四年多前,一个名为“影子经纪人”的神秘黑客组织开始在互联网上肆意泄露美国国家安全局的秘密黑客工具,这一事件引发的问题——是否有情报机构能够防止其“零日”库存落入错误的手中——仍然困扰着安全部门。现在,这道伤口又被重新打开了,有证据表明,中国黑客在影子经纪人(Shadow Brokers)曝光前几年就获得并使用了美国国家安全局的另一个黑客工具。
周一,安全公司Check Point透露,它发现了一些证据,表明一个名为APT31的中国组织,也被称为Zirconium或Judgment Panda,以某种方式进入并使用了一个名为EpMe的windows黑客工具,该工具由Equation group开发,这是一个安全行业的名字,指的是人们普遍认为属于美国国家安全局的高度老练的黑客。据Check Point称,2014年,这家中国集团利用2013年的EpMe代码开发了自己的黑客工具。从2015年到2017年3月,中国黑客使用该工具,该工具被Check Point命名为“剑”或“双刃剑”,直到微软修补了它攻击的漏洞。这意味着APT31可以使用该工具,这是一个“特权升级”漏洞,可以让已经在受害者网络中占有一席之地的黑客获得更深层次的访问,早在2016年底和2017年初影子经纪人(Shadow Brokers)泄密之前。
直到2017年初,洛克希德·马丁公司才发现中国使用了这种黑客技术。因为洛克希德的客户主要是美国人,Check Point推测被劫持的黑客工具可能是用来对付美国人的。Check Point网络研究主管亚尼夫•巴尔马斯(Yaniv Balmas)表示:“我们发现了确凿的证据,表明影子经纪人泄露的漏洞中有一个已经以某种方式落入了中国演员的手中。”“它不仅落入了他们的手中,而且他们将其重新利用,很可能是针对美国的目标。”
“当我们得到结果时,我们都惊呆了。”
伊泰·科恩,检查站
一位知情人士透露,洛克希德·马丁公司的网络安全研究和报告证实了有线公司发现中国的黑客工具被用于美国私营部门网络的能力—而不自己的或部分的供给链并不是美国国防工业基地的一部分,但拒绝透露更多细节。洛克希德·马丁公司发言人在回应Check Point公司研究报告的电子邮件中表示,该公司的“网络安全团队经常评估第三方软件和技术,以识别漏洞,并负责任地向开发者和其他相关方报告。”
Check Point的发现并不是中国黑客第一次据报道利用美国国家安全局的黑客工具,或者至少是一种美国国家安全局的黑客技术。赛门铁克(Symantec)在2018年报告称,美国国家安全局(NSA)的黑客工具“永恒蓝”(EternalBlue)和“永恒浪漫”(EternalRomance)利用的另一个强大的Windows零日漏洞,在被“影子经纪人”(Shadow Brokers)灾难性地曝光之前,也曾被中国黑客利用。但赛门铁克指出,在那次事件中,中国黑客似乎并没有真正获得美国国家安全局的恶意软件。相反,他们似乎看到了nsa的网络通信,并对其用来构建自己黑客工具的技术进行了逆向工程。
Check Point的研究人员说,相比之下,APT31的Jian工具似乎是由能够亲自访问Equation Group编译程序的人开发的,在某些情况下会复制任意或非功能性的代码部分。Check Point的研究员伊泰·科恩(Itay Cohen)说:“中国的漏洞复制了部分代码,在某些情况下,他们似乎并不真正了解他们复制的是什么以及它的作用。”
Rendition Infosec的创始人、前美国国家安全局黑客杰克•威廉姆斯(Jake Williams)说,虽然Check Point确定中国黑客从美国国家安全局获得了“剑”黑客工具,但关于它的来源仍有一些争论的空间。他指出,Check Point通过查看编译时间(可能是伪造的)重建了代码的历史。甚至可能会有一个失踪的、更早的样本,显示该工具起源于中国黑客,并被美国国家安全局拿走,甚至可能是由第三个黑客组织发起的。威廉姆斯说:“我认为他们说这是NSA偷来的,这是一种视场偏见。”“但不管它有什么价值,如果你要我打赌谁先得到它,我会说是国家安全局。”
Check Point表示,他们不知道APT31黑客是如何接触到NSA的黑客工具的。去年10月,谷歌报道称,APT31黑客攻击了当时的总统候选人乔·拜登的竞选活动。他们推测,中国黑客可能抓起EpMe恶意软件从中国网络方程组使用了它,从方程第三方服务器组存储它是用来对付目标没有暴露来源,甚至从方程组的网络——换句话说,从美国国家安全局内部本身。
研究人员说,他们是在挖掘旧的Windows特权升级工具时发现的,他们可以利用这些工具创建“指纹”,将这些工具归为特定的群体。这种方法有助于更好地识别在客户网络中发现的黑客的来源。Check point曾测试过其研究人员从APT31黑客工具中创建的指纹之一,并惊讶地发现,它匹配的不是中国代码,而是影子经纪人泄露的方程式组工具。科恩说:“当我们得到结果时,我们都惊呆了。”“我们发现,这不仅是相同的漏洞,而且当我们分析二进制文件时,我们发现中国版本是2013年等式组漏洞的复制品。”
这一发现促使Check Point更仔细地检查了在影子经纪人的数据转储中发现EpMe的那组工具。其中两个利用了俄罗斯安全公司卡巴斯基(Kaspersky)发现的漏洞,这些漏洞在“影子经纪人”发布之前被微软修补过。他们还指出,另一个名为EpMo的漏洞几乎没有得到公众的讨论,在“影子经纪人”(Shadow Brokers)泄密后,微软在2017年5月悄悄修补了这个漏洞。
当《连线》杂志联系微软时,微软发言人在一份声明中回应称:“我们在2017年证实,影子经纪人披露的漏洞已经得到解决。使用最新软件的客户已经受到了保护,免受这项研究中提到的漏洞的侵害。”
正如Check Point对美国国家安全局恶意软件中文版的“双刃剑”名称所暗示的那样,研究人员认为,他们的发现应该再次提出这样一个问题:情报机构是否可以安全地持有和使用零日黑客工具,而不会有失去控制的风险。“这正是一把双刃剑的定义,”巴尔马斯说。“也许这只手扣动扳机太快了。也许你应该快点修补。国家总是没有日子。但也许我们处理它们的方式……我们可能需要再次考虑这个问题。”
