影子经纪人曝光的NSA大杀器可能与Stuxnet相关

上周五，神秘的影子经纪人（Shadow Brokers）再放大招，曝光了NSA使用的极具破坏性和杀伤力的Windows系统漏洞利用工具。研究人员发现，该工具可能与Stuxnet相关。

此次曝光的NSA大杀器中，有几处地方提及了先前被斯诺登披露的NSA绝密计划和软件，例如用来控制远程植入程序的“STRAITBIZARRE”，以及入侵SWIFT系统的“JEEPFLEA”项目，这些线索都侧面映证该批工具从NSA精英黑客团队“方程式组织”处获取的可能性。

与Stuxnet的相关性线索

脚本关联性

但令人诧异的是，在这批117.9MB的NSA网络武器中，竟然还包含了一个震网病毒（Stuxnet）所使用的工具。据赛门铁克公司Stuxnet研究人员Liam O’Murchu透露，该工具是针对Windows托管对象格式文件（MOF）的一个漏洞利用程序，其脚本start_dll.mof与Stuxnet中使用的脚本几乎一致。

但O’Murchu也表示，Stuxnet与影子经纪人曝光的NSA工具之间确实存在很强的关联性，但还没有足够证据来证明。目前来看，只能说可能性很强。因为在Stuxnet中发现的通用脚本，后来被研究人员逆向并添加到Metasploit公开库中利用，也就是说任何人都可使用Metasploit构造与Stuxnet十分相似的MOF文件漏洞利用脚本。但O’Murchu也说明，影子经纪人周五泄露的MOF文件漏洞利用工具最后编译时间为2010年9月9日，是Stuxnet首次被发现的三个月后，也即其逆向利用代码被添加到Metasploit前不久。

以下是该漏洞利用工具在Stuxnet中的部分代码：

以下是影子经纪人曝光的该工具部分脚本代码：

参考关联性

除此之外，其它研究人员还注意到另外一种关联，即两者均为MOF漏洞利用工具，并且其中出现了一些隐晦的参考，如影子经纪人曝光的该工具中ASCII艺术字体“WON THE GOLD MEDAL”（赢得金牌）字样。而Stuxnet行动的绝密代号据说就是“Olympic Games”。

并且，奇怪的是，据在线恶意软件检测库Virus Total发现，杀软Avast把影子经纪人曝光的其它多个漏洞利用工具都通过特征检测识别Stuxnet蠕虫病毒。据反病毒分析专家 Joxean Koret表示，即使可能存在误报，但这种情况也非常奇怪，值得探究。

目前，该条关联线索可能是NSA黑客组织和Stuxnet代码开发人员最早的相关性技术证据。由此，我们不得不产生这样的疑问：难道是NSA精英黑客团队“方程式组织”参与了Stuxnet攻击事件？或者这根本就是一场组织严密的“嫁祸式攻击”？