安全研究人员发现一批15年前黑客工具，疑为NSA制造

安全研究人员发现一批过去15到20年前用于非法入侵了成千上万台目标电脑的高度复杂的黑客工具。安全专家认为，这些使用的恶意程序和漏洞毫无疑问属于美国国家安全局制造并利用。

如俄罗斯安全公司卡巴斯基所怀疑的那样，负责NSA恶意软件分析的首席技术专家之一的克劳迪奥在爱德华·斯诺登之后泄密之后表示，虽然有明显的迹象表明这是NSA口中所说的“方程式”黑客组织以及美国政府的行动，但已分析出是NSA制造的恶意软件。他相信卡巴斯基目前所有的恶意软件分析细节都能把之前的研究细节给补全，尽管深入程度不同。克劳迪奥告诉我们方程式攻击一定是美国情报局的工作，他注意到卡巴斯基发现的“GROK”工具是UNITEDRAKE的键盘记录组件，它也连接到Regin（另一个属于西方情报机构的复杂恶意软件）。

据俄罗斯杀毒软件商所说，其中一个更令人吃惊的组件能修改超过12个品牌的硬盘固件，包括希捷、西部数字公司WDC+1.34%、东芝、迈拓和IBM IBM+1.82%。这将让进攻者不断入侵受害者的电脑并且在电脑上设置只有黑客可以访问后门。

GRAYFISH工具兼容包括win8的所有版本Windows，是另一种更令人印象深刻的恶意软件类型。它生成于微软 MSFT+1.93% 储存电脑大部分活动和设置的注册表中。GRAYFISH使用暗云木马技术驻留操作系统低层并能在每次电脑启动时运行。这是卡巴斯基发现的最复杂的bookit（暗云木马技术）。GRAYFISH也盗取文件到它加密的虚拟文件系统（VFS）。

恶意程序家族

然后是令人不安的Fanny蠕虫。它利用两个先前0day漏洞来攻击木马，其中一个为震网病毒所利用，美国与以色列制造震网病毒来感染并破坏伊朗核工厂铀浓缩计划。这两个漏洞是在震网出现之前用于Fanny，而且很有可能是伴随工具，Fanny找到了电脑未经网络直接连接的“空隙”。震网必须要克服这个空隙。Fanny使用一个独特的命令控制在感染的USB闪存盘上建立一个隐藏存储区。Fanny侦测到没有网络连接时它将记录系统信息。当闪存盘连接到一台联网机器上时，它就将信息传回给攻击者。这将让他们洞悉如何滥用系统空隙。

GRAYFISH已经代替了另一个2003至2013年间开发的高度复杂工具EQUATIONDRUG。在上传EQUATIONDRUG之前，它能够确认目标是否值得利用。史诗般的35款不同插件和18种驱动程序让黑客完全控制操作系统。

匿名网络Tor看起来似乎也已经成为方程式组织的攻击目标。卡巴斯基说他们已经针对Tor用的浏览器Firefox17观测到利用“未知的漏洞，可能为0day”。

NSA似乎在2009年Aurora攻击中也利用漏洞来对抗谷歌和其它美国公司，在阿富汗用来对抗“政府用户”。

受害者跨越广泛行业，从军事到能源再到核研究。有一位特殊的目标是一名科学家，他通过会议组织者寄的一张CD而被感染。其它很多人通过网页开发和基于USB被感染。已知超过500人——尽管卡巴斯基认为上千人以上被感染，因为攻击平台包含一个在多数场合可能执行的自毁机制。

受害者地图

虽然很多人回避直接原因，这项研究似乎在一定程度上揭露了许多都是真实的：美国拥有广泛而复杂的网络工具，可用于对付大范围目标。“这是复杂的下一个级别，比Regin复杂的多，”来自安全公司Alien Vault的Jaime Blasco补充道。

更新：NSA做出如下声明：“我们看到了最近发布的报道。我们不准备对报道做公开评论或讨论任何细节。2014年1月17日，总统给了我们信号情报活动的详细地址，同时他发布第28条总统政策指令（PPD-28）。正如我们已经公开确认多次那样，继续遵守总统演说和PPD-28中做出的承诺。美国政府呼吁我们情报机构保护美国、它的公民以及盟友以免受大量严重威胁——包括基地组织、ISIL和其他恐怖分子的阴谋；大规模杀伤性武器的扩散；外国对我们及盟友的侵略；以及国际犯罪组织。”

原文链接：http://www.forbes.com/sites/thomasbrewster/2015/02/16/nsa-equation-cyber-tool-treasure-chest/