在研究大国博弈过程中,美国中情局(CIA)是不可忽略一个重要组织,因此,wiwords决定开一个系列,详尽介绍中情局曾经发起过的系列行动、以及使用过的手段,今天是第七篇,欢迎大家关注。
事件背景
2017年3月7日,维基解密开始分批公开了美国中央情报局的大量被称为“Vault7”的网络黑客工具和相关文件等内容。这是CIA历史上一次重大的泄密事件。据说泄密者为CIA前程序员约书亚·舒尔特(Joshua Schulte)。
泄密文件内容和构成
泄密的文件中包括8716个文件,943份附件,7818个网页以及超7亿行源程序代码,这些文件和档案来自位于弗吉尼亚州兰利的中央情报局 网络情报中心内一个隔离的高安全网络。
一、分析CIA部门职能和武器能力
从泄密的文件中,我们可以分析出CIA的部分部门职能和其开发的武器工具。
1.针对各类目标和平台研发攻击武器
泄露的工具显示,CIA 恶意软件和黑客工具针对当前主流的操作系统和设备。如苹果的iPhone 、Mac(iOS和macOS ) ;谷歌的安卓设备;微软的Windows系统 ;三星的智能电视等。
CIA 恶意软件和黑客工具由 EDG(工程开发组)开发,EDG 是 CCI(网络情报中心)下属的一个软件开发组,而 CCI 是 CIA 的数字创新局(DDI)下属的一个部门。
各部门间关系如下图:
EDG 主要负责中央情报局在全球秘密行动中使用的所有后门、漏洞、恶意负载、木马、病毒和任何其他类型的恶意软件的开发、测试和运营支持。
嵌入式设备处(EDB)主要研究嵌入式设备后门及木马程序的开发。最具代表性的是其开发的“Weeping Angel(哭泣天使)”,可以入侵智能电视,将其转变为隐蔽的麦克风。如与英国 MI5/BTSS 合作开发针对三星智能电视的攻击后门,在感染后,Weeping Angel(哭泣天使) 会将目标电视置于“假关闭”模式,让电视机主误以为电视机已关闭,但其实电视机是开着的。在“假关闭”模式下,电视机会像窃听器一样运行,记录房间内的对话并通过互联网将其发送到隐蔽的 CIA 服务器。中央情报局还研究感染现代汽车和卡车,以控制车辆控制系统,这种技术很有可能被用于暗杀等隐藏性行动中。
移动设备处 (MDB) 主要研究开发远程入侵和控制热门智能手机的攻击手段。实现受感染的手机向中央情报局发送用户的地理位置、音频和文本通信,以及秘密激活手机的摄像头和麦克风。根据vault7计划公布的数据,早在2016年,中央情报局就拥有超过 24 个“武器化”的 Android“零日漏洞”,这些技术允许中央情报局通过入侵“智能”手机,并在各类应用加密之前收集音频和消息。从而达到绕过 WhatsApp、Signal、Telegram、Wiebo、Confide 、Cloackman等app软件加密的目的。
自动植入部门(AIB) 负责协调开展病毒感染工作。该部门开发了多种攻击系统,用于自动感染和控制中央情报局的恶意软件,例如“刺客”和“美杜莎”。
网络设备部门(NDB)主要针对互联网基础设施和网络服务器发起攻击。
2.已知的恶意软件和程序集
a.主动攻击型武器
武器化的“0日漏洞”利用程序集“元年”(Year Zero)等 ,可利用漏洞对目标进行攻击和入侵。
“哭泣天使”(Weeping Angel)可以将三星智能电视置于“假关闭”模式,使其变成一个窃听器记录房间对话并上传 。
“暗物质”(DarkMatter)可以对苹果Mac和iOS设备进行入侵和持续监听。
“蝗虫”(Grasshopper)主要针对Windows系统进行入侵控制,是一套恶意软件综合平台。
“雅典娜”(Athena)软件能够攻击从Windows XP到Windows 10的所有Windows版本,进行数据窃取、删除或进行更多恶意软件感染。
“pandemic”(流行病)专门针对Windows系统,用木马替换合法程序且不更改系统文件。
“cherryblossom”(樱花盛开)项目可以黑掉如思科、苹果、D - Link等品牌的多达200种无线设备(路由器或AP)进而攻击用户终端。
“野蛮袋鼠”(Brutal Kangaroo)和“情感猿猴”(Emotional Simian)针对微软Windows操作系统,用于入侵访问封闭的计算机网络和独立安全隔离网闸 。
“艾尔莎”(Elsa)可通过截取周边WiFi信号追踪运行微软Windows操作系统的PC及其地理位置。
“outlawcountry”用于入侵Linux系统。
b.逃避检测和反取证工具
• “大理石”(Marble)框架用于隐藏文本片段或使其模糊化,干扰取证人员的调查。
c.监控和信息收集方面:
• 将“scibbles”(又名Snowden Stopper)软件嵌入在可能被泄漏、或故意泄漏投放的文件中,并嵌入Web信号标签,实现追踪告密者、记者等,通过向CIA发送用户的地理位置、音频和文本通信,以及秘密激活手机的摄像头和麦克风等方式确认告密者、记者的身份和位置。
d.中间人攻击工具
• “阿基米德”(Archimedes)可以对LAN网络流量进行重定向等操作。
e.远程控制系统:
• “蜂巢”(Hive)能实现多种平台植入任务的后台控制工作,协助CIA从植入恶意软件的目标机器中以https协议和数据加密方式执行命令和窃取数据。
二、分析其对外网络作战策略
1.CIA“囤积”的漏洞(“零日漏洞”)
在爱德华·斯诺登 (Edward Snowden) 泄露美国国家安全局 (NSA) 机密之后,奥巴马政府向美国科技行业承诺,政府将持续向苹果、谷歌、微软和其他美国制造商披露(而非囤积)严重的漏洞、利用程序、错误或“零日漏洞”,实现漏洞公平。
但“零年”文件显示,中情局违背了奥巴马政府的承诺。中情局网络武器库中利用的许多漏洞无处不在,其中一些漏洞可能已被竞争对手的情报机构或网络罪犯发现。
例如,《零年》中披露的特定 CIA 恶意软件能够渗透、感染和控制运行或曾经运行过总统 Twitter 账户的 Android 手机和 iPhone 软件。CIA 利用 CIA 拥有的未公开安全漏洞(“零日”)攻击该软件,但如果 CIA 可以破解这些手机,那么获得或发现漏洞的其他人也可以。只要 CIA 向苹果和谷歌(手机制造商)隐瞒这些漏洞,它们就不会被修复,手机仍然容易受到黑客攻击。
2.对多国进行着黑客攻击
除了在CIA总部的行动外,中央情报局还利用其驻国领事馆对别国进行网络攻击。如美国驻法兰克福领事馆作为其黑客攻击欧洲、中东和非洲的秘密基地。在法兰克福领事馆(“欧洲网络情报中心”或 CCIE)工作的 CIA 黑客拥有外交护照(“黑色”)和国务院掩护,可以支持领事工作为由轻松进行任何国家开展工作。维基解密先前发布的两份出版物进一步披露了中央情报局 (CIA) 对海关和二次筛查程序的态度细节 。文件显示CIA黑客一旦到达法兰克福,就可以无需进一步的边境检查前往申根开放边境地区的 25 个欧洲国家——包括法国、意大利和瑞士。
经典的的签证面试话术:
问:您为什么来这里?
答:支持领事馆的技术咨询。
3.中情局的许多电子攻击方法都是针对物理接近而设计
这些攻击方法能够渗透与互联网断开连接的高安全性网络,例如警察记录数据库。在这些情况下,中情局官员、特工或盟军情报官员会按照指示,物理渗透到目标工作场所。攻击者会得到一个 USB,里面装有中情局为此目的开发的恶意软件,攻击者会将其插入目标计算机。然后,攻击者会感染可移动媒体并将数据泄露到可移动媒体上。例如,中情局的攻击系统Fine Dining为中情局间谍提供了 24 个诱饵应用程序。在目击者看来,间谍似乎在运行一个播放视频的程序(例如 VLC)、演示幻灯片(Prezi)、玩电脑游戏(Breakout2、2048)甚至运行病毒扫描程序(卡巴斯基、迈克菲、Sophos)。但是,当诱饵应用程序出现在屏幕上时,底层系统会自动被感染和扫描。
以上文档已收录至微语网安学院知识星球
梦想启航,青春无悔