|
“维基解密”:英语“WikiLeaks”,是通过协助知情人让组织、企业、政府在阳光下运作的、无国界、非盈利的互联网媒体。 成立于2006年,专门公布机密“内部”文件,其宣称要揭发政府或企业的腐败甚至是不法的内幕,追求信息透明化。近几年,异军突起的WikiLeaks风头似乎盖过了任何网站。 数据库名称:“Vault 7”,即“7号金库”,它是维基解密泄露的美国中央情报局(CIA)一系列用于网络战的武器代称。 目的:维基解密想要引导公众对“网络武器的安全、创造、使用、扩散和民主控制”进行讨论。 美政府眼中钉:因为“维基解密”通过各种渠道搜集信息,披露了一系列美国中央情报局(CIA)所使用过的网络操纵工具,成为美国及其它一些政府的“眼中钉”。 自今年三月,维基解密掀起一股揭秘美国中央情报局(CIA)的巨浪 ,相继发布了共19批“ Vault 7 ”系列文件,详细展示了美国中央情报局(CIA)在全球的大规模黑客活动,每次行动都如重磅炸弹,激起千层浪。 “维基解密”成为众人关注焦点,为此,ISEC实验室老师们在遍历了所有Vault7文档之后,对“维基解密”自2017年以来泄露的19批“Vault 7”CIA“武器”进行了梳理,据查询结果,尽可能多地对涉及的黑客工具作解释,供大家学习交流,下面,让我们一起来走近Vault7文档曝光的那些CIA网络武器: 第1批 “DarkMatter”:刚出厂的iPhone就感染恶意程序 3月23日,维基解密发布首批CIA Vault 7文件,名为“Dark Matter”(暗物质)。文档介绍了了CIA入侵苹果Mac和iOS设备的工具,CIA有能力感染苹果固件,对macOS和iOS设备做到持续监听,即便系统重装也没用。 第2批 "Marble"框架:用于躲避取证人员的调查 3月31日,维基解密曝光了第2批CIA Vault7文件,曝光了名为“Marble”的网络工具。CIA主要用它来隐藏文本片段或使其“模糊化”,这意味着取证人员在取证过程中得到的很有可能并非真实的内容,而这将大大加大他们的调查难度。 第3批 Grasshopper:针对Windows系统的网络武器 4月7日,维基解密公布了第3批CIA Vault7文件,曝光了名为“Grasshopper”(蝗虫)的CIA网络工具。“Grasshopper”工具主要针对Windows系统进行入侵控制,是一套具备模块化、扩展化、免杀和持久驻留的恶意软件综合平台。 第4批 解密多平台入侵植入和管理控制工具HIVE 4月14日,维基解密公布了第4批CIA Vault7文档,介绍了名为“HIVE”(蜂巢)的CIA网络工具。文档共6份,包括了HIVE的开发使用和配置工作文档等。 HIVE由CIA嵌入式研发部门(EDB)开发,可以提供针对Windows、Solaris、MikroTik(路由器OS)、Linux和AVTech网络视频监控等系统的定制植入程序;并能实现多种平台植入任务的后台控制工作,协助CIA从植入恶意软件的目标机器中以HTTPS协议和数据加密方式执行命令和窃取数据。 第5批 Weeping Angel 工具:入侵三星F系列智能电视机 4月28日,维基解密披露第5批CIA Vault7文档,入侵三星 F 系列智能电视的“WeepingAngel“(哭泣天使)工具的用户手册曝光。该工具需要通过物理接触方法使用 U 盘安装到目标的智能电视上,记录下的音频数据通过物理接触方法收回;同时,利用附近的WIFI 热点远程获取记录的音频数据也是可能的。 第6批 记者也被跟踪?CIA“Scibbles”让告密者无处可藏 4月28日,维基解密曝光的第6批CIA Vault7文件,详细介绍了CIA(中央情报局)是如何追踪告密者、记者等群体的。CIA利用“Scibbles”(又名Snowden Stopper)软件在可能被泄漏的文件中嵌入Web信号标签,这样即使文档被窃取也能定位这些文件并收集相关的信息,并将这些信息反馈回CIA。 第7批 谁是“中间人”?CIA “MitM”攻击工具曝光 5月5日,维基解密发布第7批CIA文件,文件详细阐述了CIA针对LAN网络的中间人(MitM)攻击工具“Archimedes”(阿基米德)。这款黑客工具允许操作人员通过攻击者控制的设备在目标LAN流量传输至网关前,对LAN流量进行重定向。 第8批 CIA恶意软件框架中的新工具:AfterMidnight与Assassin 5月12日,维基解密发布了第8批CIA Vault7文件,详细披露了针对Winodws平台上的两个恶意软件框架——“AfterMidnight”以及“Assassin”。它们会在受感染的计算机上监控并汇报用户行为,再由远程主机执行恶意行为。 第9批 间谍软件可攻击Windows XP到Windows 10 5月19日,维基解密发布第9批CIA Vault文件,CIA间谍工具“Athena”(雅典娜)曝光。该软件能够攻击所有Windows版本,从Windows XP到Windows 10劫持整个PC。且允许肇事者窃取数据并将其发送到其他地方,如CIA服务器,或彻底删除本机数据,或通过安装更多的恶意软件对PC进行附加感染。 第10批 CIA利用Pandemic项目,将文件服务器转换为恶意软件感染源 6月1日,维基解密公布了第10批CIA Vault7文件,其中包括5个技术文档,项目代号为“Pandemic”(流行病)。文档创建于2014年1月到2014年4月之间,先后推出了1.0与1.1两个版本。Pandemic专门针对Window系统,不会更改系统中的文件,而是用一个木马替换合法程序。 该工具最多可以替换20个程序,最大占用800MB的空间,且植入仅需10至15秒。而Pandemic的攻击目标为使用SMB(Server Message Block)远程协议的用户。 第11批 Cherry Blossom:200种无线设备被黑! 6月15日,维基解密曝光第11批CIA Vault7文件,其中显示,CIA早在2006年便开始了一项名为“Cherry Blossom”(樱花盛开)的项目。“Cherry Blossom”通过黑掉多达200种的无线设备(路由器或AP),进而对连接在路由器后的用户终端进行各种基于网络的攻击。常见受攻击品牌有思科、苹果、D-link、Linksys、3Com、Belkin等。 第12批 CIA利用“野蛮袋鼠”渗透封闭网络 6月22日,维基解密发布了CIA Vault7系列的第12批文件,分别是“Brutal Kangaroo(野蛮袋鼠)和Emotional Simian(情感猿猴)”项目。文件详细描述了美国情报机构如何远程隐蔽地入侵访问封闭的计算机网络、独立的安全隔离网闸。这两个项目的工具只针对微软Windows操作系统。 第13批 ELSA利用WiFi追踪电脑地理位置 6月28日,维基解密曝光第13批Vault 7文件——“ELSA”(艾尔莎),其中提到:CIA有能力通过截取周边WiFi信号,以追踪各类运行有微软Windows操作系统的PC与其地理位置。 第14批 CIA开发“OutlawCountry”入侵Linux系统 6月30日,维基解密发布第14批CIA Vault文件,详细介绍了CIA工具“OutlawCountry”(法外之地)。工具的设计目的在于将目标Linux计算机上的全部出站网络流量重新定向至CIA控制下的系统当中,从而实现数据的提取与渗透。 第15批 CIA恶意软件直指SSH,Windows与Linux双双中招 7月6日,维基解密公开第15批CIA Vault文档,包括两份,分别为“BothanSpy(博萨间谍)与Gyrfalcon(矛隼)”。这两个项目描述了如何利用“植入物”对SSH凭证进行拦截与渗透,且能够针对不同操作系统使用不同的攻击向量。 第16批 HighRise:不联网也可窃取数据的工具 7月13日,维基解密发布第16批CIA Vault文档,详细介绍了CIA的一款恶意程序——名为“HighRis”(摩天大楼)。HighRise是专为运行Android 4.0到4.3的移动设备而设计的,它为SMS消息传递提供了重定向功能,通过将“传入”和“传出”SMS消息代理到互联网LP,从而在现场设备(“目标”)和监听位置(LP)之间提供更大的隔离。 第17批 “雷鸟”为CIA远程开发部门提供技术情报 7月19日,维基解密发布第17批CIA Vault文件,其作为UMBRAGE组件库(UCL)项目的一部分。这批文件包含CIA承包商雷鸟科技公司(RBT)为CIA远程开发部门提交的5份恶意软件PoC创意及分析报告。 第18批 CIA的“帝国”,“奴役”了谁? 7月27日,维基解密公布第18批CIA Vault文件:“Imperial”(帝国)项目文件。文件揭示了3个CIA开发的黑客工具和植入物的细节,旨在针对运行Apple Mac OS X和不同版本的Linux操作系统的计算机。这三款工具包括:“阿基里斯”(Achilles)、“艾瑞丝”(Aeris )和“海滨山黧豆”(SeaPea)。 第19批 摄像头是这样被入侵的!“ Dumbo ”工具曝光! 8月3日,维基解密公布第19批CIA Vault文件,详细介绍了名为“ Dumbo ”(小飞象)的工具代码。Dumbo可以在本地、或通过无线(蓝牙,WiFi)及有线网络来识别安装网络摄像头和麦克风的设备。 其强大功能在于能够使麦克风静音,禁用网络适配器,并使用网络摄像头暂停进程并破坏任何视频录制。同时还能提醒操作员存储镜像文件是否能被损坏或删除。 从曝光的Vault7文档可知,CIA非常重视网络入侵技术能力建设,把网络攻击活动作为一项系统化工程来实施。 |
|
|
