事件概述
美国时间3月7日,维基解密(wikileaks)网站公布了大量据称是美国中央情报局(cia)的内部文件,其中包括了cia内部的组织资料,对电脑、手机等设备进行攻击的方法技术,以及进行网络攻击时使用的代码和真实样本。利用这些技术,不仅可以在电脑、手机平台上的windows、ios、android等各类操作系统下发起入侵攻击,还可以操作智能电视等终端设备,甚至可以遥控智能汽车发起暗杀行动。
维基解密将这些数据命名为“7号军火库”(vault7),一共有8761份文件,包括7818份网页以及943个附件。在公布时,维基解密对文件内容进行了一些删节处理,包括个人真实信息(姓名、邮件地址等),数以万计的ip地址,以及真实的二进制文件。维基解密表示在对文件进行进一步的分析之后,会逐步公开这些被删节的信息。同时,维基解密称此次公布的数据只是一系列cia机密材料的第一部分,被称为“元年”(yearzero),后续还会有更多资料陆续公布。
泄漏内容
此次公布的数据都是从cia的内网保存下来的,时间跨度为2013到2016年。这批文档的组织方式类似于知识库,使用atlassian公司的团队工作共享系统confluence创建。数据之间有明显的组织索引关系,可以使用模板对多个资料进行管理。很多资料有历史改动的存档,7818份资料中除去存档共有1136个最新数据。943个附件基本上都可以在资料中找到对应的链接,属于其内容的一部分。具体而言,这些资料可以分为如下几类:
1.cia部门资料,包括部门的介绍,部门相关的黑客项目,以及部门内部的信息分享。
2.黑客项目资料,包括一些不属于特定部门的黑客工具、辅助项目等,其中有项目的介绍,使用说明以及一些技术细节。
3.操作系统资料,包括ios、macos、android、linux、虚拟机等系统的信息和知识。
4.工具和开发资料,包括cia内部用到的git等开发工具。
5.员工资料,包括员工的个人信息,以及员工自己创建的一些内容。
6.知识库,这里面分门别类地存放了大量技术知识以及攻击手段。其中比较重要的是关于windows操作系统的技术细节和各种漏洞,以及对于常见的个人安全产品(personalsecurityproducts)的绕过手段,包括诺顿、卡巴斯基、赛门铁克、微软杀毒以及瑞星等安全产品。
总的来看,这些数据虽然有组织关系,但是作为工作平台而言,并没有形成严格的规范,很多文件都是随意放置的,甚至还包括asdf这样的测试文件,更像是一个内部的知识共享平台。
典型兵器
在这次公布的数据中,一些比较值得注意的兵器项目如下:
weepingangel
weepingangel(哭泣的天使)是一款由ciaembeddeddevicesbranch(嵌入式设备组)和英国mi5共同开发的针对三星智能电视的窃听软件。三星智能电视使用的是android操作系统,该窃听软件感染智能电视后,会劫持电视的关机操作,保持程序的后台运行,让用户误以为已经关机了。它会启动麦克风,开启录音功能,然后将录音内容回传到cia的后台服务器中。考虑到三星智能电视使用的是android操作系统,推测该恶意软件具备感染android手机的能力。韩国和美国是三星智能电视的最主要消费国家。
hive
hive(蜂巢)是cia开发的远程控制后台项目,该项目负责多个平台的后台控制工作。从泄漏的文件来看,hive系统在2010年10月26日发布了第一版,直到2014年1月13日一共更新到2.6.2版本。作为间谍软件最重要的部分,command&controlserver就由该项目负责。整体上,植入目标机器中的间谍软件,通过https协议同后台c&c服务器进行交互,整个通信过程使用了,数据加密,身份鉴权等诸多信息安全高级技术。同时在异常处理和服务器隐藏等关键模块的设计上,也体现出国家队的技术水平。
从架构设计上分析,hive分为两层,第一层直接与间谍软件连接,部署在商用的vps(vritualprivateserver)上。第一层将所有流量通过vpn加密转发到第二层。转发策略是如果流量经过身份鉴权,确认是目标机器,就会向代号为”honeycomb”的服务器集群转发,这里会对收集到的信息进行存贮和分析,如果鉴权失败,就会向一个无害的网站转发,达到重要服务器不被暴露的目的。
umbrage
umbrage(朦胧的外表)取自英语古语,有朦胧虚无的意思。该项目主要目的是隐藏攻击手段,对抗调查取证。现实世界中,每一个案件,背后无论多么扑溯迷离,在现场一定会留下线索,如果是惯犯,凶手会有一定的作案模式。在网络世界中也是一样的,每一次发动的网络攻击,都会和之前的攻击有着千丝万缕的联系,都能提取出一定的攻击模式。
cia的remotedevicesbranch(远程设备组),收集维护了一个网络攻击模式库,该模式库总结了之前使用过的攻击方式和技术,例如包含hackingteam泄漏出的代码和俄罗斯使用的技术。拥有了庞大数量的模式库之后,对于新发起的网络攻击,可以采取模仿,混淆等多种战术,达到迷惑敌人,隐藏自己的目的。umbrage项目包含了恶意软件大部分功能模块,例如:键盘记录器,密码收集器,摄像头控制,数据销毁,提权,反杀毒软件等等。
finedining和improvise(jqjimprovise)
finedining(美食大餐)提供了标准化的调查问卷,cia的osb(operationalsupportbranch)部门会使用该调查问卷,用于将办案人员的请求转换为针对特定操作的黑客攻击的技术要求。问卷可以帮助osb在现有的攻击工具集中选择合适的攻击工具,并将选好的攻击工具清单传递给cia的负责配置攻击工具的运营人员。osb在这里充当了cia运营运营人员和相关技术支持人员的接口人的角色。
调查问卷会让填写者填写诸如目标计算机使用的操作系统、网络连接情况、安装的杀毒软件等信息,随后会由improvise(即兴演出)处理。improvise是一个用于配置、后处理、payload设置和executionvector选择的工具集,可支持所有主流操作系统。improvise的配置工具如margarita允许noc(networkoperationcenter)根据finedining问卷的要求来定制工具。
finednining用于收集攻击需求,而improvise用于将攻击需求转化为攻击工具,这两个工具相互配合使用,可以准备、快速的对任何特定目标实施攻击。可见,cia已经实现了对指定目标的攻击实现了高度的定制和高效的配置。
后续
此次公开的数据庞大,并且还有部分数据未公布。腾讯电脑管家反病毒实验室会持续关注该事件,跟进最新进展;同时继续深入分析现有内容,挖掘其中涉及的安全漏洞、入侵手法和攻击工具,第一时间披露更加具体的细节信息。
同时也在这里提醒广大用户,此次公布的数据中包含大量漏洞信息和攻击工具,可能被不怀好意的人利用,成为他们手中新的武器。希望广大用户最近提高警惕,留心关注最新的安全新闻,注意及时更新电脑、手机上的安全防范措施,避免遭受此次事件的负面影响。
相关新闻
2017-03-15
2017-05-16
2017-05-31
2017-06-06
2017-08-10