幽灵黑客：无人解开的网络安全之谜

在漫长的黑客攻击历史中，曾发生过无数的数据泄露事件，但在数年甚至数十年后仍未得到解决。无数黑客及其背后的黑客组织从未被揭露。

但多产的黑客组织确实被抓了。无论他们是LAPSUS$ 等网络犯罪分子（一个臭名昭著的勒索团伙，危害了微软和英伟达等公司，并逮捕了多名成员），还是来自俄罗斯和中国的复杂政府黑客组织（其成员已被点名、起诉并列入通缉名单），情况都是如此。

尽管如此，网络安全史上一些最令人着迷的案例仍然悬而未决——没有罪魁祸首，没有答案，在某些情况下甚至没有明确的动机。我们决定在一系列文章中重新审视其中的几起事件，从情报泄露史上最奇怪的事件之一开始。

第一部以影子经纪人为中心——一个在网上出现的神秘组织，泄露了一批据信属于美国国家安全局的黑客工具，然后消失了。

2016年夏天，在与美国总统选举相关的俄罗斯黑客攻击期间，该组织出现在Twitter上。他们链接到了一篇Pastebin帖子，并 @ 提到了几家新闻媒体——这是一种奇怪、无效的策略，意味着大多数媒体可能从未看到过这些推文。

但如果有人点击了该链接，他们就会看到一份题为“方程式组织网络武器拍卖——邀请”的文件——其中提到了人们普遍认为由美国国家安全局进行的秘密黑客行动。

“！！！注意网络战的政府支持者和从中获利的人！！！！你为敌人的网络武器支付了多少钱？”黑客写道，声称已经入侵了方程式组织。

该文件包括下载一些黑客工具的链接，以及下载加密文件的链接，感兴趣的买家可以通过出价解密。他们写道：“拍卖文件比震网病毒更好。”他们指的是2007年美以网络攻击中针对伊朗核设施使用的著名恶意软件。他们要求至少100万比特币。

这次泄密事件很快引起了媒体的报道。安全研究人员分析这些工具后，他们意识到这些都是极其复杂的网络武器，很可能是从美国国家安全局偷来的——一些人与美国国家安全局举报人爱德华·斯诺登披露的程序名称相同，这一事实更加证实了这一怀疑。

这次拍卖很可能是一个诡计，因为该组织最终在几个月后公开抛弃了许多工具。关于影子经纪人的很多事情都没有什么意义。他们蹩脚的英语近乎滑稽，就好像他们要么太用力，要么故意表现出诡计。尽管显然是在寻求关注，并获得了大量的媒体报道，但该组织只与记者交谈过一次，对404 Media的Joseph Cox（当时是VICE Motherboard的记者）进行了简短采访。

十年后，我们对影子经纪人的幕后黑手一无所知。考克斯和我当时采访了前国家安全局工作人员，他们表示国家安全局内部人士或前内部人士可能参与其中。但没有人被逮捕和指控——这很了不起，因为这可以说是美国情报黑客工具有史以来最严重的泄密事件之一。

其中一个潜在嫌疑人是哈罗德·T·马丁三世 (Harold T. Martin III)，他是一名国家安全局承包商，因窃取该机构的机密信息而被捕。但这个理论有一个问题：在马丁被拘留期间，影子经纪人仍然在网上活跃。他从未因泄密事件受到正式指控。最广泛相信的理论是，影子经纪人是俄罗斯政府间谍组织作为宣传工具创建的。

影响是巨大的。在发布的工具中，Shadow Brokers发布了EternalBlue，这是一系列针对Windows的零日漏洞，允许黑客侵入被黑网络上的计算机，快速扩展其访问范围，并部署自我传播的蠕虫。 （零日漏洞是软件制造商未知的缺陷，意味着尚不存在补丁。）朝鲜黑客使用EternalBlue释放了WannaCry勒索软件蠕虫。俄罗斯黑客后来将其构建为NotPetya，其范围超出了最初的乌克兰目标，并在全球造成了估计100亿美元的损失。对于企业来说，这个教训是显而易见的：情报机构隐藏的漏洞不会永远保密——当它们泄露时，私营部门就会付出代价。

该宝库仍在不断有新发现。在泄露的工具中，有一个包含项目名称列表，其中一个名为Fast16，仅标有“这里没有什么可看的 - 继续”标签。上个月，研究人员宣布他们已经找到并检查了该工具，发现了可追溯至2005年的恶意软件，旨在篡改据称由伊朗核科学家使用的软件。