“影子经纪人”真实身份是NSA内鬼？

　　美国政府正在追踪“影子经纪人”（Shadow Brokers）的身份。Shadow Brokers 4月泄露了大量NSA Windows漏洞利用，其中某些漏洞被利用来实施了两起席卷全球的勒索软件攻击。

　　Shadow Brokers正式被美三方联合立案调查

　　据报道，美国政府接触大量前NSA雇员试图解开这些工具如何落入Shadow Brokers之手。FBI、国家反情报与安全中心以及NSA内部警务小组Q Group联合展开调查。

　　虽然调查人员认为，NSA前雇员（NSA内部雇员或承包商）难脱嫌疑，但进一步调查无法排除其它可能性，即现任NSA雇员也可能与Shadow Brokers有关联。

　　Shadow Brokers用蹩脚的英文定期发布消息，推销新一批漏洞利用。两名研究人员试图购买这些漏洞，但被告知可能会违法后打消了念头。

　　目前尚不清楚，Shadow Brokers究竟是NSA员工或承包商。但两名知情人士透露，调查排除了哈罗德·马丁（NSA承包商博思艾伦汉密尔顿公司的雇员）的可能性，毕竟他目前正在监狱服刑。

　　NSA对研究人员的这一猜测并未予以置评。

　　影子经纪人如何一步步博得关注度？

　　近一年来，Shadow Brokers出尽风头。

　　2016年8月

　　Shadow Brokers于去年8月首度浮出水面，出售“方程式组织”（Equation Group）使用的黑客工具。江湖传言“方程式组织”是为NSA效力的黑客组织。

　　2017年1月

　　Shadow Brokers出售NSA大量Windows漏洞利用。

　　在此之后，Shadow Brokers又将这些漏洞利用公开泄露在网上。

　　其中一个漏洞 “永恒之蓝”（ETERNALBLUE）被黑客利用开发了WannaCry勒索软件。WannaCry勒索软件今年5月在全球范围内爆发，150多个国家受到影响，30万名用户中招，造成损失达80亿美元。

　　另一个漏洞是“永恒浪漫”（ETERNALROMANCE），被黑客用来开发Petya（也被称为NotPetya、ExPetr、Nyetya和GoldenEye），该恶意软件于今年6月攻击了欧洲的Windows电脑，并散布至其它国家。

　　2017年5月

　　Shadow Brokers宣称：将从今年6月开始，逐月出售包括浏览器、路由器、手机漏洞及相关工具、新的攻击行动disk（和此次传播勒索蠕虫病毒的Windows武器库一样，包括NSA支持的Windows 10网络攻击武器），还有更多的SWIFT供应商和央行入侵数据，以及针对中国、俄罗斯、伊朗和朝鲜的导弹和核弹计划的内部网络数据。

　　2017年7月

　　Shadow Brokers再次宣布推出订阅服务，将会为愿意支付数千美元的买家提供更多NSA工具。近几个月Shadow Brokers的行事作风有些变化，他们改变了机密信息的分享方式，其余方面照旧。

　　考虑Shadow Brokers的行事作风，也有人认为该组织是国家攻击者，可能是俄罗斯黑客组织。其身份之谜是今年信息安全行业最热门的话题之一。

　　黑帽大会上关于Shadow Brokers是NSA内鬼的分析

　　在Black Hat 2017安全盛会上，威胁检测公司Comae Technologies创始人马特·弗西对Shadow Brokers做出了自己的解读，他也认为Shadow Brokers是NSA内鬼，而非外部国家攻击者。

　　弗西表示，美国国防与情报界雇用了数万个承包商，而大量内鬼近几年浮出水面，包括斯诺登和马丁。Shadow Brokers最初泄露的工具相对较少，第一批免费漏洞利用包括许多常用防火墙产品中的漏洞，随后又曝光了Solaris操作系统漏洞利用， 还包括“方程式组织”针对目标（包括中国和伊朗等国的域名）等详情。

　　弗西指出，Shadow Brokers要做的不只是泄露并出售NSA网络武器，种种不算低调的行为表明，其还想博得头条，赢得关注。

　　据报道，共和党人威尔·赫德表示，“了解真相”是美国情报机构和众议院情报委员会的“重中之重”。而赫德是唯一公开评论Shadow Brokers的国会议员。