揭秘 | 美国中央情报局大规模数据泄露,附典型作案兵器
小编()按:本文作者腾讯反病毒实验室。 事件概述美国时间3月7日,维基解密(WikiLeaks)网站公布了大量据称是美国中央情报局(CIA)的内部文件,其中包括了CIA内部的组织资料,对电脑、手机等设备进行攻击的方法技术,以及进行网络攻击时使用的代码和真实样本。利用这些技术,不仅可以在电脑、手机平台上的Windows、iOS、Android等各类操作系统下发起入侵攻击,还可以操作智能电视等终端设备,甚至可以遥控智能汽车发起暗杀行动。 维基解密将这些数据命名为“7号军火库”(Vault 7),一共有8761份文件,包括7818份网页以及943个附件。在公布时,维基解密对文件内容进行了一些删节处理,包括个人真实信息(姓名、邮件地址等),数以万计的IP地址,以及真实的二进制文件。 维基解密表示在对文件进行进一步的分析之后,会逐步公开这些被删节的信息。同时,维基解密称此次公布的数据只是一系列CIA机密材料的第一部分,被称为“元年”(Year Zero),后续还会有更多资料陆续公布。 泄漏内容此次公布的数据都是从CIA的内网保存下来的,时间跨度为2013到2016年。这批文档的组织方式类似于知识库,使用Atlassian公司的团队工作共享系统Confluence创建。数据之间有明显的组织索引关系,可以使用模板对多个资料进行管理。很多资料有历史改动的存档,7818份资料中除去存档共有1136个最新数据。943个附件基本上都可以在资料中找到对应的链接,属于其内容的一部分。 具体而言,这些资料可以分为如下几类:
总的来看,这些数据虽然有组织关系,但是作为工作平台而言,并没有形成严格的规范,很多文件都是随意放置的,甚至还包括asdf这样的测试文件,更像是一个内部的知识共享平台。 典型兵器在这次公布的数据中,一些比较值得注意的兵器项目如下:
Weeping Angel(哭泣的天使)是一款由CIA Embedded Devices Branch(嵌入式设备组)和英国MI5共同开发的针对三星智能电视的窃听软件。三星智能电视使用的是Android操作系统,该窃听软件感染智能电视后,会劫持电视的关机操作,保持程序的后台运行,让用户误以为已经关机了。 它会启动麦克风,开启录音功能,然后将录音内容回传到CIA的后台服务器中。考虑到三星智能电视使用的是Android操作系统,推测该恶意软件具备感染Android手机的能力。韩国和美国是三星智能电视的最主要消费国家。
HIVE(蜂巢)是CIA开发的远程控制后台项目,该项目负责多个平台的后台控制工作。从泄漏的文件来看,HIVE系统在2010年10月26日发布了第一版,直到2014年1月13日一共更新到2.6.2版本。作为间谍软件最重要的部分,Command & Control Server就由该项目负责。整体上,植入目标机器中的间谍软件,通过HTTPS协议同后台C&C服务器进行交互,整个通信过程使用了,数据加密,身份鉴权等诸多信息安全高级技术。同时在异常处理和服务器隐藏等关键模块的设计上,也体现出国家队的技术水平。 从架构设计上分析,HIVE分为两层,第一层直接与间谍软件连接,部署在商用的VPS(Vritual Private Server)上。第一层将所有流量通过VPN加密转发到第二层。转发策略是如果流量经过身份鉴权,确认是目标机器,就会向代号为”Honeycomb”的服务器集群转发,这里会对收集到的信息进行存贮和分析,如果鉴权失败,就会向一个无害的网站转发,达到重要服务器不被暴露的目的。
UMBRAGE(朦胧的外表)取自英语古语,有朦胧虚无的意思。该项目主要目的是隐藏攻击手段,对抗调查取证。现实世界中,每一个案件,背后无论多么扑溯迷离,在现场一定会留下线索,如果是惯犯,凶手会有一定的作案模式。在网络世界中也是一样的,每一次发动的网络攻击,都会和之前的攻击有着千丝万缕的联系,都能提取出一定的攻击模式。 CIA的Remote Devices Branch (远程设备组),收集维护了一个网络攻击模式库,该模式库总结了之前使用过的攻击方式和技术,例如包含Hacking Team泄漏出的代码和俄罗斯使用的技术。拥有了庞大数量的模式库之后,对于新发起的网络攻击,可以采取模仿,混淆等多种战术,达到迷惑敌人,隐藏自己的目的。UMBRAGE项目包含了恶意软件大部分功能模块,例如:键盘记录器,密码收集器,摄像头控制,数据销毁,提权,反杀毒软件等等。
"Fine Dining"(美食大餐)提供了标准化的调查问卷,CIA的OSB (Operational Support Branch)部门会使用该调查问卷,用于将办案人员的请求转换为针对特定操作的黑客攻击的技术要求。问卷可以帮助OSB在现有的攻击工具集中选择合适的攻击工具,并将选好的攻击工具清单传递给CIA的负责配置攻击工具的运营人员。OSB在这里充当了CIA运营运营人员和相关技术支持人员的接口人的角色。 调查问卷会让填写者填写诸如目标计算机使用的操作系统、网络连接情况、安装的杀毒软件等信息,随后会由"Improvise"(即兴演出)处理。"Improvise"是一个用于配置、后处理、payload设置和execution vector选择的工具集,可支持所有主流操作系统。"Improvise"的配置工具如Margarita允许NOC(Network Operation Center)根据"Fine Dining"问卷的要求来定制工具。 (编辑:ASP站长网) |