中情局系列（七）| Vault7计划（穹顶7号）

在研究大国博弈过程中，美国中情局（CIA）是不可忽略一个重要组织，因此，wiwords决定开一个系列，详尽介绍中情局曾经发起过的系列行动、以及使用过的手段，今天是第七篇，欢迎大家关注。

事件背景

2017年3月7日，维基解密开始分批公开了美国中央情报局的大量被称为“Vault7”的网络黑客工具和相关文件等内容。这是CIA历史上一次重大的泄密事件。据说泄密者为CIA前程序员约书亚·舒尔特（Joshua Schulte)。

泄密文件内容和构成

泄密的文件中包括8716个文件，943份附件，7818个网页以及超7亿行源程序代码，这些文件和档案来自位于弗吉尼亚州兰利的中央情报局 网络情报中心内一个隔离的高安全网络。

一、分析CIA部门职能和武器能力

从泄密的文件中，我们可以分析出CIA的部分部门职能和其开发的武器工具。

1.针对各类目标和平台研发攻击武器

泄露的工具显示，CIA 恶意软件和黑客工具针对当前主流的操作系统和设备。如苹果的iPhone 、Mac（iOS和macOS ） ；谷歌的安卓设备；微软的Windows系统 ；三星的智能电视等。

CIA 恶意软件和黑客工具由 EDG（工程开发组）开发，EDG 是 CCI（网络情报中心）下属的一个软件开发组，而 CCI 是 CIA 的数字创新局（DDI）下属的一个部门。

各部门间关系如下图：

EDG 主要负责中央情报局在全球秘密行动中使用的所有后门、漏洞、恶意负载、木马、病毒和任何其他类型的恶意软件的开发、测试和运营支持。

嵌入式设备处（EDB）主要研究嵌入式设备后门及木马程序的开发。最具代表性的是其开发的“Weeping Angel（哭泣天使）”，可以入侵智能电视，将其转变为隐蔽的麦克风。如与英国 MI5/BTSS 合作开发针对三星智能电视的攻击后门，在感染后，Weeping Angel（哭泣天使） 会将目标电视置于“假关闭”模式，让电视机主误以为电视机已关闭，但其实电视机是开着的。在“假关闭”模式下，电视机会像窃听器一样运行，记录房间内的对话并通过互联网将其发送到隐蔽的 CIA 服务器。中央情报局还研究感染现代汽车和卡车，以控制车辆控制系统，这种技术很有可能被用于暗杀等隐藏性行动中。

移动设备处 (MDB) 主要研究开发远程入侵和控制热门智能手机的攻击手段。实现受感染的手机向中央情报局发送用户的地理位置、音频和文本通信，以及秘密激活手机的摄像头和麦克风。根据vault7计划公布的数据，早在2016年，中央情报局就拥有超过 24 个“武器化”的 Android“零日漏洞”，这些技术允许中央情报局通过入侵“智能”手机，并在各类应用加密之前收集音频和消息。从而达到绕过 WhatsApp、Signal、Telegram、Wiebo、Confide 、Cloackman等app软件加密的目的。

自动植入部门（AIB） 负责协调开展病毒感染工作。该部门开发了多种攻击系统，用于自动感染和控制中央情报局的恶意软件，例如“刺客”和“美杜莎”。

网络设备部门（NDB）主要针对互联网基础设施和网络服务器发起攻击。

2.已知的恶意软件和程序集

a.主动攻击型武器

• 武器化的“0日漏洞”利用程序集“元年”（Year Zero）等 ，可利用漏洞对目标进行攻击和入侵。

• “哭泣天使”（Weeping Angel）可以将三星智能电视置于“假关闭”模式，使其变成一个窃听器记录房间对话并上传 。

• “暗物质”（DarkMatter）可以对苹果Mac和iOS设备进行入侵和持续监听。

• “蝗虫”（Grasshopper）主要针对Windows系统进行入侵控制，是一套恶意软件综合平台。

• “雅典娜”（Athena）软件能够攻击从Windows XP到Windows 10的所有Windows版本，进行数据窃取、删除或进行更多恶意软件感染。

• “pandemic”（流行病）专门针对Windows系统，用木马替换合法程序且不更改系统文件。

• “cherryblossom”（樱花盛开）项目可以黑掉如思科、苹果、D - Link等品牌的多达200种无线设备（路由器或AP）进而攻击用户终端。

• “野蛮袋鼠”（Brutal Kangaroo）和“情感猿猴”（Emotional Simian）针对微软Windows操作系统，用于入侵访问封闭的计算机网络和独立安全隔离网闸 。

• “艾尔莎”（Elsa）可通过截取周边WiFi信号追踪运行微软Windows操作系统的PC及其地理位置。

• “outlawcountry”用于入侵Linux系统。

b.逃避检测和反取证工具

• “大理石”（Marble）框架用于隐藏文本片段或使其模糊化，干扰取证人员的调查。

c.监控和信息收集方面：

• 将“scibbles”（又名Snowden Stopper）软件嵌入在可能被泄漏、或故意泄漏投放的文件中，并嵌入Web信号标签，实现追踪告密者、记者等，通过向CIA发送用户的地理位置、音频和文本通信，以及秘密激活手机的摄像头和麦克风等方式确认告密者、记者的身份和位置。

d.中间人攻击工具

• “阿基米德”（Archimedes）可以对LAN网络流量进行重定向等操作。

e.远程控制系统：

• “蜂巢”（Hive）能实现多种平台植入任务的后台控制工作，协助CIA从植入恶意软件的目标机器中以https协议和数据加密方式执行命令和窃取数据。

二、分析其对外网络作战策略

1.CIA“囤积”的漏洞（“零日漏洞”）

---

在爱德华·斯诺登 (Edward Snowden) 泄露美国国家安全局 (NSA) 机密之后，奥巴马政府向美国科技行业承诺，政府将持续向苹果、谷歌、微软和其他美国制造商披露（而非囤积）严重的漏洞、利用程序、错误或“零日漏洞”，实现漏洞公平。

但“零年”文件显示，中情局违背了奥巴马政府的承诺。中情局网络武器库中利用的许多漏洞无处不在，其中一些漏洞可能已被竞争对手的情报机构或网络罪犯发现。

例如，《零年》中披露的特定 CIA 恶意软件能够渗透、感染和控制运行或曾经运行过总统 Twitter 账户的 Android 手机和 iPhone 软件。CIA 利用 CIA 拥有的未公开安全漏洞（“零日”）攻击该软件，但如果 CIA 可以破解这些手机，那么获得或发现漏洞的其他人也可以。只要 CIA 向苹果和谷歌（手机制造商）隐瞒这些漏洞，它们就不会被修复，手机仍然容易受到黑客攻击。

2.对多国进行着黑客攻击

除了在CIA总部的行动外，中央情报局还利用其驻国领事馆对别国进行网络攻击。如美国驻法兰克福领事馆作为其黑客攻击欧洲、中东和非洲的秘密基地。在法兰克福领事馆（“欧洲网络情报中心”或 CCIE）工作的 CIA 黑客拥有外交护照（“黑色”）和国务院掩护，可以支持领事工作为由轻松进行任何国家开展工作。维基解密先前发布的两份出版物进一步披露了中央情报局 (CIA) 对海关和二次筛查程序的态度细节 。文件显示CIA黑客一旦到达法兰克福，就可以无需进一步的边境检查前往申根开放边境地区的 25 个欧洲国家——包括法国、意大利和瑞士。

经典的的签证面试话术：  
问：您为什么来这里？  
答：支持领事馆的技术咨询。

3.中情局的许多电子攻击方法都是针对物理接近而设计

这些攻击方法能够渗透与互联网断开连接的高安全性网络，例如警察记录数据库。在这些情况下，中情局官员、特工或盟军情报官员会按照指示，物理渗透到目标工作场所。攻击者会得到一个 USB，里面装有中情局为此目的开发的恶意软件，攻击者会将其插入目标计算机。然后，攻击者会感染可移动媒体并将数据泄露到可移动媒体上。例如，中情局的攻击系统Fine Dining为中情局间谍提供了 24 个诱饵应用程序。在目击者看来，间谍似乎在运行一个播放视频的程序（例如 VLC）、演示幻灯片（Prezi）、玩电脑游戏（Breakout2、2048）甚至运行病毒扫描程序（卡巴斯基、迈克菲、Sophos）。但是，当诱饵应用程序出现在屏幕上时，底层系统会自动被感染和扫描。

 以上文档已收录至微语网安学院知识星球

梦想启航，青春无悔