美国国安局网络间谍主力装备曝光，可控制全球海量设备

据环球时报报道，美国国安局（NSA）组织针对全球数亿公民及行业龙头企业长达十余年的网络攻击前不久被曝光后，NSA网络攻击武器库中的又一种主力装备露出马脚。

近日，国家计算机病毒应急响应中心（CVERC）披露了名为“NOPEN”的木马工具，并对其进行了攻击场景复现和技术分析。该木马工具针对Unix/Linux平台，可以实现对目标的远程控制。据悉，“NOPEN”木马工具是一款功能强大、全面的木马工具，也是美国国安全局接入技术行动处（TAO）用于攻击和窃取机密的主战网络武器之一。

国家计算机病毒应急处理中心于14日正式发布了关于美国国家安全局专用“NOPEN”远程木马技术分析报告，将美国情治部门的网络间谍手段揭露在世人面前。报告显示，“NOPEN”远程木马一旦被植入受害者计算机，就会成为“潜伏者”，随时向攻击者敞开“金库大门”，各种机密数据、敏感信息“一览无余”。有证据显示，该款木马目前已经控制全球各地海量的互联网设备，窃取了规模庞大的用户隐私数据。

“NOPEN”木马工具

“NOPEN”木马工具为针对Unix/Linux系统的远程控制工具，主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等，是TAO远程控制受害单位内部网络节点的主要工具。通过技术分析，我单位认为，“NOPEN”木马工具编码技术复杂、功能全面、隐蔽性强、适配多种处理器架构和操作系统，并且采用了插件式结构，可以与其他网络武器或攻击工具进行交互和协作，是典型的用于网络间谍活动的武器工具。

报告显示，“NOPEN”远程木马具有极高的技术水平，可对现有多数网络服务器和网络终端进行远程控制，既可以由攻击者手动植入，也可以由NSA的网络攻击武器平台自动植入，更能够在受害者的内网中秘密执行多种窃密、破坏等控制指令，潜伏在目标网络中持续完成间谍任务。有证据显示，美国国家安全局利用“NOPEN”远程木马控制了全球各地海量的互联网设备，窃取了规模庞大的用户隐私数据，造成难以估量的严重损失。

值得注意的是，根据黑客团体“影子经纪人”（Shadow Brokers）泄露的NSA内部文件，“NOPEN”木马工具为NSA开发的网络武器，是一款功能强大的综合型木马工具，也是NSA接入技术行动处（TAO）对外攻击窃密所使用的主战网络武器之一。

“NOPEN”使用环境

“NOPEN”木马工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各类操作系统上运行，同时兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多种体系架构，适用范围较广。根据监控情况，该木马工具主要用于在受害单位内网中执行各类攻击指令，结合其他取情、嗅探工具，级联窃取核心数据。

NSA武器库的“NOPEN”木马再次向全世界敲响安全警钟

网络安全专家表示，“NSA作为全球顶级军事强国的研发机构，研发出的武器自然不可能放在武器库中生锈”。实际上，这也并非是美国第一次被曝光对他国进行网络监控的事情了。早在“棱镜门”事件被揭露之时，美国就接连不断地被爆出利用各种方式，对全球各国实施网络监控和网络窃密，而这些网络武器就是其实施这些网络监控的重要手段之一。

2017年4月，“影子经纪人”公布了一大批NSA开发的网络攻击工具。NSA隶属于美国国防部，因此，这些网络攻击工具完全属于军事用途，被称为“网络武器”可谓实至名归。

2017年5月12日，“永恒之蓝”勒索病毒在短时间内席卷全球，犹如网络空间中的“新冠病毒”，给众多企业和个人用户造成了严重的经济损失和数据损失。“永恒之蓝”正是由于其源自NSA网络武器库中的超级漏洞利用工具。“永恒之蓝”事件使国际社会第一次见证了网络武器的可怕威力，但这种“大规模杀伤性”武器却只是NSA庞大网络武器库中的“冰山一角”。

此前，中国国家互联网应急中心还曝出，自2月下旬以来，中国互联网持续遭受到境外组织的网络攻击，其通过攻击控制中国境内计算机，进而转向对俄罗斯等国进行网络攻击。经分析，这些攻击地址主要来自美国，也有少量的攻击地址来自其他国家，其中87%的攻击目标是俄罗斯。

据《环球时报》了解，根据国家计算机病毒应急处理中心的技术分析，“NOPEN”木马被证实对当前多种主流的计算机环境仍然有效。网络安全专家认为，在网络上很可能仍然存在大量没有被发现的受害者，这些受害者面临长期而严重的网络安全风险。国家计算机病毒应急处理中心的报告再次向全世界敲响了警钟。