胁(简称APT)的黑客集团进行追踪。其中一些黑客组织确实得到了安全界的广泛关注,但仍有相当一部分一直潜藏在安全研究人员的视野之外。
由“影子经纪人”发布并受到匈牙利研究人员关注的这批脚本与扫描工具,是由美国国安局内的领土争端(Terditorial Dispute,简称TeDi)小组所创建。有消息人士爆料称,国安局于2007年初步确认是来自中国的黑客从美国国防承包商手中窃取到美国军方的联合攻击机设计图及其它敏感数据。而作为专门负责发现并应对复杂民族国家支持型攻击活动的团队,该小组本应将这类活动扼杀在摇篮当中。
一位情报界人士在采访中透露,“他们的目标本来应该是以实时方式发现信息失窃状况,但实际上他们却花了五年时间才意识到自身遭遇入侵。”
不过他们的任务也由此转变为向国安局黑客提供态势感知能力,帮助他们了解其它国家支持型黑客集团何时曾尝试入侵美国的关键信息系统。国安局方面目前尚未对此事发表评论。
“他们的目标本来应该是以实时方式发现信息失窃状况”
当国安局大肆入侵位于伊朗、俄罗斯、中国以及其它国家及地区计算系统的同时,其幕后操纵者自然也希望了解外国间谍是否也在这些设备上执行着同样的情报收集工作。毕竟事实证明,黑客确实有能力从国安局手中窃取工具甚至追踪国安局在这些设备上的谍报活动。这意味着如果其他黑客的活动太过激进或者鲁莽,则可能导致国安局的行为也遭到曝光。因此,国安局会考量目标设备上其他黑客的行动,并据此决定退出或者以更为谨慎的方式实施监控。事实上,领土争端小组的相关数据中还包含一些警告及其它注释,指导操作人员在发现值得关注的某些特定恶意软件时采取适合措施——例如“未知,请退出”指示操作人员不要触动某特定文件; “危险恶意软件——请尽快求助”与“友好工具——请尽快求助”的含义则更为明确。
熟知该项目的另一位情报人士在采访中表示,“他们开始担心所入侵的设备上还存在其他同样试图窃取情报,或者可能发现我们行动的入侵者。因此必须想办法避免这类状况的发生。”
领土争端小组所使用的脚本会通过数字签名来捕捉APT参与者。这些签名如同黑客集团的指纹——其中可能包含高级威胁攻击者曾反复使用的特定文件名称或已知恶意软件代码片段,或者已知黑客组织对设备核心操作系统设置作出的特定修改。这些元素被安全社区称为“违规指标”,或简称IoC。
国安局所使用的脚本当中,各高级威胁集团并没有通过研究团体经常使用的名称进行识别——相反,国安局将其称为Sig 1、Sig 2等等。但匈牙利的研究人员们去年已经通过该脚本尝试将其与已知恶意软件样本以及高级威胁集团进行匹配,同时研究了国安局编号列表当中的签名顺序,旨在确定领土争端小组何时将特定活动添加至列表当中,同时分析国安局是否抢在安全社区之前发现了某些恶意活动。
在其中,我们看到一起涉及所谓Dark Hotel高水平黑客集团的案例。该集团被认定来自韩国,并以各亚洲实体作为攻击目标。就目前的情况看,美国国安局可能于2011年追踪了该团体使用的一部分工具,这一时间点要比安全社区的发现时间早了三年。
来自加密与系统安全实验室(简称CrySyS实验室)的Boldizsár Bencsáth表示,“这就带来了新的问题,即美国国安局是否应该透露或公布关于这些未知黑客组织的信息。”
由Bencsáth领导的研究小组包括他在实验室中的同事以及来自匈牙利安全厂商Ukatemi的研究人员。CrySyS实验室因其在2011年发现以色列间谍工具Duqu而闻名——据信,该工具由以色列黑客所开发,而这批黑客还曾开发出被用于破坏伊朗核设施的“震网(Stuxnet)”病毒。
Bencsáth的团队计划在本周于墨西哥坎昆召开的卡巴斯基安全峰会上发布关于国安局脚本的调查结果,并希望其他研究人员也能够参与到数据挖掘工作中来,从而发现国安局正在进行追踪的更多高级威胁集团。此外,该团队亦希望这些信息能够帮助行业对此前已经被安全社区所发现、但尚未归入特定威胁集团的恶意软件样本及签名进行分类。截至目前,该团队只能确定少数高级威胁集团的身份,而对其它集团则仅抱有较为可信的猜测。
该团队在报告当中指出,“根据目前的结果来看,一部分攻击活动以及样本将被确定为以往未知或者至少部分未知的APT攻击活动的组成部分。”
Bencsáth指出,在大多数情况下,尽管安全研究人员往往需要使用数十、数百甚至数千项违规指标才能确定某一黑客集团,但国安局仅使用两到五项违规指标即可得出结论。一位知情人士解释称,美国国安局只需要少数高质量签名即可发现APT的真实身份。他指出,“对于任何特定群体而言,我们实际上并不需要采集数千条签名。领土争端小组的成员只需要专注于其中两到三项,往往就足以发现目标APT的动向。”
美国国安局当然不会仅仅通过扫描国外威胁来源以保护自身行动; 他们亦希望观察外国黑客到底在窃取哪些信息,且具体选择怎样的手段。这类扫描还能够帮助国安局在特定地理区域(例如缺少必要入侵基础的情况)内发现高价值目标。
一位知情人士在采访中表示,“在某些区域,我们可能不具备得出结论的能力。因此必须首先判断我们所入侵的目标设备是否正确。”判断的方式非常简单,如果多个威胁来源盯上了同一台设备,那么其很可能属于有价值目标。
事实上,在高价值系统上发现多个高级持续威胁集团活动迹象的状况并不罕见。2014年3月,卡巴斯基实验室就在中东一家研究机构的某台设备上发现了多个组织。卡巴斯基方面将其称为“威胁磁铁”——除了被认定为英国间谍工具包的Regin之外,他们还在这里发现了美国国安局“方程式小组”的恶意软件、来自以色列Flame的恶意模块、据信隶属于法国情报组织的Animal Farm、来自某西班牙语民族国家的Careto(亦称Mask)以及来自俄语国家恶意集团Turla。
领土争端小组按顺序为这些APT创建签名; 根据一位知情人士爆料,无论何时发现新的攻击活动或者出现了疑似与高级威胁集团相关的异常事件,他们都会为其创建新的签名。尽管该小组最初专注于追踪来自中国与俄罗斯的黑客组织人,但随着Bencsáth团队调查的深入,包括以色列甚至美国本土在内的其它国家黑客集团也逐渐出现在追踪列表当中。
根据Bencsáth团队的发现,Sig 1是该清单于2007年创建时被添加的第一份国安局恶意软件签名,而其指向的正是Agent.btz。Agent.btz蠕虫据信曾通过U盘入侵美国国防部高安全性秘密互联网协议路由器(简称SIPR)网络以窃取机密信息。这块U盘是一名美军士兵从阿富汗的一家网吧中所捡到,而这起“美国军方机密计算机系统层面发生过的最严重的违规行为”的幕后黑手则被归咎于俄罗斯。
Bencsáth的团队认定,Sig 25应该指的正是被研究人员们称为Dark Hotel(亦称Tapaoux)的威胁集团。作为全球顶级黑客组织之一,该集团自2007年以来一直保持活跃,攻击目标主要指向各企业知名高管、政府机构以及非政府组织,而区域选择则集中在朝鲜、日本以及印度等有意发现核项目的亚洲国家。卡巴斯基实验室全球研究与分析团队主管Costin Raiu表示,“他们的目标以核项目为中心,但同时亦瞄准美国的国防工业基地,以及来自世界各地与经济发展及投资有关的重要高管人员。”Raiu带领的团队曾于2014年暴光了一系列由Dark Hotel实施的攻击活动,并发现其很可能来自韩国。
一位知情人士在采访中表示,清单中的Sig 16为来自以色列的APT集团。匈牙利研究人员们认定,该签名指向的正是打造Flame的幕后黑手。Flame是卡巴斯基实验室于2012年发现的一套大型间谍工具包,有证据表明其开发者还曾于2007年开发出“震网”病毒。
根据Bencsáth团队的发现,国安局名单上的Sig 8所入侵的设备中似乎也存在震网病毒的感染迹象。
美国国安局为什么要追踪那些被其自有恶意软件或黑客盟友所入侵的设备?这是因为包括英国、加拿大、澳大利亚、新西兰以及美国自身的“五眼联盟”当中,各国皆在广泛使用美国开发的黑客工具以解决某些冲突事件。在这样的背景之下,各国的工具很可能会在同一台目标设备上“激情碰撞”。不过根据知情人士透露,意外仍然时有发生——在发现震网病毒开始以无法控制的速度迅猛传播之后,领土争端小组于2010年增加了相关签名,从而将震网病毒的存在正式公诸于众。
这位官员表示,“这属于必要的清理工作。”
这一切也再次印证了国安局工作人员在扫描APT集团时,仅能收到“模糊指示”的理由。震网病毒是一种高度机密且控制要求严苛的攻击手段,仅为美国政府及国安局的一小部分人员所知晓,因此直接告知操作人员Sig 8所使用恶意软件的属性很可能导致整个攻击体系遭到外泄。为了防止此类问题的发生,这位前情报官员表示,实际操作人员在大多数情况下都被蒙在鼓里。
他总结称,“那些负责操作系统的人员会根据指令运行这些脚本,借以查看相关工具是否存在——但也仅此而已,工作人员根本不知道工具的详细信息。”
本文翻译自TheIntercept
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
