【国际资讯】影子经纪人再次归来，公开密码解密更多NSA黑客工具

TheShadowBrokers 泄露美国NSA黑客工具包事件回顾

还记得TheShadowBrokers吗？之前窃取美国NSA大量黑客工具（包括恶意软件、0day等）的黑客组织。就在去年的时候，该组织就免费发布过一些这部分工具。相关文章可以在 安全客 上搜索 影子经纪人。在2016年八月，这个组织首次露面，他们开始拍卖他们窃取来的黑客工具。Shadow Brokers还说，如果他们收到超过100万比特币（5.68亿美元），他们最终会释放他们已经拥有的更多的黑客工具。拍卖最终获得了价值25美元的比特币，并在2016年10月份，该组织取消了销售，并开通了类似众筹的活动，当最终他们收到10,000比特币（630万美元 ）后将提供给每一份参与众筹的人一份黑客工具。12月份，该组织取消了失败的众筹尝试，并开始在ZeroBin上较小批量销售黑客工具。2017年一月份，该组织又以750比特币（$ 675,000）的价格出售一批能够绕过杀毒软件的Windows黑客工具。

公开此前拍卖的黑客工具包密码

北京时间4月8号晚，影子经纪人组织TheShadowBrokers在medium.com博客网站上发表了一篇名为” Don’t Forget Your Base ” 博文，其中公开了曾经多次拍卖失败的方程式组织Equation Group（为NSA提供服务专门对国外进行间谍活动的组织）的黑客工具包——EQGRP-Auction-Files 文件的密码（CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN）。现在任何人都可以去解密这个文件，获取其中的一些有价值的东西。

网友针对该工具包内容分析

推特上的一个网友@ x0rz，率先完整地解密了这个文件，并在github上上传了所有的文件。其中包括：

rpc.cmsd——针对Solaris-基于Unix的操作系统的远程0day漏洞

TOAST框架——国家安全局的TAO团队用来清除的Unix wtmp文件的事件日志

ElectricSlide工具——模拟中文浏览器的工具

NSA访问涉及巴基斯坦移动运营商Mobilink的GSM网络的证据

等等

图一：EQGRP-Auction-Files 文件解密后详情 

图二：rpc.cmsd——针对Solaris-基于Unix的操作系统的远程0day漏洞

图三：TOAST框架——国家安全局的TAO团队用来清除的Unix wtmp文件的事件日志

图四：ElectricSlide工具——模拟中文浏览器的工具

图五：NSA访问涉及巴基斯坦移动运营商Mobilink的GSM网络的证据

参考链接

https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1 

http://securityaffairs.co/wordpress/57859/intelligence/shadow-brokers-nsa-hacking-tools.html 

http://thehackernews.com/2017/04/nsa-hacking-tools.html 

https://twitter.com/x0rz/