认真警惕“影子经纪人” - 彭博社

并不是每天都有国家安全局级别的黑客工具被公开市场上抛售，供人免费获取，但这就是四月发生的事情。安全研究人员表示，有证据表明黑客已经使用这些工具感染了全球数十万台计算机，安装了一种所谓的后门，使得这些机器几乎可以被无限制地远程控制。

那么，恐慌在哪里？与过去几年发现的重大漏洞相比，例如 Heartbleed 漏洞，该漏洞暴露了包括雅虎公司和亚马逊公司在内的公司的弱点，“这要严重十倍，”安全公司 RiskSense Inc. 的高级分析师肖恩·迪伦说，他拆解了名为 DoublePulsar 的后门工具进行研究。“行业在命名所有这些漏洞时已经发出过警告。这一个是最大的，但现在它只是淹没在噪音中，就像，‘哦，这只是本周的事情。’”

一个名为 Shadow Brokers 的黑客组织在社交网络 Medium 上发布了一条 奇怪且语法不当的信息，内容是针对总统唐纳德·特朗普的。该组织去年八月首次公开，当时试图拍卖一套被广泛认为是国家安全局黑客工具的工具。（该机构拒绝发表评论。）该组织显然 没有得到它想要的回应，而是上个月将整个工具包公开了。

这些工具，名称如 EternalBlue 和 EternalRomance，利用了微软公司 Windows 操作系统中的漏洞。微软 在一份声明中表示，这个问题在某种程度上已经得到控制——大多数安全漏洞在黑客缓存公开之前就已经被修补。在现实世界中，当然，企业，特别是小型企业，往往运行旧系统，不进行修补，甚至可能对问题毫不知情，这意味着 Shadow Brokers 的工具仍然有效。

Dillon 发现了 DoublePulsar 的工作原理，这可能是最强大的工具。它在内核模式下运行，这是操作系统的底层，通常对用户是不可见的，并且很难编写代码，一旦打开，它几乎可以让黑客对系统进行无限制的控制。

“这是一种你在非常特殊、隐秘的网络任务中很少见到的东西，”Dillon 说。“这就像是一个政府会保护的宝石，而现在它却在互联网上被广泛传播。”他说他和他的同事在数十个客户的计算机中发现了 DoublePulsar，包括初创公司、政府机构，以及至少一家财富 100 强公司。“每个主要的恶意软件家族——僵尸网络、间谍软件、银行恶意软件——他们都会将其纳入攻击中。”

BinaryEdge，一家瑞士安全公司，表示它在 4 月 27 日发现了 428,827 个 DoublePulsar 感染病例，较 4 月 21 日的 106,410 个有所增加，方法是扫描连接到互联网的计算机。安全公司 Phobos Group 的创始人 Dan Tentler 表示，他扫描的 450 万台计算机中大约三分之一仍然存在漏洞。“我们看到这些数字的原因是，企业没有压力去修补，”他说。“人们在受到影响之前不会认真对待这个问题。”

在这篇Medium文章中，Shadow Brokers声称自己是失望的特朗普支持者。无论该组织对华盛顿的感受如何，其所掌握的资料对犯罪分子来说是一个巨大的礼物，安全公司Recorded Future Inc.的情报与战略副总裁Levi Gundert表示。“被曝光的信息几乎从未如此相关和有价值，”Gundert说。

Recorded Future一直在跟踪关于这些工具的消息流量，主要在俄罗斯黑客论坛和中文网站上。Shadow Brokers发布这一大量资料后三天，关于如何使用EternalBlue和DoublePulsar的详细教程已经在一个顶级黑客论坛上流传。“这一影响将持续多年，”Gundert说。“如果你看看2007年、2008年和2009年出现的一些蠕虫，它们至今仍然存在。”

结论： Shadow Brokers发布的黑客工具可能已经感染了超过400,000台计算机，并且可能很难清除。