2024年6月12日发(作者:)

④学术争鸣J… s 

“方程式组织”网络武器泄露事件及启示 

新明 

(国家信息技术安全研究中心,北京100089) 

[摘要】据媒体报道,美国“方程式组织”遭黑客入侵,并由此泄露了美国家安全局的网络“武器库” 

本文着重分析“方程式组织”的背景和进行网络攻击的主要做法及特点,并就该事件给我国网络安全 

带来的影响提出几点启示。这对于我们了解美国网络“武器库”情况,充分认识其网络武器的隐蔽性

破坏性和复杂性,积极应对网络带来的新挑战和新威胁具有参考作用。 

【关键词】方程式组织;网络武器;网络攻击;黑客入侵 

[中图分类号]TP393 [文献标识码]A 【文章编号1 1009—8054(2017)01—0046—06 

、 

动的网络武器和文件公布在Github、Tumblr 

0引言 

2016年8月13日,一条爆炸性新闻称,有 

和PastBin等互联网平台上,公开了其所掌握 

数据的60%,内容涉及大量的网络武器和文件, 

美国国家安全局(NSA)背景的“方程式组织” 

(Equation Group)遭黑客入侵,由此可能泄露了 

NSA的网络“武器库”。该事件在网络安全领 

域及黑客界引起轩然大波。对此,NSA始终没 

包括命令和控制中心(C&C)服务器的安装脚 

本、配置文件,以及针对一些知名网络设备制 

造商的路由器和防火墙等产品的网络武器。他 

们强调这些网络武器来自“方程式组织”,而 

有做出官方解释。但此事件让“方程式组织” 

对全球40多个国家和地区秘密实施网络攻击的 

情况浮出水面,我国也是其网络攻击的重点目 

NSA也曾使用这些武器从事网络间谍活动。“影 

子经纪人”组织宣称,剩下的40%的网络武 

器和文件将会用比特币在网上拍卖,条件是当 

标。此次事件凸显了网络空间安全问题的现实 

性和紧迫性。 

他们的账户收到100万个比特币(约合人民币 

37.7亿元)时,价高者得,且有意竞投者必须 

预先以比特币付款,竞投失败也不会退款。对 

1事件概况 

1.1事件起因 

此,安全专家警告称,黑客组织给出的拍卖价 

高到匪夷所思,很可能另有所图 。目前, 

2016年8月13日,一个名为“影子经纪人” 

(The Shadow Brokers)的神秘黑客组织通过社 

这些拍卖网页和声明以及泄露文件的镜象网站 

已关闭,有的网址也不复存在。 

1.2专家看法 

交平台宣称,他们攻击了一个有NSA背景的 

黑客组织,将NSA用于大规模监控和情报活 

46 l信息安全与通信保密I IAN 1 7 

事件发生后,一些网络安全专家称,这可 

能是一次精心设计的骗局,因为黑客组织开出 

的价格极高,可能并不是真心打算出售这些数 

据,而真正的目的是转移媒体视线,让美国政 

府特别是情报机构颜面扫地;另一些网络安全 

专家对泄露文件进行分析后认为,此事可信度 

极高,可能是NSA内部人员或者俄罗斯黑客所 

为。一位不愿意透露姓名的NSA前雇员表示:“在 

泄露的文件中,包含有NSA下属特别行动小组 

(TAO)的网络武器,而这些网络武器均存储在 

物理隔离的服务器中。所以这些网络武器没有 

理由会出现在网络服务器中,除非有人故意为 

之。从这些文件目录结构以及文件的命名风格 

来看,这些文件是直接从服务器中复制出来的。” 

因此,NSA内部人员所为的可能性较大[3-51 ̄ 

除了内部人员所为的猜测外,还有不少声 

音纷纷指向俄罗斯黑客。8月18日,美国防务 

承包商前雇员爱德华・斯诺登在推特网站发文 

称,此次攻击极有可能是俄罗斯黑客发起的, 

如果属实,将对美俄紧张关系造成严重后果。 

根据他的分析,很可能是NSA的黑客在利用二 

进制文件收集数据时,将这些网络武器上传至 

NSA的临时服务器,作为其后续追踪入侵者恶 

意软件行动的一部分,这种做法也被称为“计算 

机网络利用”。NSA的黑客小组可利用这些网 

络武器来追踪入侵者的足迹。当服务器记录下 

入侵者的所有活动足迹后,就可以追踪入侵者在 

攻击中使用的是什么黑客工具,并在未来找到 

黑客在入侵网站时使用的IP地址。但是,NSA 

的黑客有时可能会忘记从服务器中删除二进制 

文件,从而导致这些网络武器反被入侵者获取。 

1.3各方态度 

这次黑客披露的文件显示,为了利用漏洞, 

NSA发现漏洞也不通知美国制造商,导致美国 

思科公司的防火墙至少已经被黑客利用了3年。 

栏目责编:古筝 

事件发生后,作为网络安全领军厂商,思科公 

司和飞塔公司在第一时间做出响应,证实黑客 

曝光的漏洞属实。思科公司发言人称,已经修 

复了此次被黑客泄露的多个零Et漏洞,迄今尚 

未发现任何新的漏洞,也会继续调查此事。其 

他科技公司则不予置评。NSA自始至终没有做 

出官方的解释。 

2“方程式组织”的活动及特点 

2.1组织背景 

2015年2月16日,俄罗斯卡巴斯基实验 

室披露,他们发现一个活动了约20年的网络黑 

客组织,团队成员超过60人,其攻击能力和 

危害程度超过了此前人们所知道的所有黑客团 

伙。卡巴斯基将该组织命名为“方程式组织” 

(Equation Group),因为他们在网络攻击中比 

较偏爱使用强大的加密方法、模糊策略等复杂 

技术。 

外界普遍认为,从各方面看,“方程式组织” 

与NSA有着极为密切的联系,应是一个为NSA 

效力的秘密组织。 

是斯诺登最新提供的一份绝密文件—— 

NSA“恶意软件植入操作手册”显示,操作人员 

运用“SECONDDATE”恶意软件时,需借助一 

个特殊的l6位字符串“ace02468bdf13579”。而“影 

子经纪人”泄露的“方程式组织”几十个网络 

武器中,SECONDDATE就在其中,其相关代码 

更是大量包含这个16位的字符串。而在泄露的 

文件中有47个与SECONDDATE工具相关,其 

中包含了该工具不同版本的源代码、运用方法 

和其他相关文件。 

二是在“方程式组织”所使用的恶 

意软件中发现了诸如“STRAITACID”和 

“STRAITsHOOTER”的源代码,而这些代码属 

IAN 20I 7¨ 息安全与通信保密I 47 

学术争鸣l Pc c s 

于NSA下属TAO部门的网络武器。 

三是泄露的键盘记录器软件与“震网” 

(Stuxnet)和“火焰”(Flame)病毒的开发者 

在技术层面具有共性。根据卡巴斯基实验室掌 

握的证据,“方程式组织”是著名的“震网” 

和“火焰”病毒的幕后操纵者,与NSA有着极 

其密切的关系,该组织成员是黑客界精英中的 

精英。 

四是NSA一位前雇员向路透社记者透露, 

卡巴斯基对“方程式组织”情况的分析真实无误, 

美国情报部门将此类情报项目的保密级别定为 

等同于“震网”的级别。另一位前情报人员也 

证实,NSA开发出了在硬盘驱动中隐匿间谍软 

件的技术,而这次泄露出来的网络武器中就采 

用了这种技术。 

五是“方程式组织”在恶意软件开发、行 

动技术突破和目标封锁方面投入的人力、财力 

和物力均由国家资助,国家为其项目开发提供 

的资源几乎不受限制。 

六是恶意软件中的时间戳显示,软件的编 

程者们绝大多数在周一到周五工作,具体对应 

了朝八晚五的美国东部时间。 

2.2主要做法 

“方程式组织”使用300多个互联网域 

名和100台服务器托管庞大的命令及控制架 

构,依靠多种技术来感染和攻击目标,做法 

相当独特。 

(1)借助u盘自我复制和传播蠕虫病毒。 

每当u盘插人目标计算机,病毒就会进行自 

我复制,从而对与互联网实行隔离的网络进行 

敏感情况的侦查。在电脑病毒感染某台未连至 

互联网的电脑后,搜集网络信息并将其保存至 

u盘的一个隐蔽区域。如果该u盘随后被插入 

台连人互联网的电脑,就会将数据上传至攻 

48 l信息安全与通信保寮l IAN 2(tl 

击者服务器并下载任何攻击者指令。如u盘再 

次被插入一台隔离电脑,下载的指令就会被执 

行。每当u盘在隔离网络的电脑和连入互联网 

的电脑间相互切换,进程就会继续。在入侵过 

程中, “方程式组织”每次攻击可利用程序链 

上的10个漏洞,但所设定攻击目标的尝试攻 

击次数不超过3次,如果3次攻击尝试都没有 

成功,便会放弃此次攻击。 

(2)借助光驱与系统漏洞进行攻击。“方 

程式组织”曾拦截邮寄途中的光碟,在光碟上 

植入恶意程序后,再寄给原收件单位,这种非 

法手段与NSA曾经半路拦截并感染思科网络设 

备的手段一样。该组织为了利用漏洞进行攻击, 

发现漏洞后也不通知产品制造厂商。卡巴斯基 

从此次曝光的恶意软件中发现,“方程式组织” 

共使用了7种漏洞利用工具,至少有4种利用 

了零日漏洞,用于攻击主流品牌的防火墙、服 

务器和操作系统等。 

(3)研发恶意软件平台改写硬盘固 

件。 “方程式组织”研发的恶意软件平台 

“GrayFish”可以在电脑操作系统启动前进入 

引导记录,将其数据存储进操作系统的注册 

表中,然后修改加载机制,改写受感染电脑 

的硬盘固件,主要针对西部数码、迈拓、三星、 

IBM、镁光、东芝、希捷等12类硬盘驱动程序。 

为防止军队等重要部门对硬盘擦除和重新格 

式化,这款恶意软件平台创建了一个秘密信 

息存储库,可使从受害者处窃取的敏感数据 

即便在重新格式化驱动程序、重装操作系统 

后仍然可用。 

(4)开发恶意软件攻击Windows操作系统。 

“方程式组织”开发的“EquationDrug”恶意软 

件用于攻击老版本的Windows操作系统,比如 

Windows 95/98/ME。该恶意软件具有极高的顽固 

性,在格式化硬盘和重装系统后仍然能够存活。 

恶意软件一旦入侵硬盘固件,就将无限次地“复 

活”。它可能会阻止删除某个特定的磁盘扇区, 

或在系统重启过程中将其替换为恶意代码,硬 

盘被感染后就无法对其固件进行扫描。大多数 

硬盘只能对其硬件固件区域进行写入,却不具 

备读取功能。这意味着,人们几乎对此一无所 

知,无法检测硬盘是否被该恶意软件所感染。 

由于病毒在系统启动初始阶段就处于活动状态, 

所以它能够截取加密密码,并将其保存在磁盘 

的隐藏区域。 

(5)采用诱骗隐藏传染手段。首先,诱骗 

用户点击某个网站链接。当用户上当点击后, 

病毒就会被下载到用户电脑或iPhone、iPad等 

手持设备上。其次,病毒会将自己隐藏到电脑 

硬盘之中,并将藏身之处设置为不可读,避免 

被杀毒软件探测到。隐藏起来的病毒,就是“方 

程式组织”攻击平台Grayfish,其他攻击武器都 

通过该程序展开,去收集用户的密码等信息, 

发送回Grayfish储存起来。同时,病毒也会通过 

网络和USB接口传播。病毒修改了电脑和手持 

设备的驱动程序,一旦探测到有u盘插入,病 

毒就会自动传染到u盘上,并且同样把自己隐 

藏起来。当U盘又被插入到另一个网络,例如 

个与外界隔离的工控网络,病毒就被引人那 

个网络,并逐步传遍整个网络。 

2.3主要特点 

(1)攻击目标多。卡巴斯基记录了该组织 

向全球42个国家和地区秘密实施网络攻击的情 

况。其中,从2001年至今,该组织已经攻击了 

伊朗、俄罗斯、叙利亚、阿富汗、阿联酋、中国、 

香港、印度、英国、美国等国家和地区的上万 

个目标,大量设备被感染了恶意软件。由于“方 

程式组织”使用的恶意软件具有自我毁灭机制, 

栏目责编:古筝 

因此卡巴斯基推断以上受害者只是冰山一角, 

实际数量可能更多。这些受害者包括政府部门; 

金融、核能研究机构;电信、航空、能源、石 

油和天然气、交通、军工和纳米技术等重要部 

门或行业;伊斯兰激进分子和学者;大众媒体 

以及加密技术开发企业等。中国是重点攻击目 

标,属于重灾区,如天融信公司的防火墙漏洞 

就被他们用来实施攻击。 

(2)攻击目的明确。该组织所追求的目的 

不是为了窃取个人信息和实施经济诈骗,而是 

为国家利益服务,进行网络监控,搜集情报, 

破坏目标的工业生产,制造社会混乱,甚至直 

接攻击军事设施。其危害性远远超出了人们所 

熟悉的熊猫烧香、盗号木马等。有多条证据表 

明,曾经破坏伊朗核工厂的“震网”病毒就是“方 

程式组织”的一大“杰作”。“震网”病毒侵 

入伊朗用于操作核设施离心机的工业软件,持 

续了5年之久,直到2010年才被发现。其后果是, 

由于缺少核原料,伊朗制造核武器的计划被迫 

流产。 

(3)攻击武器强悍。被泄露武器库中有文 

件名50多个,类型分为3类,其中安装在被劫 

设备上的恶意软件植人程序有28个,允许攻击 

者劫持设备、提取数据或部署植入程序/工具的 

漏洞利用程序有15个,可部署多个植人程序和 

漏洞利用的软件数据包工具有13个。这些工具 

可对不同型号的防火墙实施攻击,适用多种环 

境。主要针对思科ASA和PIX防火墙、瞻博网 

络(Juniper Net Screen)防火墙、天融信(TOPSEC) 

防火墙、飞塔(Fortinet)防火墙的远端控制设 

备(RCE)存在的漏洞实施攻击,以达到获取防 

火墙控制权限的目的。这些防火墙均为全球主 

流品牌,其中涉及我国在用品牌的约60%。由 

此可见,我国约60%的部门及公司在用防火墙 

IAN 201 7 l信息安全与通信保密I 49 

学术争鸣l Pf RSPE('i lVt S 

、 

有可能被黑客工具拥有者直接突破并访问。 

(4)攻击方法独特。传统的病毒往往单兵 

作战,攻击手段单一,传播途径有限,而“方 

程式组织”则动用多种病毒工具进行协同作战, 

发动全方位立体进攻,是名副其实的最强网络 

攻击武器:依托U盘自我复制和传播蠕虫病毒, 

研发恶意软件平台改写硬盘固件工具,借助光 

驱与系统漏洞进行攻击,利用恶意软件攻击老 

版本Windows操作系统,采用诱骗隐藏传染手段。 

此外,有些漏洞攻击的方法也很独特,连卡巴 

斯基实验室也表示惊奇。 

3几点启示 

从泄露的文件看,“方程式组织”掌握了 

超出常人想象的网络武器,这些网络武器各具 

特色,分别采用不同的传播手法,设定了不同 

的攻击目标,能够随时威胁全球的网络安全。 

从3年前的“棱镜门”事件到近期的“方程式” 

事件,大量事实都表明美国以中国为重点目标 

的网络攻击行为从未停止过,且窃密手段更隐 

蔽,能力更强大,危害更严重,目前曝光的情 

况仅仅是冰山一角,值得我们深刻反思。 

3.1网络安全防护技术需要不断创新 

从泄露的文件看, “方程式组织”对监测 

数据处理方式较为先进,已深入到固件级别, 

数据处理效率高,隐藏效果好。当病毒感染用 

户电脑后,会修改电脑硬盘的固件程序,在硬 

盘扇区中开辟一块区域,将自己储存于此,并 

将这块区域标记为不可读。这样,无论是操作 

系统重装,还是硬盘格式化,都无法触及这块 

区域,因此也就无法删除病毒。只要硬盘仍在 

使用,病毒就可以永远存活下去,并感染其所 

在的网络以及任何插入该电脑的U盘。这些受 

感染的硬盘使攻击者可以持续对受害者的电脑 

50 l信息蛋全与通信保密l JAN 2{】I? 

进行控制和数据窃取。我们应以此为鉴,全面 

查找网络防护技术上的漏洞,深入开展网络防 

护技术研究工作,改进安全防护策略,加快网 

络安全防护新技术的研发进程。 

3.2网络安全监测能力需要持续提升 

网络隔离是一种过时和消极的防御方法, 

只是一种早期的工控安全技术。从泄露的文件 

看,“方程式组织”擅长从物理隔离网络窃取 

用户信息,并在隔离网络和互联网之间将所获 

数据回传。其掌握的病毒会通过网络感染某台 

上网电脑,当使用u盘时,就会把病毒传染给 

隔离网络的电脑,被病毒感染的u盘成了一座“桥 

梁”,让“方程式组织”得以盗取和控制隔离网络, 

致使大量重要数据在监测机构未察觉的情况下 

长期被攻击者窃取。因此,要全面检测和监控 

内网系统的信息安全情况,加强对网络和系统 

态势感知异常情况的跟踪分析,加大对研发监 

测技术和监测设备的资金投入,进一步提升监 

测能力。 

3.3网络安全抗击能力需要大力加强 

目前,我国众多大型网络项目的建设都使 

用了国外产品。在网络设备方面,大量使用了 

思科等国外公司的交换和安全设备,涉及政府、 

海关、邮政、金融、民航、铁路、医疗、军警 

等重要部门,以及中国电信、中国联通等基础 

电信企业的网络基础建设。在操作系统方面, 

我们广泛使用美国产品,如PC端的Windows, 

手机端的Android、IOS等。在网络应用方面, 

我们使用谷歌搜索、微软MSN等。说明我们目 

前对美国网络技术有严重的依赖性,这些产品 

是否存在安全隐患,是否存在“后门”漏洞, 

需要深入研究。否则,美国完全有能力对我们 

进行部分甚至可能是完全的网络控制。因此。 

我们必须加快推进网络自主可信技术的研发, 

栏目责编:古筝 

全面提升网络抗击能力,努力实现我国关键信 

(2016—08—19)[2016-1 1-16].http://www. 

息基础设施的安全可控。 

myhack58.com/Artiele/60/76/2016/78 194

——

2. 

3.4网络安全治理制度需要严格遵守 

htm. 

我们要充分认识网络武器的隐蔽性、破坏 

[2】揭秘NSA秘密黑客组织方程式[EB/OL]. 

性和复杂性,提高民众的网络安全意识,把好“病 

(2016—08—19)[2016—1 1—16】.http://www. 

从口人关”,纠正只要电脑不上互联网、实行 

1eiphone.corn/news/201608/DatGdhvQVniuU1KC. 

物理隔离就会绝对安全的错误观点。隔离网络 

htm1. 

应安装多种可靠的安全防护软件,及时进行版 

[3]斯诺登新文件:美国攻击全球的网络“武器 

本升级,经常查杀电脑病毒,发现问题及时报 

库”遭袭[EB/OL].(2016—08—20)[2016-1 1-18]. 

告和处置;要严格执行涉密网络的保密规定, 

http://news.xinhuanet.com/world/2O1 6—08/20/ 

严格使用、维修、报废、销毁等环节的保密管理, 

_

l 1 1 9425863.htm. 

涉密电脑不能安装来历不明的软件,不能随意 

[4]思科与Fo ̄inet证实:NSA黑客曝光安全 

将他人电脑或U盘上的文件、资料拷贝到涉密 

漏洞属实[EB/OL].(2016—08-18)[2016- 

电脑上;要严格落实网络安全责任制,定期进 

1 1一l8].http://tech.163.com/16/0818/06/ 

行网络安全大检查,及时消除网络安全隐患, 

BUNTVV8P00097U7R.htm1. 

维护我国网络安全和国家安全。 

[5]NSA被黑:瞻博、飞塔、天融信等遭殃[EB/ 

OL].(2016—08-23)【2016-1 1-18].http://safe. 

参考资料: 

it168.tom/a2016/0823/2875/000002875308. 

[1]内幕!深入分析NSA入侵事件【EB/OL]. 

shtm1. 

Cyberweapons Leakage Incident of‘‘Equation Organization’’and Enlightenments 

XIN Ming 

(National IT Technology Security Research Center,Beijing 100089,China) 

【Abstract】According to media reports,the US“Equation Oragnization”recently su ̄ers hacker intruding and 

discloses the cyberweapon“arsenal”of the National Security Agency

An abridged summary of the incident is 

given,and the background of“Equation Oragnization”described

including its main methods and characteristics 

in implementing cyber attack.And several enlightenments about the influence on China’S cyber security by the 

incident are also proposed.All these could serve as a reference for knowing the US cyberweapons“arsenal”

fuUy 

realizing the concealment,distructiveness and complexity of the US cyberweapons and actively coping with the 

new challenges and new threats brought about by the cybemet. 

【Keywords】Equation Oragnization;cyberweapons;cyber attack;hacker intrusion 

JAN 20 T 7i信息安全与通信保密I 51