安全圈 | 专注于最新网络信息安全讯息新闻

首页

美情報系統身陷破窗效應:維琪解密再曝cia驚天內幕

作者 recor 时间 2020-03-02
all

E安全3月8日訊美國當地時間週二,維琪解密曝光了與美國中央情報局(簡稱CIA)相關的新一輪代號為“Vault 7”的秘密資料,涵蓋2013年到2016年相關檔。現時,這是維琪解密曝光過的,與CIA方面相關的最大一批機密資訊。

本次曝光資料中的第一部分完整資訊,代號“Year Zero”!首批外泄內容包含來自位於弗吉尼亞州蘭利市CIA網絡情報中心內網高度隔離的安全保護檔案8761份。文末附“元年”(Year Zero)檔案下載地址!

有人認為這些檔案是維琪解密創始人朱利安·阿桑奇(Julian Assange)本人洩露的。維琪解密原本計畫美國東部時間3月7日早上8點召開視頻發佈會公開“Vault 7”,但是,阿桑奇的Facebook和Periscope流媒體遭遇網絡攻擊,囙此維琪解密被迫重新安排並最終公佈了8700多份機密檔案。阿桑奇現時仍留在厄瓜多駐倫敦大使館逃避逮捕。

這些檔案展示了CIA對毫無戒心的用戶、互聯網科技巨頭、醫療行業、全球政府和領導人可能採取的駭客和間諜行動。

流出的檔案描述了用來攻擊Android手持設備、iPhone、三星電視、Windows PC、Mac和其它設備的安全性漏洞利用,並遠程控制這些設備讀取資訊,通過內置麥克風實施監聽等。這部分檔案涉及感染CD和DVD光碟檔案系統和USB快閃記憶體盤的惡意軟件,以此跳過空氣間隙(Air-Gap:不聯網、也不連接任何系統)科技,感染受保護的機密設備,並加載更多間諜科技和工具。

維琪解密發佈的新聞稿指出:

第一部分資料“元年”(Year Zero)包含8761份檔案和檔案,這些資料源自CIA網絡情報中心(Center for Cyber Intelligence,位於弗吉尼亞州蘭利市)內部一個獨立的、高度安全的網絡。上個月,維琪解密揭露CIA曾偵察2012年法國大選。

最近,CIA失去了對大多數駭客武器的掌控,包括惡意軟件、病毒、木馬、武器化“零日”漏洞、惡意軟件遠程控制系統和相關文檔。這些內容加起來總共超過數億行程式碼,擁有這些工具的人囙此具備了CIA的整個駭客能力。

Vault 7的資料的第一部分“元年”(Year Zero)介紹了CIA全球隱密駭客計畫的範圍和方向。CIA利用惡意軟件和幾十個零日武器化漏洞攻擊大量美國和歐洲公司的產品,包括蘋果公司的iPhone、穀歌的Android和微軟的Windows和三星電視。

這部分檔案還強調CIA入侵目標智能手機和智慧設備並從中選取機密數據的策略。另外,洩露的檔案揭露,CIA如何與英國的MI5合作入侵三星智慧電視,並監控用戶。

檔案指出,入侵三星智慧電視的行動代號為“哭泣的天使”(Weeping Angel)。感染該設備後,Weeping Angel將目標電視設定為“假關機”模式,使用戶誤以為電視處於關機狀態。實際上,在“假關機”模式下,該電視充當的是一個漏洞,記錄房間內的對話,並通過互聯網發送至一個隱秘的CIA服務器。

簡而言之,Vault 7洩露CIA攻擊iPhone、Android、智慧電視、Windows、OSX、Linux、路由器的惡意軟件和零日漏洞,並揭示CIA將美國駐德國法蘭克福市領事館作為駭客的秘密基地。

這起洩露事件的規模到底有多大?

Vault 7檔案已經超過了斯諾登過去三年洩露的檔案總數。

到2016年底,CIA的駭客部門(正式被歸入CIA網絡情報中心(CCI))擁有超過5000名註冊用戶,並建立了超過1000個入侵系統、木馬、病毒和其它武器化惡意軟件。這是CIA 2016年之前的規模,CIA的駭客使用的程式碼比Facebook還要多。事實上,CIA創建了自己的NSA,但涉及的問責較少,也不用公開回答:支出如此巨額的預算構建重複的能力是否合理。

這些檔案不止包含壓縮檔和PDF,還包含大量GIF和JPG圖片——大多都是老舊的表情包。

遺憾的是,尚不清楚CIA為何需要大量的表情包。也許CIA使用這些表情包翻譯所有公民的網路流行語,甚至在跨機构使用。其中許多表情圖示用來處理網路安全和科技監控。

在“哲學迅猛龍”(Philoceraptor)計畫中,可能具有更深刻的哲學意義,可能表明CIA尋求入侵汽車和電視。

y=ー(゚д゚)・∵. CIA note:“shot my head [sic].”

(゚Д゚)y—┛~~CIA note:“smoking.”

(\/)(°,,°)(\/) CIA note:“WOOPwoopwowopwoopwoopwoop [sic]!”

(`・ω・´)CIA note:“Pedobear?”

ᶘᵒᴥᵒᶅCIA note:“baby seal [Editor's note: this is actually pedobear].”

(ღ˘⌣˘ღ) CIA note:“no thx [sic]”

(屮゚Д゚)屮CIA note:“'Come on' or 'Come here.'”

(‘・ω・´)“ CIA note:”innocent happy [ sic].“

◖|◔◡◉|◗ CIA note:“ sic].”  

值得注意的是,這次洩露的檔案涵蓋了2013年2016年的事件,但是檔案獲取時間為2016年。但是,尚不清楚,維琪解密如何獲得如此海量的數據。另外,這些檔案還未經證實,要驗證可能需要一些時間。

維琪解密稱,仍在仔細查看這些檔案。從目前來看,這些零日漏洞影響的是較舊的Android和iOS版本。無論如何,維琪解密希望借此就CIA的能力促成公共討論。

以下內容E安全整理自維琪解密官網

文末附“元年”(Year Zero)檔案下載地址!

“Year Zero”包含的重要資訊

“Year Zero”內容包含:CIA全球隱匿駭客計畫的方向及其規模;龐大的駭客工具庫;網絡攻擊入侵活動對象(微軟、安卓、蘋果iOS、OS X和Linux等作業系統和三星智慧電視,甚至是車載智慧系統和路由器等網絡節點單元和智慧設備)等。

其惡意軟件武器庫與數十種武器化“零日漏洞”利用方案指向一系列美國與歐洲企業的產品。

報導稱CIA已經失去了對大部分自有“駭客工具”的掌控權,現時包括惡意軟件、病毒、木馬、武器化零日漏洞(0day漏洞)、惡意軟件遠程控制系統以及相關檔已洩露。這一系列高含金量的網絡“武器”包含數億行程式碼,任何人持有這批工具和檔案都等同於擁有完整的CIA入侵科技。這份檔案檔案可能正以未經授權的管道在前美國政府、駭客和承包商間傳播。

維琪解密締造者朱利安·阿桑奇(Julian Assange)指出:“網絡武器的開發有可能帶來極端性的擴散風險。之所以應對此類‘武器’在不受控制情况下的擴展加以關注,是因其擁有極高的市場價值但卻未被列入全球武器貿易控制條款之內。而‘Year Zero’的意義已嚴重破壞了網絡戰爭與網絡和平之間的平衡。無論是從政治、法律還是取證角度來評判,此次洩露都是一種意外。”

維琪解密對“Year Zero”中的一些可識別資訊進行編輯與匿名化處理等等,儘管任何一種解決方法都可能達不到完美的效果,維琪解密仍然堅持自有的發佈模式,儘管如此,‘YearZero’的已發佈頁數已經超過此前三年當中愛德華-斯諾登洩露的美國國安局內部資料數量的總和。

CIA的發展歷程

自2001年以來,CIA方面獲得了超越美國國家安全局(簡稱NSA)的政治與預算優先權。CIA已具備建立起如今已經臭名昭著的無人機編隊的能力,同時亦能够凝聚起一股不同於以往的隱匿性的全球武裝力量——即大規模的駭客活動。該機构的駭客部門各類常見且存在爭議的行動將不必借用美國國安局(作為其主要政府層面競爭對手)提供的駭客能力。

截至2016年年末,CIA旗下歸屬於其網絡情報中心(簡稱CCI)的駭客部門已經擁有超過5000名註冊用戶,並開發出超過1000種駭客系統、木馬、病毒以及其它“武器化”惡意軟件。而根據CIA方面作出的承諾,2016年年內其下轄駭客將持有超過Facebook公司正常運營所需要的程式碼數量。到這時,CIA實際上已經建立起“自己的國安局”,但卻無需承擔相關責任,也不需要理會——利用如此龐大的預算開支支持兩個職能重疊的相互競爭性機构是否合理——這樣的置疑。

相關人士表示現時迫切需要以公開辯論的管道對政策細節進行磋商,具體討論CIA的駭客能力是否已經超過了其授權水准以及是否有必要設立公共監督機構等問題,包括網絡武器的安全性、開發方式、使用管道、傳播管道以及民主控制管道等議題。

CIA開發的惡意軟件與駭客工具由EDG(即工程技術開發小組)負責構建,這是一支歸屬於CCI(即網絡情報中心)的軟體發展團隊,而CCI則隸屬於CIA旗下的DDI(即數位化創新指導)部門。DDI為CIA轄下的五大主要指導部門之一(具體請參閱CIA組織結構圖表)。EDG負責開發、測試及操作全部後門、漏洞、惡意載荷、木馬、病毒以及其它各類由CIA在其全球範圍內各秘密行動中所使用的惡意軟件。

由於CIA下轄的具體組織結構並不公開,這份結構圖的作用在於對CIA的內部組織進行粗略描述,囙此並不完整。

除此之外,CIA的駭客武器儲備還包括從GCHQ、國安局、FBI處獲得,或者從Baitshop等網絡武器承包商處採購。

CIA惡意軟件針對iPhone、Android與智慧電視設備

監控科技的日趨複雜與喬治-奧威爾(George Orwell)在其著作《1984》中的描述不謀而合,而由CIA旗下嵌入式設備分部(簡稱EDB)開發的用於入侵智慧電視並將其轉換為隱蔽型麥克風的方案,無疑是其中最具象徵性的體現。

這一針對三星智慧電視的攻擊手段由CIA協同英國MI5/BTSS共同合作開發完成。在感染設備之後,代號為“Weeping Angle(哭泣天使)”的惡意軟件將目標電視切換至“假關閉”模式,誘導電視的擁有者將誤以為該設備已經被正常關閉。在“假關閉”模式下,電視實際上以bug的形式正常啟動,並記錄房間中的對話同時將檔案通過互聯網發送至某隱蔽的CIA服務器當中。

2014年10月,CIA方面考慮入侵現代轎車與卡車當中所使用的主流車輛控制系統。尚無檔案明確此類活動的具體目的,但可以預見該活動能讓CIA具備實施悄無聲息的暗殺活動。

CIA的移動設備分部(簡稱MDB)則開發出多種針對主流智能手機的遠程入侵與控制攻擊方案。受感染的手機可在操控之下向CIA發送用戶的當前地理位置、本機音訊與文字通信內容,同時在不知不覺中悄然啟動手機的監視器與麥克風功能。

“Year Zero”顯示,CIA在2016年內獲得了24款“武器化”Android“零日漏洞”,其中部分由自身開發,亦有一部分來自GCHQ、國安局以及各網絡武器承包商。單在去年一年內,全球市場共售出11.5億臺Android手機產品,占智能手機85%市場。

儘管iPhone2016年的全球智能手機市場份額只有14.5%,但其在社會、政治、外交以及商業精英群體當中擁有相當可觀的普及度。CIA仍專門為其設計了一款惡意軟件,用於適應iOS系統的入侵、控制、資訊竊取。

這些科技方案都是通過攻擊目標智能手機以繞過WhatsApp、Signal、Telegram微博、Confide以及Cloackman等採用的加密機制,從而在加密方案起效之前對設備中的音訊與消息流量加以收集。

CIA惡意軟件針對Windows、OS X、Linux與各類路由器設備

CIA亦擁有多個大規模項目,旨在對微軟Windows用戶實施感染與控制。

其中包括多項本地及遠程形式的武器化“零日漏洞”,例如能够對以CD/DVD為載體的分發軟件進行感染的“Hammer Drill”、用於感染U盤等可移動介質的惡意軟件以及可在鏡像或者隱藏分區內保存數據以維持惡意活動持續運作的系統(BrutalKangaroo)。

大部分感染方案由CIA旗下的自動化植入分部(簡稱AIB)負責實現,其亦開發出多套用於實現自動化感染與CIA惡意軟件控制的攻擊系統,包括“Assassin”以及“Medusa”。針對互聯網基礎設施與Web服務器的攻擊方案則由CIA旗下的網路設備分部(簡稱NDB)負責開發。

CIA方面亦開發出多種自動化多平臺惡意軟件攻擊與控制系統,其影響能力涵蓋Windows、Mac OS X、Solaris以及Linux等系統環境,具體包括EDB打造的“HIVE”與相關“Cutthroat”及“Swindle”工具——其具體功能將在後文中以示例形式說明。

CIA“儲備”安全性漏洞違背奧巴馬政府作出的承諾

在愛德華-斯諾登洩露美國國安局內部資料之後,美國科技業界從奧巴馬政府處獲得了一項承諾,————即政府部門將持續披露,而非刻意儲備各類涉及蘋果、穀歌、微軟及其它美國本土產品製造商的高危安全性漏洞、缺陷、bug或者“零日漏洞”。為防止這些漏洞被國外情報機構或者網絡犯罪組織非法利用,防止大量美國公民及關鍵性基礎設施置於危險當中。

各本土科技企業表示這種囤積漏洞的作法很可能導致其在全球市場上因面臨巨大的實際及認知層面安全風險而失去優勢份額。之後,美國政府便表示將披露在2010年之後不斷發現的各類普遍性安全性漏洞。

“Year Zero”檔案的曝光證明CIA違背了奧巴馬政府作出的承諾。CIA網絡武器庫中所使用的多數漏洞符合普遍性這一指導原則,且其中一部分可能已經被敵對國家的情報機構或者網絡犯罪組織所發現。

舉例來說,“Year Zero”當中指出,特定CIA惡意軟件有能力滲透、侵擾及控制運行有或者曾經運行有Twitter帳戶的Android及iPhone軟件。CIA方面利用其持有的尚未公開的安全性漏洞(即‘零日漏洞’)對該軟件進行攻擊。但如果CIA方面有能力實現此類攻擊,那麼所有獲得或者發現此項漏洞的人士亦能够採取同樣的攻擊手段。而只要CIA方面繼續保有這些漏洞且拒絕向蘋果及穀歌(手機製造商)公佈,那麼相關漏洞將無法得到修復,而此類產品將始終處於安全威脅之下。

同樣的安全性漏洞亦存在於廣大公眾當中,包括美國內閣、國會、高層CEO、系統管理員、安全官員以及工程師群體。為了確保能够對各類對象加以入侵與監控,CIA方面拒絕將安全性漏洞透露給蘋果與穀歌等廠商,而上述群體亦囙此身陷風險。

“網絡戰爭”計畫帶來嚴重的擴散風險比覈武器帶來的破壞力更難控制

網絡“武器”幾乎不可能得到有效控制。

雖然覈武器同樣擁有强大的破壞力,但其巨大的成本與嚴苛的基礎設施限制條件意味著其擴散處於天然可控狀態,意味著敵對勢力很難建立必要的基礎設施、收集充足的核裂變資料以達到必要的核質量臨界值。顯然,網絡“武器”的控制更具難度。

網絡“武器”與其它軟體一樣易於進行翻版,能够輕鬆實現複製且不會帶來任何邊際成本。保護此類“武器”也極為困難,因為開發者與使用者同樣具備不留痕跡而進行複製獲取的能力——有時攻擊方甚至會利用同樣的“武器”對原本的持有者進行入侵。同時,全球範圍內的“安全性漏洞市場”有時會為此類“武器”開出數十萬甚至數百萬美元的高價,對於政府駭客及安全顧問而言,他們完全有動機洩露此類資訊副本。同樣的,擁有此類“武器”的承包商及企業有時會利用其實現自己的目的,包括在銷售“駭客”服務方面實現市場競爭優勢。

除此之外內部資料外泄最大的威脅很可能就在機构內部。過去三年以來,由CIA、國安局等政府機構及其承包商(Booze Allan Hamilton等)組成的美國情報行業已經遭遇一系列由內部工作人員引發的數據洩露事故。部分可溯事件的相關人員受到了相應的制裁。

其中最具知名度的案例:美國聯邦政府陪審團於2017年2月8日對哈樂德-T-馬汀三世(Harold T. Martin III)就20項保密資訊不當處理一事進行審理。從哈樂德-T-馬汀三世手中就洩露了獲得約5萬GB資訊,其中包含大量來自國安局與CIA的保密計畫,具體包括多款駭客工具的原始程式碼。

一旦某款網絡“武器”遭到“洩露”,其在數秒鐘內即會擴散至世界各地,並為敵對國家、網絡犯罪組織以及少年駭客所使用。

美國駐法蘭克福領事館為CIA的秘密駭客基地

除了位於弗吉尼亞州蘭利事的機构設施之外,本次洩露的資訊中透露CIA還利用美國駐法蘭克福領事館作為其對歐洲、中東與非洲實施駭客活動的秘密基地。

在法蘭克福領事館內行動的CIA駭客(歐洲網絡情報中心,簡稱CCIE)被授予外交(‘黑色’)護照並由國務院提供掩護,一旦順利抵達法蘭克福,CIA的駭客們無需接受進一步邊界檢查即可前往歐洲的25個國家,其中包括法國、義大利以及瑞士等多個申根協議內的邊界開放地區。

這批來自CIA的駭客使得德國的反情報工作顯得軟弱無力:

“通過德國海關非常輕鬆,因為你的行動得到了美國政府的掩護,囙此德國只能在護照上直接蓋章。”

此次出行的目的

問:您為何來此?

答:為領事館提供技術諮詢。

此前發佈的兩份維琪解密出版品提供了關於CIA處理海關與二次篩選程式的更多細節性方法。CIA還擁有一系列採取物理接近式實施途徑的電子攻擊手段。此類攻擊方法能够入侵未接入互聯網的高安全性網絡,比如警詧記錄資料庫。

在此類情况下,根據訓示行事的CIA工作人員、代理人或者聯合情報官員需要親身滲透至目標工作場所之內。攻擊者攜帶由CIA負責提供的、可實現行動目標的惡意U盤設備,並負責將其接入目標電腦當中。在感染成功後,攻擊者即可將數據移動至可擕式存儲介質之內。

例如,CIA的Fine Dining攻擊系統能够為CIA間諜人員提供24款誘導性應用。根據評估所言,間諜人員可能運行了用於播放視頻的程式(例如VLC)、展示幻燈片(Prezi)、運行電腦遊戲(〈打磚塊2〉,〈2048〉)甚至是偽造的病毒掃描工具(卡巴斯基、McAfee、Sophos)。在荧幕中顯示誘導應用的同時,底層系統已經自動受到了感染與入侵。

以軍事行為對比分析CIA行為的擴散風險

此次洩露資料中發現了一個非常神奇的情况——CIA構建起了自己的分類制度,以便對“Vault7”中最具市場價值的部分進行劃分,具體包括CIA武器化惡意軟件(植入+零日漏洞)、監聽站(簡稱LP)、命令與控制(簡稱C2)系統等,而且這些機构幾乎不具備任何法律追索權,CIA也並未對這些系統進行保密。

CIA未對其網絡武器儲備進行保密,側面反映了其低估了這類軍事用途的開發成果在網絡“戰爭”的“戰場”之上的擴散性。

為了對目標實施打擊,CIA通常要求其植入程式通過互聯網與其控制程式進行通信。如果CIA的植入程式、指揮與控制乃至監聽站軟件加以保密,則CIA官員很可能因違反將保密資訊發佈至互聯網之上的規則而遭到起訴或者相關行動被駁回。

囙此,CIA暗中以未保密管道保留其大部分網絡間諜/作戰程式碼。

由於受到美國憲法的限制,美國政府亦無法對這些程式碼提出版權所有要求。這意味著網絡“武器”開發商及電腦駭客能够在獲得此類“武器”後對其進行自由“盜版”。考慮到這一點,CIA必須主要依靠混淆機制保護其惡意軟件不受窺探。

飛彈等常規武器能够向敵方直接發射(即進入非安全區域)。接近或者與目標撞擊以引爆彈藥的系統中即包含保密組件,但其在爆炸的同時即被銷毀。囙此,軍事人員在利用保密組件發射彈藥時並不違反相關保密規則。如果彈藥未能正常爆炸,亦不屬於作戰人員的主觀意圖。

過去十年以來,美國的駭客行動越來越多地以軍事術語進行修飾,旨在拉攏美國國防部的資金援助。例如,其試圖將“惡意軟件注入”(商業術語)或者“植入程式投放”(國安局術語)稱為“發射”,用以將其同武器發射相提並論。但這一比喻實際上存在問題。

與子彈、炸彈或者飛彈不同,大部分CIA惡意軟件的設計目標是在抵達“目標”系統後存在數天甚至數年時間。CIA惡意軟件不會“導致爆炸”,而是希望永久性感染其攻擊目標。為了實現這一效果,惡意軟件副本必須長期駐留在目標設備之上,這意味著目標系統實際上已經擁有該惡意軟件。而為了將竊取到的數據發送回CIA或者等待進一步指令,惡意軟件必須通過互聯網與CIA的命令與控制(簡稱C2)系統服務器進行通信。但是此類服務器通常不可用於保存保密資訊,囙此CIA所使用的命令與控制系統亦處於非保密狀態。

成功的電腦系統“攻擊”活動更像是以敵對立場發佈收購出價或者散佈謠言以實現複雜的股票操縱,這是一類實現目標領導權控制的作法,而顯然不同於武器發射系統。如果需要在軍事層面作出類比,則感染目標的行為更類似於針對目標領土的一系列軍事演習舉措,具體包括偵察、滲透、佔領與利用。

回避取證與反病毒方案

CIA駭客討論了國安局旗下同類駭客小組曾經犯下的錯誤,並以此為基礎思考如何讓CIA的惡意軟件避免遭受類似的曝光問題。

CIA出臺了一系列標準以規範其惡意軟件的感染模式,而這些模式可能足以回避犯罪現場調查人員、蘋果、微軟、穀歌、三星、諾基亞、黑莓、西門子以及各大反病毒廠商對於此類攻擊行為的歸因與防禦。

CIA規則當中包含的“間諜情報科技中的應與不應”要求指定了其惡意軟件應如何編寫,從而避免存在“CIA、美國政府或者其入侵合作夥伴廠商”的指紋資訊。類似的秘密標準包括利用加密機制以隱藏CIA入侵與惡意軟件通信(pdf)、描述目標與洩露數據(pdf)以及執行有效載荷(pdf)並在目標設備上實現持續駐留(pdf)。

CIA駭客還開發出多種針對當前知名反病毒程式的成功攻擊手段,並將其根據反病毒程式抵禦、個人安全產品、檢測與打擊PSP以及PSP/調試器/RE回避等分類進行記錄。比如:CIA惡意軟件能够將自身置於Windows的回收站當中,從而回避Comodo的檢測。不過其6.x版本本身亦包含一個“致命漏洞”。

 CIA的工程技術開發小組(簡稱EDG)管理系統包含約500個不同項目(其中只有一部分被收錄在‘Year Zero’當中),且各項目之下還擁有自己的子項目、惡意軟件與駭客工具。其中大部分項目涉及用於實現滲透、侵擾(‘植入’)、控制以及數據竊取的相關工具。

另一個開發分部則專注於監聽站(簡稱LP)及命令與控制(簡稱C2)系統的開發與操作,其主要用於對CIA各植入程式進行通信與控制,亦有多個特別項目針對從路由器到智慧電視的具體硬體設備。

下麵我們將共同瞭解其中部分示例性項目,感興趣的朋友亦可參閱維琪解密的“Year Zero”完整項目清單瞭解更多相關內容。

UMBRAGE

UMBRAGE中的組件包括鍵盤記錄器、密碼集合、網絡監視器捕捉、數據銷毀、持久性、許可權陞級、隱匿、反病毒(PSP)回避以及調查科技等等。這款由CIA自主開發的駭客技術方案旨在幫助其解决一大難題。

實際上CIA開發的每項科技都擁有自己的“指紋”,取證調查人員可以以此為基礎通過多項不同攻擊將其歸因為同一惡意實體。

CIA遠程設備分部下的UMBRAGE小組負責收集並維護一套包含大量科技科技方案的資源庫,這些科技來自包括俄羅斯聯邦在內的各個國家。

憑藉著UMBRAGE及其它相關項目,CIA不僅能够提升其攻擊類型的總體數量,同時亦可通過誤導性地留下盜用來的“指紋”使得受害者進行錯誤歸因。

這類似於通過多起獨立謀殺案中的受害者尋找特殊的刀傷特徵。其中鮮明的傷痕風格往往能够有效縮小潜在嫌疑人範圍。而一旦其中的某一比特嫌疑人落網,那麼其他謀殺罪犯的歸因可能性也將由此提高。

Fine Dining

Fine Dining提供一份標準化問卷,即由CIA案例官員負責填寫的清單。

這份問卷使得OSB能够快速瞭解如何調整現有工具操作管道,並將結論傳達給CIA惡意軟件配寘人員。OSB可以被視為CIA運營人員與技術支援人員之間的溝通樞紐。這份調查表由CIA內部的OSB(即行動支持處)使用,旨在將相關人員的請求轉換為面向特定駭客攻擊操作人員的技術性要求(通常為‘從電腦系統中’竊取資訊)。

其提供的目標清單中可能包含“資產”、“附帶資產”、“系統管理員”、“國外資訊行動”、“國外情報機構”以及“國外政府機構”等條目。其中不會包含任何與極端分子或者跨國犯罪分子相關的內容。“案例官員”亦應根據要求指定入侵目標環境,包括電腦類型、所使用之作業系統、互聯網連接與已安裝反病毒工具(PSP)以及需要竊取的檔案類型清單,例如Office檔案、音訊、視頻、影像或者定制化檔案類型。這份“清單”亦要求提供相關資訊以論證目標是否能够重複進行訪問,且攻擊者能够在怎樣的時間週期之內保證自身訪問活動不會被察覺。此資訊由CIA的“JQJIMPROVISE”軟件(詳見下文)用於配寘出一組能够與行動目標確切匹配的CIA惡意軟件集合。

Improvise(JQJIMPROVISE)

“Improvise”是一款工具集,專門用於實現配寘、後期處理、有效載荷設定以及執行向量選擇等任務,進而支持面向各類主要作業系統——包括Windows(Bartender)、Mac OS(廢紙簍)以及Linux(DanceFloor)——的調查/篩選工具。其採用的Margarita等配寘工具允許NOC(即網絡運營中心)使用符合“Fine Dining”調查問卷要求的定制化工具。

HIVE

HIVE是一款多平臺CIA惡意軟件套件及其相關控制軟件。該項目面向Windows、Solaris、MikroTik(用於互聯網路由器)以及Linux平臺提供定制化植入程式,同時亦具備一套監聽站(簡稱LP)/命令與控制(簡稱C2)基礎設施以實現與此類植入程式的通信。

各植入程式通過配寘以經由HTTPS同偽裝域的Web服務器進行通信;利用這些植入程式實現的每一項操作都擁有獨立的偽裝域,而該基礎設施則負責處理全部偽裝域。

每一偽裝域都可被解析為一條位於商用VPS(即虛擬私有服務器)供應商處的IP地址。該公開服務器將全部輸入流量通過VPN轉發至一臺負責處理實際用戶端連接請求的“Blot”服務器。其設定還提供可選SSL用戶端認證機制:如果某用戶端發送有效的實施意見證書(僅植入程式具有此證書),則連接即會被轉發至負責同植入程式互動的“Honeycomb”工具服務器當中;如果無法提供有效證書(例如有人偶然試圖打開偽裝域網站),則流量會被轉發至偽裝服務器並交付一個不可靠網站。

Honeycomb工具服務器接收來自植入程式的外泄資訊;操作者還能够對植入程式下達命令以在目標電腦上執行其它操作,囙此該工具服務器相當於充當了植入程式的C2(命令與控制)服務器。

RickBobby項目亦提供類似的功能,但僅限於Windows系統環境。

在此查看HIVE的保密用戶與開發者指南。

維琪解密“Vault 7”檔案下載地址:

連結:http://pan.baidu.com/s/1hs7Nm0c

密碼:o93n

如下載地址失效,可前往E安全入口网站獲取新的下載地址

檔案解壓密碼請在E安全微信公眾號內回復“ Vault7”獲取!

PS:某些檔案可能會使殺毒軟體報毒,建議在虛擬機器內解壓運行!

E安全注:本文系E安全獨家編譯報導,轉載請聯系授權,並保留出處與連結,不得删减內容。聯繫方式:①微訊號zhu-geliang②郵箱[email protected]

@E安全,最專業的前沿網路安全媒體和產業服務平臺,每日提供優質全球網路安全資訊與深度思考,歡迎關注微信公眾號「E安全」(EAQapp),或登E安全入口网站www.easyaq.com,查看更多精彩內容。