曾挑战最顶尖黑客团队“方程式组织”

感染勒索软件病毒的笔记本电脑。

美国国家安全局大楼。

美军网络部队

5月12日，全球多国网络遭到名为“”的勒索软件攻击。 据统计，涉及中国、英国、西班牙、俄罗斯等数百个国家和地区。 计算机被勒索软件感染后，文件将被加密和锁定，只有支付黑客所需的赎金后才能解密和恢复。 攻击目标甚至包括医院、大学等公益机构。 欧洲刑警组织表示，网络攻击“达到了前所未有的水平”。

据《华盛顿邮报》报道，人们普遍认为该病毒是美国国家安全局（NSA）此前泄露的黑客渗透工具之一 Blue 的升级版。 网络专家表示，该文件被一个名为 的黑客组织窃取。

据此前报道，影子经纪人窃取的黑客工具远不止“永恒之蓝”。 他们声称入侵了美国国家安全局的网络武器库，并获得了大量的互联网攻击工具。

影子经纪人最近宣布，将开始披露更多6月份从美国国家安全局窃取的黑客工具和情报，其中包括有关俄罗斯和其他国家核计划的信息。

挑战顶级黑客团队“方程式组织”

历史资料显示， 于2016年8月首次在互联网上出现。这个神秘的黑客组织宣布突破了NSA防火墙，并公布了Cisco ASA系列防火墙和Cisco PIX防火墙中的漏洞。

据《连线》报道，影子经纪人在推特上公然表示，他们将提供一些网络攻击和黑客工具的免费下载，而这些攻击武器来自另一个黑客团队“方程式组织”。

“方程式组织”隶属于美国国家安全局，被称为美国国家安全局的网络武器库。 业内人士表示，“方程式组织”是世界顶级的黑客团队，这个团队的加密水平是无与伦比的。 2010年摧毁伊朗核设备的震网病毒和火焰病毒也被广泛认为来自“方程式组织”。

网络安全厂商卡巴斯基2015年发布监测报告称，“公式组织”是全球技术最先进的黑客组织之一。 它在网上活跃了近20年，是网络间谍活动中的“皇冠制造者”。 当年，卡巴斯基在全球42个国家发现了“方程式组织”的500个感染行为。 同时，卡巴斯基也表示，这只是冰山一角。 由于这个黑客团队制造的“武器”具有超强的自毁能力，所以大多数攻击完成后都不会留下任何痕迹。

黑客中的“军火商”

在声称窃取了方程式的攻击武器后，影子经纪人开始在网上拍卖这些文件。

影子经纪人表示，如果他们收到超过100万个比特币，他们将发布更多他们已经拥有的黑客工具。 但那次拍卖最终只拍出了价值 25 美元的比特币。

2016 年 10 月， 停止销售并发起了类似众筹的活动。 他们表示，如果最终达到10000个比特币的众筹目标，他们将为每个参与众筹的人提供一个黑客工具。 两个月后，该团体的众筹尝试再次失败。

但影子经纪人并没有放弃从这些文件中赚钱的努力。 然后他们开始在 Zer-oBin 上少量销售黑客工具。 2017年1月，该组织以750比特币的价格出售了一批能够绕过防病毒软件的黑客工具。

有媒体评论称，“影子经纪人”就像黑客中的军火商。 他们经常出售先进的攻击武器，有时还出售重要的世界军事和政治信息。 他们喜欢在竞争对手中出售武器。 当顾客发现对手的攻击能力与自己相同后，自然会成为“影子经纪人”的回头客，以购买更新的“武器”和装备。

今年4月8日，影子经纪人在博客网站上发表博文，披露了方程式组织集团（一个为美国国家安全局提供服务，专门从事境外间谍活动的组织）的黑客工具包，该组织未能成功多次拍卖 - EQ-GRP。 ——文件）。 现在任何人都可以解密该文件并获得其中有价值的东西。

美国国家安全局信息泄露

继2016年拍卖失败后，影子经纪人最重要的释放发生在今年4月中旬。 该组织声称已获得有关 NSA 黑客工具的详细信息。 据称，美国政府利用这些工具入侵国际银行系统并侦查国家之间的冲突。 资金流向，监控中东和拉美国家银行之间的资金流向。

影子经纪人从“方程组织”获得的300M泄露文件显示，黑客工具主要针对微软系统和配备环球银行金融电信协会（SWIFT）系统的银行。 这些恶意攻击工具包括恶意软件、专有攻击框架和其他攻击工具。 根据已知信息，23个微软系统漏洞涉及至少12个攻击工具，而此次引发勒索病毒的“永恒之蓝”只是这12个其中之一。

不过，SWIFT 随后否认遭到黑客攻击。

英国广播公司称，如果4月份曝光的信息和工具被证实来自美国国家安全局，这将是美国国家安全局自“棱镜”事件以来遇到的最严重的“泄密”。

《连线》报道称，就连前国家安全局雇员爱德华·斯诺登也认为影子经纪人窃取了国家安全局的“武器库”似乎是真的。 该组织提供的恶意软件包含与 NSA 在内部文件中使用的相同的 16 个字符标识符。

谁是影子经纪人？

尽管在互联网上掀起了波澜，但没有人知道影子经纪人是谁。

此前，斯诺登曾在推特上发表一系列分析称，NSA恶意软件的分段服务器攻击并非史无前例。 他认为，根据间接证据，影子经纪人与俄罗斯当局有关。 不过，路透社在评论文章中表示，如果俄罗斯是影子经纪人背后的力量，那么俄罗斯就不会披露数据盗窃事件。

美国著名作家、记者詹姆斯·班福德分析，影子经纪人可能来自美国安全部门内部人士。 在斯诺登2013年发布的NSA相关文件中，出现了与影子经纪人泄露的内容相同的代码——名为-Date-3021.exe的恶意软件中的一串数字。

一份语言分析报告显示，“影子经纪人”的英语使用存在明显错误，显然是为了迷惑他人，让人们误认为该黑客组织成员的母语不是英语。 英俄双语翻译家阿列克谢·科瓦列夫（ ）也同意这一观点：“有太多瑕疵表明作者的母语是英语。”

有关的

大数据安全隐患多，如何保障？

大数据背后隐藏着哪些风险？ 用什么技术来“守护”和“锁定”大数据？ 保护大数据安全还需要付出多少努力？ 国内多位大数据领域权威专家和企业家表达了对数字安全和风险防控的看法。

近50%的数据可能面临泄露风险

任何新技术都是一把双刃剑。 大数据带来变革的机遇，但也带来更多的风险。

2016年9月，雅虎因自身安全漏洞被网络黑客利用，5亿雅虎用户信息被泄露。 我国多个招生考试机构考生网站遭到攻击，导致大量考生信息泄露，引发诈骗、盗窃等各类刑事犯罪。

前不久肆虐全球的勒索病毒就是通过互联网端口进入病毒程序，对重要文件进行加密，然后进行勒索。 攻击目标直接锁定用户数据。 这种攻击方式其实就是最初为了保护数据安全而设计的密码技术。 这些都提醒人们保护大数据安全刻不容缓。

中国科学院院长白春礼表示，当前近50%的数据可能面临泄露风险，大数据安全给人们带来新的挑战。

奇虎360副总裁石晓红认为，大数据面临诸多威胁，包括基础设施安全、系统漏洞和后门、外部攻击和秘密窃取、数据资产泄露、内部未授权访问、非法交易等。风险存在于大数据采集、传输、存储、应用的整个生命周期。

中国电子信息集团首席网络安全专家、大数据国家工程实验室副主任董贵山告诉记者，采集涉及到如何保证采集方式的可靠性和信息的真实性； 传输涉及如何保证数据不被窃取、劫持和篡改； 要存储和共享不同来源的数据，就必须解决安全共享和交换的问题。 进一步需要解决数据的所有权、操作权、使用权确权和应用监管问题，以及解决异构数据的分级保密和集中存储。 可用性保证问题； 应用程序需要考虑如何根据不同的应用需求针对敏感数据制定不同的脱敏策略，并为大数据应用提供统一的安全服务接口和安全可视化方法。

核心技术不能被别人控制

中国工程院院士倪光南认为，保障大数据安全不仅需要个体网络信息技术的突破，更需要在信息技术系统和机器生态系统的竞争中获胜。 他表示，我国已经是互联网大国，但还不是互联网强国。 我国的信息基础设施以及信息化所需的软件、硬件和服务大部分来自国外企业。 由此产生的基础设施或信息系统就像海滩上的建筑，受到攻击时其防御能力非常脆弱。 “因此，只有构建安全可控的信息技术体系，才能实现核心技术不被别人控制、命运掌握在自己手中的目标。”倪光南说。

中国工程院院士沉昌祥提出主动免疫可信计算可以解决大数据安全问题。 他说，人体有很多缺陷，我们之所以能够健康生活，是因为我们的免疫系统。 大数据需要有密码保护的可信计算环境、可信边界、可信保护和管理中心。 只有构建这样的安全管理体系，才能应对各种利用漏洞的攻击。 这最终会让攻击者很难进去，而且攻击者一旦进去就很难得到东西，并且会得到他们无法理解的安全防护效果。

“认证、加密、授权、资源访问控制等传统安全防护方式也能在大数据安全中发挥作用，但大数据时代需要更适应大数据应用场景的安全服务。” 董桂山认为，利用密码技术进行数据安全的核心关注点包括网络空间实体的身份管理和信任、围绕数据保护的大规模密码服务以及大数据应用的用户密钥管理服务和安全监管。 它们都属于安全部门的范围。 综上所述，它们是网络系统、数据处理平台系统、应用系统内生的安全基因，针对整个数据生命周期实施动态防御策略。

保护大数据安全需要综合策略

多位专家表示，成功保卫大数据安全不仅需要技术，更需要综合策略。

“从发达国家的经验来看，信息安全与信息化建设同步发展。在国外，数据安全投资约占信息化建设总投资的9%至15%，而我国目前还没有达到这个比例。” ” 北京力思辰信息安全技术集团副董事长周锡柱建议进一步加大对大数据安全的投入和支持。

“首先要做好顶层立法和战略规划。” 中国信息安全评测中心专家委员会副主任黄殿忠表示，要坚持将数据网络纳入网络数据，明确治理权、管理权划分，落实相关法律法规，加快推进立法工作关于数据资源权利和个人信息保护。 明确大数据利用各方的权利、责任和义务。

“同时，建立符合国家需求的大数据资源分级管理办法，进一步完善数据安全管理体系，实现大数据资源采集、传输、存储、利用的标准化管理。” 黄殿忠建议，研究出台大数据安全审查办法，加大对重点行业、重点领域大数据的审查评估，全力推进大数据预警检测和行业监管。

黄殿忠建议，要积极构建自主可控的大数据产业链和技术研发，让自主软硬件产品有条件、有渠道进入采购市场，确保涉及国家核心信息的高科技保障利益，确保大数据能够再次恢复。 发展又好又快。

黑客攻击盘点

2011年4月

索尼不同部门经历过多起黑客事件，导致7700万信用卡账户被盗。

2014年4月

（）漏洞是近年来影响最广的高危漏洞，涉及各大网银、门户网站等。

2014年8月

温州部分城市有线电视网络系统用户的机顶盒被黑，出现一些反动宣传内容，影响了群众正常收看电视。

2014年10月

7600万摩根大通客户和700万小企业用户的联系信息被黑客窃取。

2014年12月

五云漏洞举报平台通报称，12306条用户数据在互联网上广泛传播，包括用户账号、明文密码、身份证号码、手机号码、电子邮箱地址等。

2015年2月

美国一家健康保险公司数千万客户信息被黑客窃取。

2015年9月

发出预警称，当开发者使用非苹果官方渠道的Xcode工具开发苹果应用程序（Apple APP）时，恶意代码将被植入到正常的Apple APP中。

2016年8月

一个名为“影子经纪人”的神秘黑客组织声称，他们已经成功攻击美国国家安全局，并获取了美国国家安全局内部信息以及“方程式组织”使用的攻击工具包。 并在网上分享了他们窃取的一些网络战利品。

美国其他网络武器

1991年

在海湾战争前几周，美国情报间谍将美国国家安全局设计的计算机病毒植入伊拉克计算机网络，导致伊拉克防空系统瘫痪。

2007年

美军在伊拉克大规模增兵时，美国国家安全局利用网络手段干扰反美武装的手机、移动电脑信号，发出虚假情报，扰乱对方计划。攻击美军，有时还会导致反美武装陷入美军的埋伏陷阱。

2010年

美国和以色列联合对伊朗实施了震网行动。 此类病毒利用工控系统软件的漏洞，代其向生产线“发号施令”。 同时，病毒还具有“掩盖事实真相”的功能。

2011年

英国媒体称，2010年肆虐全球网络空间的“超级工厂病毒”是“超级网络武器”。 当年，我国近500万互联网用户和多家行业龙头企业遭受该病毒攻击。 本质上，这是一种计算机病毒，但据专家分析，美国政府是主要嫌疑人。

2012年

外媒报道称，当年6月初发现的、多次攻击伊朗能源设施的“火焰”计算机病毒是美国和以色列联合开发的，旨在窃取伊朗计算机网络情报。

NSA“网络武器库”中的黑客工具主要分为三类：

1、破坏性武器，即通过网络释放一些病毒，瘫痪、破坏对方整个计算机网络或城市。

2、类似于木马程序，植入计算机网络中，可以监控你每天的一举一动，盗取你的相关文件。 这类武器对电脑的正常运行不会产生影响，但它会窃取、监控和监视。 危害是很大的。

3.根据植入者的意图，可以起到监视作用或窃取机密材料。 在某些条件下，它还可以发出指令破坏整个计算机网络或其中的所有程序或文件。