認真警惕“影子經紀人” - 彭博社

並不是每天都有國家安全局級別的黑客工具被公開市場上拋售，供人免費獲取，但這就是四月發生的事情。安全研究人員表示，有證據表明黑客已經使用這些工具感染了全球數十萬台計算機，安裝了一種所謂的後門，使得這些機器幾乎可以被無限制地遠程控制。

那麼，恐慌在哪裏？與過去幾年發現的重大漏洞相比，例如 Heartbleed 漏洞，該漏洞暴露了包括雅虎公司和亞馬遜公司在內的公司的弱點，“這要嚴重十倍，”安全公司 RiskSense Inc. 的高級分析師肖恩·迪倫説，他拆解了名為 DoublePulsar 的後門工具進行研究。“行業在命名所有這些漏洞時已經發出過警告。這一個是最大的，但現在它只是淹沒在噪音中，就像，‘哦，這只是本週的事情。’”

一個名為 Shadow Brokers 的黑客組織在社交網絡 Medium 上發佈了一條 奇怪且語法不當的信息，內容是針對總統唐納德·特朗普的。該組織去年八月首次公開，當時試圖拍賣一套被廣泛認為是國家安全局黑客工具的工具。（該機構拒絕發表評論。）該組織顯然 沒有得到它想要的回應，而是上個月將整個工具包公開了。

這些工具，名稱如 EternalBlue 和 EternalRomance，利用了微軟公司 Windows 操作系統中的漏洞。微軟 在一份聲明中表示，這個問題在某種程度上已經得到控制——大多數安全漏洞在黑客緩存公開之前就已經被修補。在現實世界中，當然，企業，特別是小型企業，往往運行舊系統，不進行修補，甚至可能對問題毫不知情，這意味着 Shadow Brokers 的工具仍然有效。

Dillon 發現了 DoublePulsar 的工作原理，這可能是最強大的工具。它在內核模式下運行，這是操作系統的底層，通常對用户是不可見的，並且很難編寫代碼，一旦打開，它幾乎可以讓黑客對系統進行無限制的控制。

“這是一種你在非常特殊、隱秘的網絡任務中很少見到的東西，”Dillon 説。“這就像是一個政府會保護的寶石，而現在它卻在互聯網上被廣泛傳播。”他説他和他的同事在數十個客户的計算機中發現了 DoublePulsar，包括初創公司、政府機構，以及至少一家財富 100 強公司。“每個主要的惡意軟件家族——殭屍網絡、間諜軟件、銀行惡意軟件——他們都會將其納入攻擊中。”

BinaryEdge，一家瑞士安全公司，表示它在 4 月 27 日發現了 428,827 個 DoublePulsar 感染病例，較 4 月 21 日的 106,410 個有所增加，方法是掃描連接到互聯網的計算機。安全公司 Phobos Group 的創始人 Dan Tentler 表示，他掃描的 450 萬台計算機中大約三分之一仍然存在漏洞。“我們看到這些數字的原因是，企業沒有壓力去修補，”他説。“人們在受到影響之前不會認真對待這個問題。”

在這篇Medium文章中，Shadow Brokers聲稱自己是失望的特朗普支持者。無論該組織對華盛頓的感受如何，其所掌握的資料對犯罪分子來説是一個巨大的禮物，安全公司Recorded Future Inc.的情報與戰略副總裁Levi Gundert表示。“被曝光的信息幾乎從未如此相關和有價值，”Gundert説。

Recorded Future一直在跟蹤關於這些工具的消息流量，主要在俄羅斯黑客論壇和中文網站上。Shadow Brokers發佈這一大量資料後三天，關於如何使用EternalBlue和DoublePulsar的詳細教程已經在一個頂級黑客論壇上流傳。“這一影響將持續多年，”Gundert説。“如果你看看2007年、2008年和2009年出現的一些蠕蟲，它們至今仍然存在。”

結論： Shadow Brokers發佈的黑客工具可能已經感染了超過400,000台計算機，並且可能很難清除。