2017年，一個名叫Shadow Brokers的神秘黑客團體，在網絡上公佈了名為“Lost in Translation”的數據轉儲，其中包含了一系列據稱來自美國國家安全局（NSA）的漏洞利用和黑客工具。此後臭名昭著的WannaCry、NotPetya和Bad Rabbit勒索軟件攻擊，都基於這裡面提到的EternalBlue漏洞。現在，卡巴斯基研究人員又發現了另一座冰山，它就是一個名叫sigs.py的文件。

（題圖via ZDNet）

據悉，該文件是一個名副其實的情報數據寶庫。作為內置的惡意軟件掃描程序，黑客利用它來掃描受感染的計算機，以查找是否存在其它高級可持續威脅（APT / 通常指背後能量巨大的黑客團體）。

總sigs.py 腳本包括了用於檢測其它44 個APT 的簽名，但在2017 年洩密之初，許多網絡安全行業從業者並沒有對此展開深入研究，表明NSA 知曉且有能力檢測和追踪許多敵對APT 的運行。

在上月的一份報告中，卡巴斯基精英黑客手雷部門GReAT 表示，他們終於設法找到了其中一個神秘的APT（通過sigs.py 簽名的#27 展開追踪）。

研究人員稱，DarkUniverse 組織從2009 到2017 年間一直活躍。但在ShadowBrokers 洩漏後，他們似乎就變得沉默了。

GReAT 團隊稱：“這種暫停或許與’Lost in Translation’洩漏事件的發生有關，或者攻擊者決定改用更加現代的方法、開始借助更加廣泛的手段”。

該公司稱，其已在敘利亞、伊朗、阿富汗、坦桑尼亞、埃塞俄比亞、蘇丹、俄羅斯、白羅斯、以及阿聯酋等地，找到了大約20 名受害者。其中包括了民間和軍事組織，如醫療、原子能機構、以及電信企業。

不過，卡巴斯基專家認為，隨著時間的推移和對該集團活動的進一步深入了解，實際受害者人數可能會更多。至於DarkUniverse 惡意軟件框架，卡巴斯基表示，其發現代碼與ItaDuke 惡意軟件/ APT 重疊。