其他
重磅揭秘!中情局5种网络手段,对外发动“颜色革命”
“黑客帝国”调查报告
美国中央情报局(CIA)(之一)
1.概述
2. 美国中央情报局(CIA)的网络攻击武器系列
一款支持Windows、Unix、Linux、MacOS等9种主流操作系统和6种不同网络架构的复杂后门攻击行动管理平台,可将众多“肉鸡”节点组成完全自主运行的网状网络,支持自我修复、循环攻击和多路径路由。
2.2 Athena(雅典娜)程序
一款针对微软Windows操作系统的轻量级后门程序,由美国中央情报局(CIA)与美国Siege Technologies公司(2016年被Nehemiah Security收购)合作开发,可以通过远程安装、供应链攻击、中间人劫持攻击和物理接触安装等方式植入,以微软Windows服务方式驻留。所有攻击功能模块均以插件形式在内存中解密执行。
2.3 Grasshopper(蚱蜢)后门程序
一款针对微软Windows操作系统的高级可配置后门程序,可生成多种文件格式形式的(EXE,DLL,SYS,PIC)恶意荷载,支持多种执行方式,配以不同插件模块后,可隐蔽驻留并执行间谍功能。
2.4 AfterMidnight(午夜之后)后门程序
一款以微软Windows操作系统DLL服务形式运行的轻量级后门,它通过HTTPS协议动态传输、加载“Gremlins”模块,全程以加密方式执行恶意荷载。
2.5 ChimayRed(智美红帽)漏洞利用工具
一款针对MikroTik等品牌路由器的漏洞利用工具套件,配合漏洞利用可植入“TinyShell”等轻量级网络设备后门程序。
2.6 HIVE(蜂巢)网络攻击平台
“蜂巢”网络攻击平台由美国中央情报局(CIA)下属部门和美国著名军工企业诺斯罗普·格鲁曼(NOC)旗下公司联合研发,它为美国中央情报局(CIA)网络攻击团队提供一种结构复杂的持续性攻击窃密手段。它管理利用全球范围内数量庞大的失陷资产,组成多层动态跳板和秘密数据传输通道,7×24小时向美国中央情报局(CIA)上传用户账户、密码和隐私数据(https://www.cverc.org.cn/head/zhaiyao/news20220419-hive.htm)。
2.7 其他衍生工具
美国中央情报局(CIA)在通过上述“Vault7”(穹顶7)网络武器实施攻击窃密过程中,还衍生和使用了大量“Vault7” (穹顶7)资料之外的攻击样本,现已提取的样本中包括伪装的钓鱼软件安装包、键盘记录组件、系统信息收集组件、USB文件窃取模块和不同的开源黑客工具等。
3. 美国中央情报局(CIA)网络攻击武器样本功能分析
3.2 攻击模块投递类。美国中央情报局(CIA)使用了大量功能简单的小型恶意代码下载器,用于加载执行更多的恶意代码及模块,相关样本无特别的恶意功能及特征,但在与框架平台等攻击武器配合时却可展现出强大的窃密功能,极难将其归因溯源。
3.3 远程控制类。现已提取多款远程控制插件,大都属于框架平台类攻击武器衍生出的攻击模块组件,二者之间相互配合。
3.4 横向移动类。提取到的大量恶意程序样本中,包含多款通过系统管理员凭据使用Windows远程服务安装植入的后门程序。除此之外,美国中央情报局(CIA)还劫持多种安全产品内网的升级程序,通过内网升级服务器的升级功能下发安装后门程序,实施内网中的横向移动攻击。
3.5 信息收集窃取类。联合技术团队偶然提取到美国中央情报局(CIA)使用的一款信息窃取工具,它属于网曝美国国家安全局(NSA)机密文档ANT catalog48种先进网络武器中的一个,是美国国家安全局(NSA)的专用信息窃取工具。这种情况说明美国中央情报局(CIA)和美国国家安全局(NSA)会联合攻击同一个受害目标,或相互共享网络攻击武器,或提供相关技术或人力支持。这为对APT-C-39攻击者身份的归因溯源补充了新的重要证据。
3.6 漏洞利用类。调查中发现,至少从2015年开始,美国中央情报局(CIA)就在世界各地建立了庞大的网络攻击跳板资源,利用“零日”(0day)漏洞对全球范围IOT(物联网)设备和网络服务器无差别攻击,并将其中的大量失陷设备转换为跳板“肉鸡”,或隐藏自身攻击行为,或将网络攻击嫁祸给其他国家。例如,美国中央情报局(CIA)使用代号为“ChimayRed”(智美红帽)的漏洞攻击套件定向攻击多个型号的MikroTik品牌路由器,其中包括中国境内大量使用这种路由器的网络设备。攻击过程中,美国中央情报局(CIA)首先会恶意修改路由器启动脚本,使路由器重启后仍执行后门程序;然后,美国中央情报局(CIA)再修改路由器的CGI程序堵住被美国中央情报局(CIA)自身利用的漏洞,防止其他攻击者再次入侵造成权限丢失;最终,美国中央情报局(CIA)会向路由器植入“蜂巢”(HIVE)或“TinyShell”等只有美国中央情报局(CIA)可以使用的专属后门程序。
3.7 伪装正常软件类。美国中央情报局(CIA)针对攻击目标的网络环境,将后门程序定制伪装为目标使用的用户量较少的冷门软件安装包,针对目标实施精准的社会工程学攻击。
3.8 安全软件攻防类。美国中央情报局(CIA)掌握了专门用于攻击商业杀毒软件的攻击工具,可以通过这些专用工具远程关闭和杀死指定杀毒软件的进程,使相关杀毒软件对美国中央情报局(CIA)的攻击行为或攻击武器失效。
3.9 第三方开源工具类。美国中央情报局(CIA)也会经常使用现成的开源黑客工具进行攻击活动。美国中央情报局(CIA)网路攻击行动的初始攻击一般会针对受害者的网络设备或服务器实施,也会进行社会工程学攻击。在获得目标权限之后,其会进一步探索目标机构的网络拓扑结构,在内网中向其它联网设备进行横向移动,以窃取更多敏感信息和数据。被美国中央情报局(CIA)控制的目标计算机,会被进行24小时的实时监控,受害者的所有键盘击键都会被记录,剪切板复制粘贴信息会被窃取,USB设备(主要以移动硬盘、U盘等)的插入状态也会被实时监控,一旦有USB设备接入,受害者USB设备内的私有文件都会被自动窃取。条件允许时,用户终端上的摄像头、麦克风和GPS定位设备都会被远程控制和访问。
4. 小结
来源:央视新闻客户端
文琳编辑