NSA被竊駭客工具不只引發WannaCry，還被用來攻擊數十萬電腦遙控挖礦

NSA被竊駭客工具後患無窮。駭客團體影子掮客公佈NSA發展的駭客工具被用作勒贖軟體WannaCry發動全球攻擊，不過周一安全公司Proofpoint指出，同樣的工具其實早在前幾周，就被用來感染更多電腦，以便透過挖礦賺取加密貨幣。 

WannaCry使用的攻擊工具，包括Eternalblue及DoublePulsar，其實都是在4月隨著影子掮客公佈 NSA檔案而公諸於世。其中EternalBlue開採Windows TCP 445通訊埠的Server Message Block (SMB)漏洞，以入侵有漏洞的連網PC。而NSA開發的後門程式DoublePulsar，這次則是被WannaCry用來植入受害電腦中。 

不過安全公司Proofpoint發現，其實早自4月24日到5月2日之間還有另一樁攻擊，也是使用Eternalblue和DoublePulsar來植入加密貨幣挖礦工具Adylkuzz。 

研究人員初步估計這樁攻擊沒有勒贖訊息因而不為人知，但其實規模更甚Wanna，影響全球數十萬台PC及伺服器。 

研究人員發現，全球有20多台虛擬主機掃瞄網路上開啟的TCP 445通訊埠以尋找目標。之後以EternalBlue成功開採漏洞、並植入DoublePulsar後門程式，後者再從另一台主機下載、執行Adylkuzz。Adylkuzz開始執行後（下圖，來源：Proofpoint），就會切斷SMB連線，然後判斷受害者電腦的IP位置，下載挖礦指令、挖礦軟體及清除工具。研究人員相信網路上執行Adylkuzz指令及挖礦二進位程式、挖礦指令的C&C伺服器也超過20台。 

駭客利用Adylkuzz挖取也十分受歡迎的加密貨幣Monero，這個新興貨幣近來因為獲得暗網上交易黑市AlphaBay的採用而普及。挖礦十分耗運算效能，但挖礦者可以因此獲得7.58 Moneros或約205美元的報酬。 

被植入Adylkuzz而被納編為挖礦傀儡網路的PC會出現無法存取網路芳鄰，以及PC和伺服器效能下降等癥狀。許多大型企業昨日通報為WannaCry的攻擊，其實來自早先這樁攻擊。 

但有趣的是，由於這「攻擊」會關閉SMB網路連線，以切斷之後惡意程式（包括WannaCry蠕蟲），透過同一漏洞進行感染，因此事實上它還有助於縮小WannaCry感染的範圍。 

NSA及中情局（CIA）被洩露的攻擊工具接二連三造成全球PC用戶受害，也引來微軟炮轟，指政府蒐集軟體漏洞資訊開發攻擊工具卻不慎外流，就如同美國軍方戰斧飛彈失竊一樣危險。