FreeBuf 最近一次报道Shadow Brokers 的消息是在今年 1 月份,当时 Shadow Brokers 似乎已经“决定退隐江湖”。就在昨天,这个神秘组织又放出了据说是属于 NSA 方程式的更多入侵工具和 exploit。
首先我们还是来简单地做个前情提要,去年 8 月份这个名叫 Shadow Brokers 的黑客组织横空出世,在网上放出据说是来自 NSA 的一波入侵工具——专家在研究过这些工具后认为,此系列工具隶属于 NSA 旗下的方程式组织。当时 Shadow Brokers 将工具打包成了 2 部分,其中一部分 300MB 提供免费下载,另外一部分加密文档则以 100 万比特币的价格出售。
安全专家对 300MB 的免费文档进行了分析,虽然文件的时间戳都是 3 年前的了,但挖掘出一系列针对思科、Juniper、天融信等厂商安全产品的 0day 漏洞利用工具,还有其他各种曝光的 exploit 当时引发了不小的轰动。不过 100 万比特币这个价格实在是高的有点离谱,所以收费的文档几乎没什么人为之掏钱。去年 12 月份,Shadow Brokers 改变销售模式,将这些工具放在地下网站直销,分成“exploit”“木马”等等分类,每一份价格在1-100 比特币之间,不过销售成绩实际也不算好。
现在就能免费下载解密
所以就在昨天,Shadow Brokers 在题为《Don’t Forget Your Base》的博文中公布了先前那份要价 100 万比特币的加密文档的密码,现在任何人都可以下载这份文件,密码如下:
CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN
值得一提的是,Shadow Brokers 的这篇博文实际上是致美国总统川普的一封公开信,不仅包括上述密码的公开,还表达了对于川普近期的一些作为、事件的看法,比如像是高盛(Goldman Sach)、对叙利亚的打击以及相关国家安全委员会的 Steve Bannon。
“你 TMD 在干嘛?TheShadowBrokers 投票给你了,TheShadowBrokers 也支持你了,TheShadowBrokers 正在对你失去信心。川普先生,帮帮忙,也帮帮你自己。你正不断失去‘你的底限’‘行为’和选择你的那些人。”
里面到底有什么?
安全专家@x0rz 已经在 GitHub 上传了解压后的所有文件(点这里!!!),他对这些文件进行了分析(目前还在 Twitter 进行分析更新),发现了不少工具针对某些特定平台作了开发,比如说:
Solaris 操作系统 rpc.cmsd 远程 root 0day exploit(据说可能影响到华为部分设备,还有入侵中国运营商的记录信息);
NSA 入侵了巴基斯坦移动运营商 Mobilink 内部 GSM 网络;
NSA 的特定入侵行动小组(TAO)采用 TOAST 框架来清除 Unix wtmp 事件日志,no logs no crime;
方程式组织采用 ElectricSlide 工具,伪装成中国浏览器发出 HTTP 请求(看上图 Accept-Language,咱总是被嫁祸…);
方程式组织很喜欢 Perl,然后才是 Shell 和 Python;
280 个受威胁的 IP,具体点这里,注意看里面有N多中国的 IP,注意上面!!!
预计很快还会有更多相关这份公开文件的分析,而且现在并不清楚 Shadow Brokers 手上是否还有更多 NSA 入侵工具,以及这是否是最后一波 Shadow Brokers 公布的文档。在这个 CIA 的好戏还没有唱罢的时刻,NSA 的好戏也还在今年继续上演,美国的情报机构当真是不负众望的。
工具地址重申一次:https://github.com/x0rz/EQGRP
参考来源:TheHackerNews、SecurityAffairs、微信公众号“懒人在思考”,欧阳洋葱编译,转载请注明来自 FreeBuf.COM