美情报系统身陷破窗效应:维基解密再曝CIA惊天内幕【附下载】
E安全3月8日讯 美国当地时间周二,维基解密曝光了与美国中央情报局(简称CIA)相关的新一轮代号为“Vault 7”的秘密资料,涵盖2013年到2016年相关文件。目前,这是维基解密曝光过的,与CIA方面相关的最大一批机密资讯。
本次曝光资料中的第一部分完整信息,代号“Year Zero”!首批外泄内容包含来自位于弗吉尼亚州兰利市CIA网络情报中心内网高度隔离的安全保护文件8761份。文末附“元年”(Year
Zero)档案下载地址!
有人认为这些文件是维基解密创始人朱利安·阿桑奇(Julian Assange)本人泄露的。维基解密原本计划美国东部时间3月7日早上8点召开视频发布会公开“Vault 7”,但是,阿桑奇的Facebook和Periscope流媒体遭遇网络攻击,因此维基解密被迫重新安排并最终公布了8700多份机密文件。阿桑奇目前仍留在厄瓜多尔驻伦敦大使馆逃避逮捕。
这些文件展示了CIA对毫无戒心的用户、互联网科技巨头、医疗行业、全球政府和领导人可能采取的黑客和间谍行动。
https://v.qq.com/txp/iframe/player.html?vid=e03822ts8ba&width=500&height=375&auto=0
流出的文件描述了用来攻击Android手持设备、iPhone、三星电视、Windows
PC、Mac和其它设备的安全漏洞利用,并远程控制这些设备读取信息,通过内置麦克风实施监听等。这部分文档涉及感染CD和DVD光盘文件系统和USB闪存盘的恶意软件,以此跳过空气间隙(Air-Gap:不联网、也不连接任何系统)技术,感染受保护的机密设备,并加载更多间谍技术和工具。
维基解密发布的新闻稿指出:
第一部分资料“元年”(Year Zero)包含8761份文档和文件,这些资料源自CIA网络情报中心(Center for Cyber Intelligence,位于弗吉尼亚州兰利市)内部一个独立的、高度安全的网络。上个月,维基解密揭露CIA曾侦察2012年法国大选。
最近,CIA失去了对大多数黑客武器的掌控,包括恶意软件、病毒、木马、武器化“零日”漏洞、恶意软件远程控制系统和相关文档。这些内容加起来总共超过数亿行代码,拥有这些工具的人因此具备了CIA的整个黑客能力。
Vault 7的材料的第一部分“元年”(Year Zero)介绍了CIA全球隐密黑客计划的范围和方向。CIA利用恶意软件和几十个零日武器化漏洞攻击大量美国和欧洲公司的产品,包括苹果公司的iPhone、谷歌的Android和微软的Windows和三星电视。
这部分文件还强调CIA入侵目标智能手机和智能设备并从中提取机密数据的策略。另外,泄露的文件揭露,CIA如何与英国的MI5合作入侵三星智能电视,并监控用户。
文件指出,入侵三星智能电视的行动代号为“哭泣的天使”(Weeping Angel)。感染该设备后,Weeping Angel将目标电视设定为“假关机”模式,使用户误以为电视处于关机状态。实际上,在“假关机”模式下,该电视充当的是一个漏洞,记录房间内的对话,并通过互联网发送至一个隐秘的CIA服务器。
简而言之,Vault 7泄露CIA攻击iPhone、Android、智能电视、Windows、OSX、Linux、路由器的恶意软件和零日漏洞,并揭示CIA将美国驻德国法兰克福市领事馆作为黑客的秘密基地。
这起泄露事件的规模到底有多大?
Vault 7文件已经超过了斯诺登过去三年泄露的文件总数。
到2016年底,CIA的黑客部门(正式被归入CIA网络情报中心(CCI))拥有超过5000名注册用户,并建立了超过1000个入侵系统、木马、病毒和其它武器化恶意软件。这是CIA 2016年之前的规模,CIA的黑客使用的代码比Facebook还要多。事实上,CIA创建了自己的NSA,但涉及的问责较少,也不用公开回答:支出如此巨额的预算构建重复的能力是否合理。
这些文件不止包含压缩文件和PDF,还包含大量GIF和JPG图片——大多都是老旧的表情包。
遗憾的是,尚不清楚CIA为何需要大量的表情包。也许CIA使用这些表情包翻译所有公民的网络流行语,甚至在跨机构使用。其中许多表情图标用来处理网络安全和技术监控。
在“哲学迅猛龙”(Philoceraptor)计划中,可能具有更深刻的哲学意义,可能表明CIA寻求入侵汽车和电视。
y=ー( ゚д゚)・∵.
CIA note: "shot my head [sic]."(゚Д゚)y─┛~~
CIA note: "smoking."(\/) (°,,°) (\/)
CIA note: "WOOPwoopwowopwoopwoopwoop [sic]!"(`・ω・´)
CIA note: "Pedobear?"ᶘ ᵒᴥᵒᶅ
CIA note: "baby seal [Editor's note: this is actually pedobear]."(ღ˘⌣˘ღ)
CIA note: "no thx [sic]"(屮゚Д゚)屮
CIA note: "'Come on' or 'Come here.'"(`・ω・´)"
CIA note: "innocent happy [ sic]."◖|◔◡◉|◗
CIA note: " sic]."
值得注意的是,这次泄露的文件涵盖了2013年2016年的事件,但是文件获取时间为2016年。但是,尚不清楚,维基解密如何获得如此海量的数据。另外,这些文件还未经证实,要验证可能需要一些时间。
维基解密称,仍在仔细查看这些文件。从目前来看,这些零日漏洞影响的是较旧的Android和iOS版本。无论如何,维基解密希望借此就CIA的能力促成公共讨论。
以下内容E安全整理自维基解密官网
文末附“元年”(Year Zero)档案下载地址!
“Year Zero”包含的重要信息
“Year Zero”内容包含:CIA全球隐匿黑客计划的方向及其规模;庞大的黑客工具库;网络攻击入侵活动对象(微软、安卓、苹果iOS、OS X和Linux等操作系统和三星智能电视,甚至是车载智能系统和路由器等网络节点单元和智能设备)等。
其恶意软件武器库与数十种武器化“零日漏洞”利用方案指向一系列美国与欧洲企业的产品。
报道称CIA已经失去了对大部分自有“黑客工具”的掌控权,目前包括恶意软件、病毒、木马、武器化零日漏洞(0day漏洞)、恶意软件远程控制系统以及相关文件已泄露。这一系列高含金量的网络“武器”包含数亿行代码,任何人持有这批工具和文件都等同于拥有完整的CIA入侵技术。这份文件档案可能正以未经授权的方式在前美国政府、黑客和承包商间传播。
维基解密缔造者朱利安·阿桑奇(Julian Assange)指出:“网络武器的开发有可能带来极端性的扩散风险。之所以应对此类‘武器’在不受控制情况下的扩展加以关注,是因其拥有极高的市场价值但却未被列入全球武器贸易控制条款之内。而‘Year Zero’的意义已严重破坏了网络战争与网络和平之间的平衡。无论是从政治、法律还是取证角度来评判,此次泄露都是一种意外。”
维基解密对“Year Zero”中的一些可识别信息进行编辑与匿名化处理等等,尽管任何一种解决方法都可能达不到完美的效果,维基解密仍然坚持自有的发布模式,尽管如此,‘Year Zero’的已发布页数已经超过此前三年当中爱德华-斯诺登泄露的美国国安局内部资料数量的总和。
CIA的发展历程
自2001年以来,CIA方面获得了超越美国国家安全局(简称NSA)的政治与预算优先权。CIA已具备建立起如今已经臭名昭著的无人机编队的能力,同时亦能够凝聚起一股不同于以往的隐匿性的全球武装力量——即大规模的黑客活动。该机构的黑客部门各类常见且存在争议的行动将不必借用美国国安局(作为其主要政府层面竞争对手)提供的黑客能力。
截至2016年年末,CIA旗下归属于其网络情报中心(简称CCI)的黑客部门已经拥有超过5000名注册用户,并开发出超过1000种黑客系统、木马、病毒以及其它“武器化”恶意软件。而根据CIA方面作出的承诺,2016年年内其下辖黑客将持有超过Facebook公司正常运营所需要的代码数量。到这时,CIA实际上已经建立起“自己的国安局”,但却无需承担相关责任,也不需要理会——利用如此庞大的预算开支支持两个职能重叠的相互竞争性机构是否合理——这样的置疑。
相关人士表示目前迫切需要以公开辩论的方式对政策细节进行磋商,具体讨论CIA的黑客能力是否已经超过了其授权水平以及是否有必要设立公共监督机构等问题,包括网络武器的安全性、开发方式、使用方式、传播方式以及民主控制方式等议题。
CIA网络攻击入侵活动对象分析
CIA开发的恶意软件与黑客工具由EDG(即工程技术开发小组)负责构建,这是一支归属于CCI(即网络情报中心)的软件开发团队,而CCI则隶属于CIA旗下的DDI(即数字化创新指导)部门。DDI为CIA辖下的五大主要指导部门之一(具体请参阅CIA组织结构图表)。EDG负责开发、测试及操作全部后门、漏洞、恶意载荷、木马、病毒以及其它各类由CIA在其全球范围内各秘密行动中所使用的恶意软件。
由于CIA下辖的具体组织结构并不公开,这份结构图的作用在于对CIA的内部组织进行粗略描述,因此并不完整。
除此之外,CIA的黑客武器储备还包括从GCHQ、国安局、FBI处获得,或者从Baitshop等网络武器承包商处采购。
CIA恶意软件针对iPhone、Android与智能电视设备
监控技术的日趋复杂与乔治-奥威尔(George Orwell)在其著作《1984》中的描述不谋而合,而由CIA旗下嵌入式设备分部(简称EDB)开发的用于入侵智能电视并将其转换为隐蔽型麦克风的方案,无疑是其中最具象征性的体现。
这一针对三星智能电视的攻击手段由CIA协同英国MI5/BTSS共同合作开发完成。在感染设备之后,代号为“Weeping Angle(哭泣天使)”的恶意软件将目标电视切换至“假关闭”模式,诱导电视的拥有者将误以为该设备已经被正常关闭。在“假关闭”模式下,电视实际上以bug的形式正常启动,并记录房间中的对话同时将文件通过互联网发送至某隐蔽的CIA服务器当中。
2014年10月,CIA方面考虑入侵现代轿车与卡车当中所使用的主流车辆控制系统。尚无文件明确此类活动的具体目的,但可以预见该活动能让CIA具备实施悄无声息的暗杀活动。
CIA的移动设备分部(简称MDB)则开发出多种针对主流智能手机的远程入侵与控制攻击方案。受感染的手机可在操控之下向CIA发送用户的当前地理位置、本机音频与文本通信内容,同时在不知不觉中悄然启动手机的摄像头与麦克风功能。
“Year Zero”显示,CIA在2016年内获得了24款“武器化”Android“零日漏洞”,其中部分由自身开发,亦有一部分来自GCHQ、国安局以及各网络武器承包商。单在去年一年内,全球市场共售出11.5亿台Android手机产品,占智能手机85%市场。
尽管iPhone2016年的全球智能手机市场份额只有14.5%,但其在社会、政治、外交以及商业精英群体当中拥有相当可观的普及度。CIA仍专门为其设计了一款恶意软件,用于适应iOS系统的入侵、控制、信息窃取。
这些技术方案都是通过攻击目标智能手机以绕过WhatsApp、Signal、Telegram微博、Confide以及Cloackman等采用的加密机制,从而在加密方案起效之前对设备中的音频与消息流量加以收集。
CIA恶意软件针对Windows、OS X、Linux与各类路由器设备
CIA亦拥有多个大规模项目,旨在对微软Windows用户实施感染与控制。
其中包括多项本地及远程形式的武器化“零日漏洞”,例如能够对以CD/DVD为载体的分发软件进行感染的“Hammer Drill”、用于感染U盘等可移动介质的恶意软件以及可在镜像或者隐藏分区内保存数据以维持恶意活动持续运作的系统(BrutalKangaroo)。
大部分感染方案由CIA旗下的自动化植入分部(简称AIB)负责实现,其亦开发出多套用于实现自动化感染与CIA恶意软件控制的攻击系统,包括“Assassin”以及“Medusa”。针对互联网基础设施与Web服务器的攻击方案则由CIA旗下的网络设备分部(简称NDB)负责开发。
CIA方面亦开发出多种自动化多平台恶意软件攻击与控制系统,其影响能力涵盖Windows、Mac OS X、Solaris以及Linux等系统环境,具体包括EDB打造的“HIVE”与相关“Cutthroat”及“Swindle”工具——其具体功能将在后文中以示例形式说明。
CIA“储备”安全漏洞违背奥巴马政府作出的承诺
在爱德华-斯诺登泄露美国国安局内部资料之后,美国技术业界从奥巴马政府处获得了一项承诺,————即政府部门将持续披露,而非刻意储备各类涉及苹果、谷歌、微软及其它美国本土产品制造商的高危安全漏洞、缺陷、bug或者“零日漏洞”。为防止这些漏洞被国外情报机构或者网络犯罪组织非法利用,防止大量美国公民及关键性基础设施置于危险当中。
各本土技术企业表示这种囤积漏洞的作法很可能导致其在全球市场上因面临巨大的实际及认知层面安全风险而失去优势份额。之后,美国政府便表示将披露在2010年之后不断发现的各类普遍性安全漏洞。
“Year Zero”文档的曝光证明CIA违背了奥巴马政府作出的承诺。CIA网络武器库中所使用的多数漏洞符合普遍性这一指导原则,且其中一部分可能已经被敌对国家的情报机构或者网络犯罪组织所发现。
举例来说,“Year Zero”当中指出,特定CIA恶意软件有能力渗透、侵扰及控制运行有或者曾经运行有Twitter帐户的Android及iPhone软件。CIA方面利用其持有的尚未公开的安全漏洞(即‘零日漏洞’)对该软件进行攻击。但如果CIA方面有能力实现此类攻击,那么所有获得或者发现此项漏洞的人士亦能够采取同样的攻击手段。而只要CIA方面继续保有这些漏洞且拒绝向苹果及谷歌(手机制造商)公布,那么相关漏洞将无法得到修复,而此类产品将始终处于安全威胁之下。
同样的安全漏洞亦存在于广大公众当中,包括美国内阁、国会、高层CEO、系统管理员、安全官员以及工程师群体。为了确保能够对各类对象加以入侵与监控,CIA方面拒绝将安全漏洞透露给苹果与谷歌等厂商,而上述群体亦因此身陷风险。
“网络战争”计划带来严重的扩散风险比核武器带来的破坏力更难控制
网络“武器”几乎不可能得到有效控制。
虽然核武器同样拥有强大的破坏力,但其巨大的成本与严苛的基础设施限制条件意味着其扩散处于天然可控状态,意味着敌对势力很难建立必要的基础设施、收集充足的核裂变材料以达到必要的核质量临界值。显然,网络“武器”的控制更具难度。
网络“武器”与其它软件一样易于进行翻版,能够轻松实现复制且不会带来任何边际成本。保护此类“武器”也极为困难,因为开发者与使用者同样具备不留痕迹而进行复制获取的能力——有时攻击方甚至会利用同样的“武器”对原本的持有者进行入侵。同时,全球范围内的“安全漏洞市场”有时会为此类“武器”开出数十万甚至数百万美元的高价,对于政府黑客及安全顾问而言,他们完全有动机泄露此类信息副本。同样的,拥有此类“武器”的承包商及企业有时会利用其实现自己的目的,包括在销售“黑客”服务方面实现市场竞争优势。
除此之外内部资料外泄最大的威胁很可能就在机构内部。过去三年以来,由CIA、国安局等政府机构及其承包商(Booze Allan Hamilton等)组成的美国情报行业已经遭遇一系列由内部工作人员引发的数据泄露事故。部分可溯事件的相关人员受到了相应的制裁。
其中最具知名度的案例:美国联邦政府陪审团于2017年2月8日对哈罗德-T-马汀三世(Harold T. Martin III)就20项保密信息不当处理一事进行审理。从哈罗德-T-马汀三世手中就泄露了获得约5万GB信息,其中包含大量来自国安局与CIA的保密计划,具体包括多款黑客工具的源代码。
一旦某款网络“武器”遭到“泄露”,其在数秒钟内即会扩散至世界各地,并为敌对国家、网络犯罪组织以及少年黑客所使用。
美国驻法兰克福领事馆为CIA的秘密黑客基地
除了位于弗吉尼亚州兰利事的机构设施之外,本次泄露的信息中透露CIA还利用美国驻法兰克福领事馆作为其对欧洲、中东与非洲实施黑客活动的秘密基地。
在法兰克福领事馆内行动的CIA黑客(欧洲网络情报中心,简称CCIE)被授予外交(‘黑色’)护照并由国务院提供掩护,一旦顺利抵达法兰克福,CIA的黑客们无需接受进一步边界检查即可前往欧洲的25个国家,其中包括法国、意大利以及瑞士等多个申根协议内的边界开放地区。
这批来自CIA的黑客使得德国的反情报工作显得软弱无力:
“通过德国海关非常轻松,因为你的行动得到了美国政府的掩护,因此德国只能在护照上直接盖章。”
此次出行的目的
问:您为何来此?
答:为领事馆提供技术咨询。
此前发布的两份维基解密出版物提供了关于CIA处理海关与二次筛选程序的更多细节性方法。CIA还拥有一系列采取物理接近式实施途径的电子攻击手段。此类攻击方法能够入侵未接入互联网的高安全性网络,比如警察记录数据库。
在此类情况下,根据指示行事的CIA工作人员、代理人或者联合情报官员需要亲身渗透至目标工作场所之内。攻击者携带由CIA负责提供的、可实现行动目标的恶意U盘设备,并负责将其接入目标计算机当中。在感染成功后,攻击者即可将数据移动至便携式存储介质之内。
例如,CIA的Fine Dining攻击系统能够为CIA间谍人员提供24款诱导性应用。根据评价所言,间谍人员可能运行了用于播放视频的程序(例如VLC)、展示幻灯片(Prezi)、运行计算机游戏(〈打砖块2〉,〈2048〉)甚至是伪造的病毒扫描工具(卡巴斯基、McAfee、Sophos)。在屏幕中显示诱导应用的同时,底层系统已经自动受到了感染与入侵。
以军事行为对比分析CIA行为的扩散风险
此次泄露资料中发现了一个非常神奇的情况——CIA构建起了自己的分类制度,以便对“Vault 7”中最具市场价值的部分进行划分,具体包括CIA武器化恶意软件(植入+零日漏洞)、监听站(简称LP)、命令与控制(简称C2)系统等,而且这些机构几乎不具备任何法律追索权,CIA也并未对这些系统进行保密。
CIA未对其网络武器储备进行保密,侧面反映了其低估了这类军事用途的开发成果在网络“战争”的“战场”之上的扩散性。
为了对目标实施打击,CIA通常要求其植入程序通过互联网与其控制程序进行通信。如果CIA的植入程序、指挥与控制乃至监听站软件加以保密,则CIA官员很可能因违反将保密信息发布至互联网之上的规则而遭到起诉或者相关行动被驳回。
因此,CIA暗中以未保密方式保留其大部分网络间谍/作战代码。
由于受到美国宪法的限制,美国政府亦无法对这些代码提出版权所有要求。这意味着网络“武器”开发商及计算机黑客能够在获得此类“武器”后对其进行自由“盗版”。考虑到这一点,CIA必须主要依靠混淆机制保护其恶意软件不受窥探。
导弹等常规武器能够向敌方直接发射(即进入非安全区域)。接近或者与目标撞击以引爆弹药的系统中即包含保密组件,但其在爆炸的同时即被销毁。因此,军事人员在利用保密组件发射弹药时并不违反相关保密规则。如果弹药未能正常爆炸,亦不属于作战人员的主观意图。
过去十年以来,美国的黑客行动越来越多地以军事术语进行修饰,旨在拉拢美国国防部的资金援助。例如,其试图将“恶意软件注入”(商业术语)或者“植入程序投放”(国安局术语)称为“发射”,用以将其同武器发射相提并论。但这一比喻实际上存在问题。
与子弹、炸弹或者导弹不同,大部分CIA恶意软件的设计目标是在抵达“目标”系统后存在数天甚至数年时间。CIA恶意软件不会“导致爆炸”,而是希望永久性感染其攻击目标。为了实现这一效果,恶意软件副本必须长期驻留在目标设备之上,这意味着目标系统实际上已经拥有该恶意软件。而为了将窃取到的数据发送回CIA或者等待进一步指令,恶意软件必须通过互联网与CIA的命令与控制(简称C2)系统服务器进行通信。但是此类服务器通常不可用于保存保密信息,因此CIA所使用的命令与控制系统亦处于非保密状态。
成功的计算机系统“攻击”活动更像是以敌对立场发布收购出价或者散布谣言以实现复杂的股票操纵,这是一类实现目标领导权控制的作法,而显然不同于武器发射系统。如果需要在军事层面作出类比,则感染目标的行为更类似于针对目标领土的一系列军事演习举措,具体包括侦察、渗透、占领与利用。
回避取证与反病毒方案
CIA黑客讨论了国安局旗下同类黑客小组曾经犯下的错误,并以此为基础思考如何让CIA的恶意软件避免遭受类似的曝光问题。
CIA出台了一系列标准以规范其恶意软件的感染模式,而这些模式可能足以回避犯罪现场调查人员、苹果、微软、谷歌、三星、诺基亚、黑莓、西门子以及各大反病毒厂商对于此类攻击行为的归因与防御。
CIA规则当中包含的“间谍情报技术中的应与不应”要求指定了其恶意软件应如何编写,从而避免存在“CIA、美国政府或者其入侵合作伙伴厂商”的指纹信息。类似的秘密标准包括利用加密机制以隐藏CIA入侵与恶意软件通信(pdf)、描述目标与泄露数据(pdf)以及执行有效载荷(pdf)并在目标设备上实现持续驻留(pdf)。
CIA黑客还开发出多种针对当前知名反病毒程序的成功攻击手段,并将其根据反病毒程序抵御、个人安全产品、检测与打击PSP以及PSP/调试器/RE回避等分类进行记录。比如:CIA恶意软件能够将自身置于Windows的回收站当中,从而回避Comodo的检测。不过其6.x版本本身亦包含一个“致命漏洞”。
示例
CIA的工程技术开发小组(简称EDG)管理系统包含约500个不同项目(其中只有一部分被收录在‘Year Zero’当中),且各项目之下还拥有自己的子项目、恶意软件与黑客工具。其中大部分项目涉及用于实现渗透、侵扰(‘植入’)、控制以及数据窃取的相关工具。
另一个开发分部则专注于监听站(简称LP)及命令与控制(简称C2)系统的开发与操作,其主要用于对CIA各植入程序进行通信与控制,亦有多个特别项目针对从路由器到智能电视的具体硬件设备。
下面我们将共同了解其中部分示例性项目,感兴趣的朋友亦可参阅维基解密的“Year Zero”完整项目列表了解更多相关内容。
UMBRAGE
UMBRAGE中的组件包括键盘记录器、密码集合、网络摄像头捕捉、数据销毁、持久性、权限升级、隐匿、反病毒(PSP)回避以及调查技术等等。这款由CIA自主开发的黑客技术方案旨在帮助其解决一大难题。
实际上CIA开发的每项技术都拥有自己的“指纹”,取证调查人员可以以此为基础通过多项不同攻击将其归因为同一恶意实体。
CIA远程设备分部下的UMBRAGE小组负责收集并维护一套包含大量技术技术方案的资源库,这些技术来自包括俄罗斯联邦在内的各个国家。
凭借着UMBRAGE及其它相关项目,CIA不仅能够提升其攻击类型的总体数量,同时亦可通过误导性地留下盗用来的“指纹”使得受害者进行错误归因。
这类似于通过多起独立谋杀案中的受害者寻找特殊的刀伤特征。其中鲜明的伤痕风格往往能够有效缩小潜在嫌疑人范围。而一旦其中的某一位嫌疑人落网,那么其他谋杀罪犯的归因可能性也将由此提高。
Fine Dining
Fine Dining提供一份标准化问卷,即由CIA案例官员负责填写的清单。
这份问卷使得OSB能够快速了解如何调整现有工具操作方式,并将结论传达给CIA恶意软件配置人员。OSB可以被视为CIA运营人员与技术支持人员之间的沟通枢纽。这份调查表由CIA内部的OSB(即行动支持处)使用,旨在将相关人员的请求转换为面向特定黑客攻击操作人员的技术性要求(通常为‘从计算机系统中’窃取信息)。
其提供的目标清单中可能包含“资产”、“附带资产”、“系统管理员”、“国外信息行动”、“国外情报机构”以及“国外政府机构”等条目。其中不会包含任何与极端分子或者跨国犯罪分子相关的内容。“案例官员”亦应根据要求指定入侵目标环境,包括计算机类型、所使用之操作系统、互联网连接与已安装反病毒工具(PSP)以及需要窃取的文件类型列表,例如Office文档、音频、视频、图像或者定制化文件类型。这份“清单”亦要求提供相关信息以论证目标是否能够重复进行访问,且攻击者能够在怎样的时间周期之内保证自身访问活动不会被察觉。此信息由CIA的“JQJIMPROVISE”软件(详见下文)用于配置出一组能够与行动目标确切匹配的CIA恶意软件集合。
Improvise (JQJIMPROVISE)
“Improvise”是一款工具集,专门用于实现配置、后期处理、有效载荷设置以及执行向量选择等任务,进而支持面向各类主要操作系统——包括Windows(Bartender)、Mac OS(废纸篓)以及Linux(DanceFloor)——的调查/筛选工具。其采用的Margarita等配置工具允许NOC(即网络运营中心)使用符合“Fine Dining”调查问卷要求的定制化工具。
HIVE
HIVE是一款多平台CIA恶意软件套件及其相关控制软件。该项目面向Windows、Solaris、MikroTik(用于互联网路由器)以及Linux平台提供定制化植入程序,同时亦具备一套监听站(简称LP)/命令与控制(简称C2)基础设施以实现与此类植入程序的通信。
各植入程序通过配置以经由HTTPS同伪装域的Web服务器进行通信; 利用这些植入程序实现的每一项操作都拥有独立的伪装域,而该基础设施则负责处理全部伪装域。
每一伪装域都可被解析为一条位于商用VPS(即虚拟私有服务器)供应商处的IP地址。该公开服务器将全部输入流量通过VPN转发至一台负责处理实际客户端连接请求的“Blot”服务器。其设置还提供可选SSL客户端认证机制:如果某客户端发送有效的实施意见证书(仅植入程序具有此证书),则连接即会被转发至负责同植入程序交互的“Honeycomb”工具服务器当中; 如果无法提供有效证书(例如有人偶然试图打开伪装域网站),则流量会被转发至伪装服务器并交付一个不可靠网站。
Honeycomb工具服务器接收来自植入程序的外泄信息;操作者还能够对植入程序下达命令以在目标计算机上执行其它操作,因此该工具服务器相当于充当了植入程序的C2(命令与控制)服务器。
RickBobby项目亦提供类似的功能,但仅限于Windows系统环境。
在此查看HIVE的保密用户与开发者指南。
维基解密“Vault 7”文件下载地址:
链接:http://pan.baidu.com/s/1hs7Nm0c
密码:o93n
如下载地址失效,可前往E安全门户网站获取新的下载地址
文件解压密码请在E安全微信公众号内回复“ Vault7 ”获取!
PS:某些文件可能会使杀毒软件报毒,建议在虚拟机内解压运行!
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。