NSA 工具外洩變 WannaCry:香港舊 Windows 同 NAS 還欠一堂補丁管理課
Tech News

NSA 工具外洩變 WannaCry:香港舊 Windows 同 NAS 還欠一堂補丁管理課

圖片:via TechCrunch — https://techcrunch.com/2026/05/26/ghost-hackers-the-cybersecurity-mystery-that-nobody-has-solved/
TechLab 編輯部(譯)·

Shadow Brokers 身份未明,教訓仍然好近身

NSA 工具外洩變 WannaCry:香港舊 Windows 同 NAS 還欠一堂補丁管理課

圖:TechCrunch.原文連結

TechCrunch 重提 Shadow Brokers 呢宗仍未解開嘅資安奇案,表面上係一個「邊個偷走 NSA 工具」嘅歷史回顧;但放返香港場景,真正值得記住嘅唔係神秘黑客身份,而係一件政府級攻擊工具點樣由情報系統流出,最後變成普通辦公室、學校、診所同屋企 NAS 都要面對嘅勒索軟件風險。WannaCry 已經係 2017 年嘅事,但佢揭開嘅問題到今日仍然好實際:有幾多舊 Windows、舊掃描器、舊會計機、舊檔案伺服器,仍然因為「唔敢郁」、「冇人理」、「一郁就怕壞」而留喺網上?

呢篇唔係要重溫黑客傳奇,亦唔應該將 Shadow Brokers 包裝成獵奇故事。到而家為止,公開資料仍然未能證實 Shadow Brokers 背後係邊個;有人提出過內鬼、承包商、俄羅斯情報相關操作等不同講法,但冇人因為呢批工具外洩而被正式定罪。真正清楚嘅係,2016 年起流出嘅疑似 NSA 工具,令一批本來只會喺高度機密環境出現嘅攻擊能力,跌入更廣泛嘅犯罪同國家級攻擊生態。對公司 IT team 嚟講,呢個差別好大:你唔需要成為情報目標,都可以被情報工具嘅外洩後果打中。

由情報工具到商業災難

Shadow Brokers 最初喺 2016 年夏天出現,公開聲稱攻破同 NSA 有關嘅 Equation Group,並以拍賣口吻放出部分工具同加密檔案。TechCrunch 原文指出,呢個拍賣可能只係煙幕,因為之後多批工具被直接公開。當年最具破壞力嘅後果之一,就係 EternalBlue 一類針對 Windows SMB 嘅漏洞利用工具流出。SMB 本身係 Windows 檔案分享、打印、遠端服務常用嘅通訊協議;問題唔係「分享檔案」本身,而係當舊版、未修補、可被橫向移動嘅主機連成一片,攻擊者可以由一部機擴散到另一部機。

Microsoft 其實早喺 2017 年 3 月已經發布 MS17-010 修補相關 SMB 漏洞,到 5 月 WannaCry 爆發時,官方更加罕有地為 Windows XP、Windows 8、Windows Server 2003 等已不在一般支援範圍嘅平台提供更新。呢一點經常被忽略:WannaCry 唔係「完全冇補丁可用」嘅災難,而係一場補丁落地失敗、資產盤點不足、舊系統依賴太深嘅災難。喺企業現場,最危險往往唔係冇人聽過 Windows Update,而係有啲機被排除喺更新流程之外,因為佢連住舊儀器、舊軟件、舊 NAS 分享,或者根本冇人知道佢仍然開住 SMBv1。

EternalBlue 之所以成為資安史上重要分水嶺,係因為佢將「漏洞管理」由技術細節變成董事會級風險。WannaCry 之後,NotPetya 亦被廣泛報道使用同類外洩工具去擴散,造成跨國企業營運中斷。呢啲事件說明,攻擊工具一旦公開,唔會只停留喺最初目標或者單一犯罪集團手上;佢會被重用、改裝、同其他惡意程式拼接,變成更易部署嘅攻擊零件。對香港公司而言,重點唔係估下一個 EternalBlue 叫咩名,而係問自己:公司可唔可以喺幾日內確認邊啲系統受影響、邊啲已修補、邊啲要即刻隔離?

香港唔係旁觀者

2017 年 5 月,香港並唔係隔岸觀火。HKCERT 當時將 WannaCry 相關保安公告列為「極高風險」,指新變種透過 Windows SMB 漏洞,即 EternalBlue 同 DoublePulsar,快速散播,並提醒檔案以至網上磁碟都可能受影響。HKCERT 其後嘅 2017 年第二季香港保安觀察報告亦記錄,WannaCry 成為當季本地 botnet bots 排名第一,最高錄得 1,566 個 unique IP connection count。呢個數字唔應該被誇大成所有個案都造成勒索損失,但足以顯示香港網上確實有受感染或相關活動,而唔係純粹外國新聞。

政府同監管機構當時亦有相應提醒。GovCERT.HK 喺 2017 年 5 月 14 日要求立即加強備份、離線保存重要資料、安裝 MS17-010,並建議感染後即時斷開受影響電腦及向 HKCERT 報告;政府新聞稿亦提到資科辦要求部門更新 Windows 軟件同加強資料備份。證監會同日向持牌法團發出通函,指 WannaCry 已感染全球包括香港嘅多部裝置,提醒持牌法團套用安全更新、設好防火牆或寬頻路由器、做離線備份、唔好亂開可疑連結同附件,並喺重大網絡安全事故發生時即時匯報。呢啲都證明,WannaCry 當年已經由技術事故升級成營運同合規問題。

對香港中小企、學校、診所、物流倉、工程顧問同家庭用家,WannaCry 最貼身嘅位係「內網太平面」。一部前台收費機、一部舊 Windows 7 電腦、一部用嚟掃描文件嘅舊一體機、一個用 SMB 分享相簿或會計檔案嘅 NAS,只要同其他電腦放喺同一個信任區,出事時就唔係單機壞,而係整個共享環境一齊暴露。香港辦公室地方細、人手少,IT 工作好多時由外判、兼職或最熟電腦嘅同事處理;但勒索軟件唔會因為公司細就降低破壞力,反而會利用「大家都連同一個分享資料夾」呢種方便。

補丁唔係按一下咁簡單

講補丁管理,好容易變成一句「記得更新」。但 WannaCry 顯示,真正難位係資產、相容性同責任分工。公司要先知自己有咩機,邊啲係 Windows 桌面,邊啲係 Server,邊啲係 NAS,邊啲係影印機、CCTV、門禁、醫療或工業設備,再判斷邊啲支援自動更新,邊啲要手動測試,邊啲已經過咗支援期。Microsoft 近年已經明確指出,Windows 11、Windows Server 2019 及之後版本預設唔再安裝 SMBv1;但香港現場仍可能因為舊 NAS、舊掃描器或舊系統要求而重新開返。每一次「暫時開返先」如果冇記錄、冇時限、冇隔離,就會變成下一次事故入口。

比較務實嘅做法,唔係要求所有舊系統一夜消失,而係將風險分層處理。第一層係可更新就更新,特別係 Windows、瀏覽器、VPN、NAS firmware、備份軟件同遠端管理工具。第二層係無法即時更新嘅設備要隔離,例如放入獨立 VLAN、限制只准必要主機連接、阻擋不必要 SMB 連線,並取消直接對外開放。第三層係訂明退役日期:如果一部舊機因為連住關鍵設備而暫時不能換,就要有負責人、替代方案同預算,而唔係永遠用「暫時」去拖。NCSC 當年亦建議,如果不能套用 MS17-010 或停用 SMBv1,就要盡量隔離仍然脆弱嘅舊技術。

備份要假設內網已經失守

勒索軟件年代,備份唔再等於「有另一隻外置硬碟」或者「NAS 有 RAID」。RAID 係硬碟故障保護,唔係勒索軟件保護;同步雲端碟亦可能只係將加密後嘅檔案同步上雲。HKCERT 同 GovCERT.HK 當年都強調離線備份,NCSC 亦提醒勒索軟件可以加密連住嘅 USB、網上磁碟甚至雲端備份位置。對香港家庭 NAS 或小公司 NAS,最常見誤解係覺得「資料喺 NAS 就安全」。如果 NAS share 長期用同一組帳戶開住寫入權限,受感染電腦一樣可以改寫或加密入面嘅檔案。

更可靠嘅備份策略,應該最少有一份唔長期連住生產環境嘅副本,並定期做還原測試。公司可以用 3-2-1 思路:最少三份資料、兩種媒介、一份離線或離場;但重點唔係口號,而係確認還原時間同資料完整性。診所要知道病人預約同帳務系統幾耐可以恢復,學校要知道共享教材同行政文件點樣分批還原,設計公司要知道 NAS 上嘅大型專案檔案有冇不可變或版本保護。備份如果從未試過還原,只能算係希望,唔算係控制措施。

點樣由歷史教訓變成今日清單

Shadow Brokers 嘅身份十年仍然未明,呢點固然吸引;但對香港公司同家庭用家,更有用嘅結論係將「未知攻擊者」轉化成可落地嘅防線。可以由四件事開始:

  • 盤點資產:列出 Windows、Server、NAS、VPN、路由器、影印機、CCTV、門禁同任何仍然用 SMB 分享嘅設備。
  • 修補同退役:確認 MS17-010 類型嘅關鍵補丁已套用,標出已過支援期系統,定出替換或隔離日期。
  • 限制橫向移動:停用 SMBv1,避免把所有部門、家用電腦、NAS 同舊設備放喺同一個可互通區域。
  • 備份要可還原:保留離線或不可變備份,定期試還原,唔好只信同步雲端碟或長期掛載嘅網上磁碟。
  • 事故流程清楚:一旦出現勒索畫面或大量檔案異常,先斷開受影響設備,保留證據,再通知 IT、供應商、HKCERT 或相關監管機構。

WannaCry 值得今日再講,唔係因為 EternalBlue 仍然係唯一威脅,而係因為佢示範咗一條資安供應鏈:政府級漏洞工具外洩、犯罪集團重用、未修補系統中招、內網分享擴散、備份一齊被鎖。呢條鏈任何一環斷開,損失都可以細好多。香港好多公司同家庭用家未必有大型 SOC、EDR 或紅隊演練,但仍然可以做好最基本亦最有效嘅幾件事:知道自己有咩、及時更新、隔開舊機、保留真正離線嘅備份。Shadow Brokers 係未解之謎;補丁同備份,唔應該再係。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook