2017年，一個(gè)名叫ShadowBrokers的神秘黑客團(tuán)體，在網(wǎng)絡(luò)上公布了名為“LostinTranslation”的數(shù)據(jù)轉(zhuǎn)儲(chǔ)，其中包含了一系列據(jù)稱來(lái)自美國(guó)國(guó)家安全局（NSA）的漏洞利用和黑客工具。

此后臭名昭著的WannaCry、NotPetya和BadRabbit勒索軟件攻擊，都基于這里面提到的EternalBlue漏洞。現(xiàn)在，卡巴斯基研究人員又發(fā)現(xiàn)了另一座冰山，它就是一個(gè)名叫

sigs.py

（題圖viaZDNet）

據(jù)悉，該文件是一個(gè)名副其實(shí)的情報(bào)數(shù)據(jù)寶庫(kù)。作為內(nèi)置的惡意軟件掃描程序，黑客利用它來(lái)掃描受感染的計(jì)算機(jī)，以查找是否存在其它高級(jí)可持續(xù)威脅（APT/通常指背后能量巨大的黑客團(tuán)體）。

總sigs.py腳本包括了用于檢測(cè)其它44個(gè)APT的簽名，但在2017年泄密之初，許多網(wǎng)絡(luò)安全行業(yè)從業(yè)者并沒(méi)有對(duì)此展開深入研究，表明NSA知曉且有能力檢測(cè)和追蹤許多敵對(duì)APT的運(yùn)行。

在上月的一份報(bào)告中，卡巴斯基精英黑客手雷部門GReAT表示，他們終于設(shè)法找到了其中一個(gè)神秘的APT（通過(guò)sigs.py簽名的#27展開追蹤）。

研究人員稱，DarkUniverse組織從2009到2017年間一直活躍。但在ShadowBrokers泄漏后，他們似乎就變得沉默了。

GReAT團(tuán)隊(duì)稱：“這種暫停或許與‘LostinTranslation’泄漏事件的發(fā)生有關(guān)，或者攻擊者決定改用更加現(xiàn)代的方法、開始借助更加廣泛的手段”。

該公司稱，其已在敘利亞、伊朗、阿富汗、坦桑尼亞、埃塞俄比亞、蘇丹、俄羅斯、白羅斯、以及阿聯(lián)酋等地，找到了大約20名受害者。其中包括了民間和軍事組織，如醫(yī)療、原子能機(jī)構(gòu)、以及電信企業(yè)。

不過(guò)，卡巴斯基專家認(rèn)為，隨著時(shí)間的推移和對(duì)該集團(tuán)活動(dòng)的進(jìn)一步深入了解，實(shí)際受害者人數(shù)可能會(huì)更多。至于DarkUniverse惡意軟件框架，卡巴斯基表示，其發(fā)現(xiàn)代碼與ItaDuke惡意軟件/APT重疊。