影子经纪人泄露新资料 资料披露了10多年来NSA攻击的352个IP 据称中国被攻击的最多

8月份，为美国国家安全局（NSA）工作的“方程式组织(Equation Group)”遭到“影子经纪人（The Shadow Brokers）”攻击。之后，影子经纪人表示，还会有更多的资料公布。

今天影子经纪人带着新的泄密资料回来了，声称这些资料披露了过去十多年被NSA攻击过的数百家组织。从泄密资料中可以看到NSA攻击过的352个不同的IP地址和306个域名，总体来说，攻击目标分布在49个国家和地区。 排名前十的是中国、日本、韩国、西班牙、德国、印度、中国台湾、墨西哥、意大利和俄罗斯。

周一上午的一个帖子 说：

“影子经纪人今晚将为美国人奉上特别戏法或款待。有很多侵入你网络的行动都来自这些IP地址。”这个帖签名时使用了与八月份帖子相同的加密秘钥。

周一泄密发生时，NSA转包商Harold Thomas Martin III仍处于联邦羁押下。他被指控 在其位于马里兰郊外的家中囤积了令人震惊的50TB数据 。其中很多数据包含高度机密，例如美国情报官员的姓名、情报行动背后极度敏感的方法。调查影子经纪人八月份泄露事件的调查员注意到了Martin。这次调查的匿名知情人士称，他们不知道Martin和该组织或者泄密事件有什么关联。

周一影子经纪人泄露资料分析

根据研究人员的分析（ 此处 和 此处 ），周一的泄密资料包含据称被NSA攻击过的352个不同的IP地址和306个域名。泄密资料中的时间戳表明，攻击发生在2000年8月22日至2010年8月18日之间。攻击目标包括32个.edu域和9个.gov域。总体来说，攻击目标分布在49个国家和地区。 排名前十的是中国、日本、韩国、西班牙、德国、印度、中国台湾、墨西哥、意大利和俄罗斯。 安全公司Flashpoint的高级情报分析师Vitali Kremez也提供了有用的分析。

myhackerhouse分析如下

我们发现泄漏出来的未披露工具包括，DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK以及STOICSURGEON。

使用的目录结构包括对"intonation"和"pitchimpair"的引用。原发布引用"pitchimpair"作为一个"重定向器"的工具，有可能用于隧道额外攻击后门与种植。这些尚未披露的软件项目可以植入物、 工具或臭名昭著的方程 APT 组所使用的漏洞。

下面我们列举了这些工具，以及它们所影响的软件及其版本。

pastebin分析如下

Flashpoint分析如下

• 被称为"影子经纪人"出版了另一种泄漏黑客集体组相关的"方程"— — 一群黑客认为操作由国家安全局 (NSA)。该集团发布题为"不招待就使坏，"泄漏 （重定向器） 双键据称连接的许多秘密行动阶段服务器进行由美国国家安全局档案。影子经纪人最近泄漏被有关服务器阶段基础设施采用从组以前泄漏的各种漏洞。.

• 方程集团与美国国家安全局的确切关系虽未定义，恶意软件据称由方程组是创建为美国国家安全局，类似于美国国家安全局0Day恶意软件，或从美国国家安全局被盗。普遍的共识是，泄漏的信息的第三方 NSA 承包商被偷了、 是合法的和属于方程组

• 集体的影子经纪人似乎是出于商业目的，但也批评美国在被误导的民主原则，以及关于网络攻击和报复其感知的双重标准

• 该集团泄露与配置关联的题为“Jackladder,” “Dewdrop,” “Stoicsurgeon,” “Incision,” “Orangutan,” “Patchicillin,” “Sidetrack,” and “Reticulum.”。根据配置的名称中的时间戳，可以看到该组织在2000 年至 2010年年间进行了秘密的行动

影子经纪人泄密资料包下载

泄密资料还包含其他各种各样的数据。它们主要是一些配置数据，用于至今仍未知的、攻击运行Unix操作系统的服务器的一个工具包。如果这些泄密资料是真的，这个IP和域名清单可以被各组织用来揭露十年来的攻击。这些攻击直到最近还属于被严密保守的机密。根据这张 数据表 ，被攻击的服务器大多运行Sun Microsystems推出的、在2000年代早期被广泛使用的Solaris操作系统。小部分服务器也运行Linux和FreeBSD系统。

数据表下载见文末：

提供各类安全服务的Hacker House公司在一份分析报告中称：

“如果这些数据被人们采信，它们可能包含一个主机清单，列出在这一时间段被攻击的主机。对这些主机的一次简单Shodan扫描显示，部分被影响主机仍在工作且运行被标识的软件。这些主机上仍然遗留有方程式组织APT小组的证据，应该发起事件相应处理流程。”

这些域名和IP地址据称属于NSA攻击过的组织。然而，根据影子经纪人周一的帖子，一旦这些IP和域名被攻陷，它们也可能被用于攻击NSA的其他目标。如果这是真的，这个清单能帮助其他组织确认，它们与所列服务器的可疑交互后面的黑手是谁。围绕pitchimpair工具而进行的讨论，增大了受攻击服务器被用来攻击其他站点的可能性。pitchimpair工具的作者声称这个工具是一个“重定向器”（redirector）。一般来说，重定向器被用来偷偷地将某个域的用户重定向到另一个域。

周一的泄密事件还讨论了其他一些据称属于NSA的工具，包括DEWDROP、INCISION、JACKLADDER、ORANGUTAN、PATCHICILLIN、RETICULUM、SIDETRACK、AND STOCSURGEON。短时间内人们对这些工具几乎一无所知，但它们可能是NSA的植入程序或者利用程序。可以理解，这一阴霾正在安全和情报圈中激起阴谋。

方程式组织已经运营了14年

“方程式组织”最初被莫斯科的卡巴斯基实验室研究人员用来称呼与NSA相关的一组精英黑客。这组黑客曾利用了一些当时还属于未知的Windows漏洞。后来，这些漏洞被震网（Stuxnet）蠕虫利用来攻击伊朗的核电计划。在被卡巴斯基研究人员曝光之前，该组织已经秘密运行超过14年。这些研究人员为该组织起名“方程式组织”，但无法证明该组织内部人士也使用这个名称。然后，在关于八月份泄密事件的帖子中，作者开始用“方程式组织”来称呼这个精英小组。据称泄密事件中的数据和工具都属于这个精英小组。

此次泄露资料下载：

https://mega.nz/#F!D1Q2EQpD!Lb09shM5XMZsQ_5_E1l4eQ

https://yadi.sk/d/NCEyJQsBxrQxz

Password = payus

被攻击IP及域名列表下载：

www.secjia.com/report/Shadow-Brokers-Addresses.pdf

被攻击IP及域名列表描述：

www.secjia.com/report/shadow_brokers_leaked_ip_range_descriptions.txt