2017 年，一个名叫 Shadow Brokers 的神秘黑客团体，在 *** 上公布了名为“Lost in Translation”的数据转储，其中包含了一系列据称来自美国国家安全局（NSA）的漏洞利用和黑客工具。此后臭名昭著的 WannaCry、NotPetya 和 Bad Rabbit 勒索软件攻击，都基于这里面提到的 EternalBlue 漏洞。现在，卡巴斯基研究人员又发现了另一座冰山，它就是一个名叫 sigs.py 的文件。

（题图 via ZDNet）

据悉，该文件是一个名副其实的情报数据宝库。作为内置的恶意软件扫描程序，黑客利用它来扫描受感染的计算机，以查找是否存在其它高级可持续威胁（APT / 通常指背后能量巨大的黑客团体）。

总 sigs.py 脚本包括了用于检测其它 44 个 APT 的签名，但在 2017 年泄密之初，许多 *** 安全行业从业者并没有对此展开深入研究，表明 NSA 知晓且有能力检测和追踪许多敌对 APT 的运行。

在上月的一份报告中，卡巴斯基精英黑客手雷部门 GReAT 表示，他们终于设法找到了其中一个神秘的 APT（通过 sigs.py 签名的 #27 展开追踪）。

研究人员称，DarkUniverse 组织从 2009 到 2017 年间一直活跃。但在 ShadowBrokers 泄漏后，他们似乎就变得沉默了。

GReAT 团队称：“这种暂停或许与‘Lost in Translation’泄漏事件的发生有关，或者攻击者决定改用更加现代的 *** 、开始借助更加广泛的手段”。

该公司称，其已在叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白罗斯、以及阿联酋等地，找到了大约 20 名受害者。其中包括了民间和军事组织，如医疗、原子能机构、以及电信企业。

不过，卡巴斯基专家认为，随着时间的推移和对该集团活动的进一步深入了解，实际受害者人数可能会更多。至于 DarkUniverse 恶意软件框架，卡巴斯基表示，其发现代码与 ItaDuke 恶意软件 / APT 重叠。

（稿源：cnBeta，封面源自 *** 。）