智能指挥系统的未来:从《谍影重重5》深度分析CIA情报、指挥、行动一体化能力(三)
注:任何足够先进的技术都与魔法无异。---阿瑟·克拉克第三定律
前文摘要
美国情报共同体整体概述
电影整体概述与关键信息
雷克雅未克黑客入侵事件
雅典宪法广场之抓捕行动
深梦集团与全民监控项目
深梦集团CEO艾伦登场,发表公众演讲。电影中深梦影射Facebook,全球用户量达到了15亿,艾伦表示「No-one will be watching you」,台下一片欢呼。
柏林科维茨定点入侵行动
尼基死后,伯恩根据她的遗物找到了一个加密U盘,来到德国柏林科维兹,准备找黑客克里斯蒂安解密U盘。
自从伯恩在雅典逃脱后,海瑟这边一直在研判新的线索。此处intelbase系统展示的是影射Palantir的非结构化文档数据的分析探查能力。
伯恩来到了克里斯蒂安的家里,克里斯蒂安插入U盘开始解密,注意桌上有两台笔记本电脑和一个手机(老人机),一台电脑旁边也有路由器。
海瑟这边intelbase系统预警「MAL281 ACTIVE」木马281上线,定位地点在柏林科维茨的一栋建筑。系统左边控制面板是关系分析和「SEARCH NETWORK CONNECTED DEVICE」,猜测能看到事件邻近时空当前都有哪些入网设备,右边控制面板是摄像头、手机等操作控制按钮。
海瑟给杜威报告伯恩现身了,杜威立马派出柏林行动分队。雅典事件也是,一开始并没有情报显示目标会出现,但只要事件预警一出来,随时可调度人员赶往现场,说明CIA在全球主要城市都秘密部署了行动分队。
海瑟说定位位置与克里斯蒂安有关联。这里也更加印证,克里斯蒂安早已是Intelbase系统里面长期监控的一个重点人员,CIA早已掌握了其所有信息。预警事件一告警,立即和重点人员库里的常用地址去进行数据碰撞。
接着海瑟开始接入事件中心的当地视频,说明也是提前就入侵好了柏林警方的视频专网。克里斯蒂安家对面一栋楼的摄像头开始转动镜头,是CIA在操控。
来看看现在指挥中心指挥大屏的布局。中心屏是最佳视角的实时视频,能透过窗户看到伯恩正在看电脑屏幕。左边第一区域是是一人一档,第二区域是周边实时视频。右边第一区域是历史视频跨镜追踪展示的命中图像,第二区域是事件预警的中心地图。
先解释什么是跨镜追踪。跨镜追踪只是在国内的叫法,该技术通用叫法是行人重识别「Person Re-Identification,简称Re-ID」。Re-ID主要解决跨摄像头跨场景下行人的重识别与检索问题,是CV领域当前比较重要的一个研究方向。Re-ID研究的对象是人的整体特征,包括衣着、体形、发行、姿态、步态等等,它的特点是跨摄像头,能很好的作为人脸识别做补充。
我们知道,城市公共监控摄像头,由于历史建设的原因,绝大部分其实是拍不清楚人脸或者能拍到人脸但也无法用于人脸识别,通常只有不到5-10%的摄像头能用于人脸识别。Re-ID因为取的是人体整体的特征,所以并不受此影响,能很好的还原视频轨迹。
想想很简单但是实际做起来很难。大规模的人流,服装的变换,雨天雪天白天黑夜的影响,相同衣服等等各类挑战都制约着Re-ID的实战效果。截止到今天,绝大部分Re-ID算法在真实环境中依然面临很多困境,但毫无疑问这一定是未来技术的趋势。
回到CIA指挥中心,为什么说此刻指挥大屏上右边第一区域是历史视频跨镜追踪呢?画面中可以看到,都是伯恩在柏林出现的各个镜头下的截图,首先这块区域肯定不是实时视频,其次,有的画面是伯恩的侧影、背影以及高角度的俯拍,并不包含人脸,所以肯定不是人脸卡口拍到的图片。第三,事件预警后,现场第一视角监控发现目标嫌疑人,对于指挥中心来讲,也很关心目标是什么时候出现的,从什么轨迹到达的现场。
Re-ID在实战中有两种用法,一是还原目标的视频轨迹,二是在一定时空范围内实时目标布控。但是在雅典宪法广场的行动中,寻找伯恩和尼基的过程CIA没有任何使用跨镜追踪的镜头,猜测是因为当时现场人流量太大,在这种规模体量下,Re-ID今天基本很难做到有效的布控追踪。
接下来是本片又一处的魔法高潮。探员发现了伯恩正在使用电脑,杜威下令要想办法阻止,防止黑色行动相关的机密文件泄漏。
海瑟开始表演魔法,立马调出了这栋建筑的一房一档,显示此时房间内有两台PC和一台手机,PC没有通路但手机可以入侵。这三台设备就是克里斯蒂安桌上的三台。
海瑟准备利用那台老人机删除同房间内PC上的文件。
海瑟先是渗透了老人机,通过老人机又以某种神奇的方式渗透至PC,突破PC上的三层防火墙后成功删除文件。
杜威下令打电话给伯恩,试图拖延时间以等待行动小队到达,打的正是克里斯蒂安的老人机。可以看到,海瑟的屏幕上此时能看到伯恩的电脑上的文档查看记录和实时屏幕。
杜威在电话中一直在拖延时间,行动小组还有2分钟到达。海瑟想要私下和伯恩建立信任关系,给老人机发了条短信。注意此时老人机屏幕上方,显示是有蓝牙功能并且是连接状态的,但是没有WIFI和网络。伯恩再一次成功逃脱抓捕,行动结束。
回顾一下这次科维茨定点入侵行动,CIA展示了一套行云流水般的定点渗透神操作。此前很多外媒分析《碟5》相关的文章也都会提到这一段,但结论都是电影太夸张了太荒唐了,在现实中完全不可能实现。下面结合近几年曝光的一些漏洞和CIA的材料,我们来分析下这套操作是否有可能复现。
整个操作大致分为如下几个关键步骤:
此前U盘中下的木马(MAL281),提示上线,地点在柏林科维茨;
存在某种原因,木马主控(C&C)无法连接肉鸡PC,无法下达指令,但是海瑟发现房间内有两台PC和一台老人机;
海瑟远程入侵老人机(功能手机);
通过老人机再一次入侵PC,相当于渗透物理隔离网络里的机器;
控制PC删除文件,并且木马上线,能完全控制肉鸡PC;
这里先科普下渗透物理隔离网络的几个关键步骤,资料来自于以色列 Ben-Gurion 大学先进网络安全实验室主任 Mordechai Guri 在 Blackhat2018 上的一次演讲「The Air-Gap Jumpers」。
第一步是渗透(Infiltration),即如何部署Malware到隔离网络;第二步是控制(C&C),即如何下达指令给隔离网络里的Malware;第三步是窃取(Exfiltration),即如何从隔离网络里面取回数据。
入侵物理隔离网络,对于各大APT组织以及CIA、NSA这种机构来说可谓是家常便饭。渗透这一步就不用多说了,可以通过供应链攻击、U盘摆渡等等方式,近几年曝光的各种APT,从破坏伊朗核设施的震网(Stuxnet),到Duke、RedOctober、Remsec等等都具备渗透隔离网络的功能。而电影开篇雷克雅未克黑客入侵事件中,海瑟也正是给U盘种下了Mal281,为后续渗透埋下了伏笔。
2017年,WikiLeaks曝光的CIA的黑客武器库穹窿7(Vault 7)中,恰好也有这样一款渗透隔离隔离网络的工具,野蛮袋鼠(Brutal Kangaroo),攻击流程如下:
本章一开始克里斯蒂安在将U盘插入PC的时候,海瑟这边就已经收到U盘上线通知的告警了,但奇怪的是为什么后面海瑟还要通过老人机再次渗透PC呢?此处合理的猜测是,PC当时是处于联网状态的(从桌上的路由器可以看出),但是克里斯蒂安毕竟也是个大黑客,由于他设置的防火墙的原因,使得Mal281并不能连接CIA这边的主控(C&C),Malware的通信被阻断了,这也就是后面一房一档的画面中提到的「计算机没有可用IP 没有通路」的原因。
那么U盘上线通知的告警是怎么来的呢?合理的猜测是,通过文档水印技术。在穹窿7中,有一款机密文档泄漏追踪工具涂鸦(Scribbles)。Scribbles可以在文档当中嵌入一个隐藏的远程图像的URL,当文档被打开时,会主动通过HTTP或HTTPS协议的访问该URL,CIA的远程服务器接收到请求便可得知有机密文件已经被打开,并可根据请求信息,得知文件被打开时所在的主机源IP等信息,从而进行追踪。
接下来海瑟是如何得知房间内存在一台老人机呢?我们知道,老人机是没有GPS相关模块的。这里有两种可能,一种是这台老人机是克里斯蒂安的常用设备,此前老早就在CIA的监控范围内,知道了其手机号、IMEI等设备相关信息。那么只要能定点获取目标手机号当前所处的位置,便能知道其当前处于建筑物内。
远程指定任意号码定位手机号在现实中可以通过七号信令(SS7)的缺陷漏洞来实现。2014年,Tobias Engel 在德国混沌黑客大会(Chaos Communication Congress)上就展示了如何使用SS7定位个人手机。2016年,德国黑客Karsten Nohl进一步展示了SS7的威力,远程窃听了加利福尼亚州国会议员Ted Lieu的iPhone的实时通话,同时即便关闭GPS也能取到定位位置。同年,移动安全厂商AdaptiveMobile在SS7大网流量中监控到了大规模的定位攻击的确凿证据。
除了七号信令,在知道手机号的前提下,也可以通过SIM卡漏洞实现远程定位。2019年,AdaptiveMobile发现并公布了针对SIM卡的S@T Browser远程攻击方式:Simjacker,攻击者只需要给受害者发送一条特殊短信即可。
同样是在2019年,Ginnoslab发现了另一个SIM卡漏洞的攻击方式,命名为WIBattack,也是可实现远程一条短信即可获取目标当前位置。
可以看到,无论是通过SS7,还是Simjacker和WIBattack,只要事先是知道手机号,CIA就有能实现实时的定位。而如果事先不掌握克里斯蒂安老人机的手机号的话,也有第二种可能的方案能实现知道建筑物内存在一台手机。
第二种可能是,CIA事先控制了柏林当地的电信运营商,通过运营商的信令数据,查询目标地址周边基站附近当前出现的手机,发现定位在建筑里刚好有一台手机,从而获得该台设备的手机号、IMEI等。在雅典行动中,指挥大屏上就曾有过疑似的运营商信令数据的出现。
2016年8月,黑客组织影子经纪人(Shadow Brokers)就曾曝光过NSA旗下的国家队黑客组织方程式(Equation Group)一份入侵文档,中国三大运营商的多个服务器就在名单之列。
接下来就是如何远程入侵老人机。Mordechai Guri 此前关于隔离网络有一个重要研究同电影画面看起来比较像「GSMem: Data Exfiltration from Air-Gapped Computers over GSM Frequencies」。
此研究通过一台没有网络/WIFI/蓝牙的普通PC,通过恶意软件调用与内存相关的特定CPU指令,以蜂窝(GSM、UMTS和LTE)频率发送电磁信号(Cellular Frequencies),让一台没有SIM卡/网络/WIFI/蓝牙的摩托罗拉C123老人机接收传输数据。不过该项技术需要在PC和老人机上都已经被种上Malware的条件下才能实现,(不大可能是通过PC上的Malware利用蜂窝来入侵老人机),所以也不能实现电影中入侵老人机的场景。
同时,此处也不太可能是利用Simjacker或WIBattack的SIM卡漏洞,通过这种方式只能调用SIM的工具套件 SIM Toolkit 相关的功能,可以实现操纵其返回定位数据、发送短信拨打电话等功能,但是没法再次通过老人机去入侵PC。
唯一有可能的是通过手机OTA(Over-The-Air)Binary SMS。OTA是一种用于与SIM卡进行通信,将应用程序下载到并管理SIM卡而无需物理连接到该卡的技术。OTA使网络运营商可以快速、经济高效地引入新的SIM服务或修改SIM卡内容。运营商的后端系统将服务请求发送到OTA Server,该网关将请求转换为短消息,然后将其发送到短消息服务中心(SMSC),最后再发送至目标SIM卡。
OTA Binary SMS通常情况只能通过运营商的OTA网关进行下发,这就要求CIA得提前控制OTA网关。不过也有从对等方(即从移动用户到移动用户)发送OTA SMS的方式,这种情况下就必须得提前知道目标SIM卡的OTA密钥。电影中如果CIA是提前控制了柏林运营商的话,那控制OTA网关也是顺带的,即便没有控制OTA网关,获取到OTA密钥对CIA而言也是极有可能的。
2013年,Karsten Nohl在BlackHat黑客大会上的议题「Rooting SIM Cards」展示了在部分情况下,有的SIM卡以及OTA Server选用的是DES加密,可以用彩虹表暴力破解DES获取OTA密钥KiC和KiD。这种攻击方式很有限,现在已经很少有用DES加密的了。
不过没关系,还有供应链攻击。2015年,The Intercept就曝光过一份文档显示,NSA早已入侵了SIM卡制造商金雅拓(Gemalto)并窃取了大量OTA密钥。金雅拓是全球最大的手机SIM卡生产厂商,一年的生产量约20亿张,业务覆盖全球85个国家。
渗透完老人机后,接下来是通过老人机渗透回PC。通过之前的老人机的特写镜头可以看到这台老人机是有蓝牙的,并且是处于连接状态,猜测是同PC进行的连接。
2017年,物联网安全公司ARMIS的研究人员发现并公布了一系列史诗级别的蓝牙协议中的漏洞,命名为BlueBorne。BlueBorne至少影响全球53亿的智能设备,包括Android、iOS、Windows、Linux 系统的设备以及 IoT 设备等,只要使用了蓝牙技术,就有可能中招。只要目标设备打开了蓝牙,并且在攻击者蓝牙设备的连接范围之内,甚至都不需要连接,就能成功实施攻击,真正意义上的通过空气传播。
通过类似的BlueBorne漏洞,CIA能成功利用老人机的蓝牙攻击PC,执行删除文件的操作,同时打通隧道,让此前的Mal281木马能成功回连C&C。至此,可以看到,CIA魔法般的操作并非是玄幻小说,在现实中其实都有影射与对应。还是那句话,「任何足够先进的技术,都与魔法无异」。最后我们再把整个入侵过程的关键步骤复原整理下:
此前U盘中下的木马MAL281感染PC成功,但是无法连接C&C; 通过Scribbles水印提示指挥中心机密文档已经被打开,位置在柏林; 通过运营商信令数据或SIM卡漏洞感知到建筑物内的老人机及其位置; 通过OTA Binary SMS方式成功入侵并控制老人机; 通过老人机蓝牙利用BlueBorne漏洞成功再次渗透PC机; 执行删除文件命令,执行打通C&C通信隧道,MAL281回连成功。
未完待续
更多精彩敬请期待,在本系列文章的最后一遍,将会介绍「伦敦帕丁顿广场抓捕行动、拉斯维加斯刺杀栽赃行动、CIA情指行能力总结概述、智能指挥系统的未来发展」……
推荐阅读