雷锋网按:本文作者腾讯反病毒实验室。
事件概述
美国时间 3 月 7 日,维基解密(WikiLeaks)网站公布了大量据称是美国中央情报局(CIA)的内部文件,其中包括了 CIA 内部的组织资料,对电脑、手机等设备进行攻击的方法技术,以及进行网络攻击时使用的代码和真实样本。利用这些技术,不仅可以在电脑、手机平台上的 Windows、iOS、Android 等各类操作系统下发起入侵攻击,还可以操作智能电视等终端设备,甚至可以遥控智能汽车发起暗杀行动。
维基解密将这些数据命名为 “7 号军火库”(Vault 7),一共有 8761 份文件,包括 7818 份网页以及 943 个附件。在公布时,维基解密对文件内容进行了一些删节处理,包括个人真实信息(姓名、邮件地址等),数以万计的 IP 地址,以及真实的二进制文件。
维基解密表示在对文件进行进一步的分析之后,会逐步公开这些被删节的信息。同时,维基解密称此次公布的数据只是一系列 CIA 机密材料的第一部分,被称为 “元年”(Year Zero),后续还会有更多资料陆续公布。
泄漏内容
此次公布的数据都是从 CIA 的内网保存下来的,时间跨度为 2013 到 2016 年。这批文档的组织方式类似于知识库,使用 Atlassian 公司的团队工作共享系统 Confluence 创建。数据之间有明显的组织索引关系,可以使用模板对多个资料进行管理。很多资料有历史改动的存档,7818 份资料中除去存档共有 1136 个最新数据。943 个附件基本上都可以在资料中找到对应的链接,属于其内容的一部分。
具体而言,这些资料可以分为如下几类:
CIA 部门资料,包括部门的介绍,部门相关的黑客项目,以及部门内部的信息分享。
黑客项目资料,包括一些不属于特定部门的黑客工具、辅助项目等,其中有项目的介绍,使用说明以及一些技术细节。
操作系统资料,包括 iOS、MacOS、Android、Linux、虚拟机等系统的信息和知识。
工具和开发资料,包括 CIA 内部用到的 Git 等开发工具。
员工资料,包括员工的个人信息,以及员工自己创建的一些内容。
知识库,这里面分门别类地存放了大量技术知识以及攻击手段。其中比较重要的是关于 Windows 操作系统的技术细节和各种漏洞,以及对于常见的个人安全产品(Personal Security Products)的绕过手段,包括诺顿、卡巴斯基、赛门铁克、微软杀毒以及瑞星等安全产品。
总的来看,这些数据虽然有组织关系,但是作为工作平台而言,并没有形成严格的规范,很多文件都是随意放置的,甚至还包括 asdf 这样的测试文件,更像是一个内部的知识共享平台。
典型兵器
在这次公布的数据中,一些比较值得注意的兵器项目如下:
Weeping Angel(哭泣的天使) 是一款由 CIA Embedded Devices Branch(嵌入式设备组) 和英国 MI5 共同开发的针对三星智能电视的窃听软件。三星智能电视使用的是 Android 操作系统,该窃听软件感染智能电视后,会劫持电视的关机操作,保持程序的后台运行,让用户误以为已经关机了。
它会启动麦克风,开启录音功能,然后将录音内容回传到 CIA 的后台服务器中。考虑到三星智能电视使用的是 Android 操作系统,推测该恶意软件具备感染 Android 手机的能力。韩国和美国是三星智能电视的最主要消费国家。
HIVE(蜂巢) 是 CIA 开发的远程控制后台项目,该项目负责多个平台的后台控制工作。从泄漏的文件来看,HIVE 系统在 2010 年 10 月 26 日发布了第一版,直到 2014 年 1 月 13 日一共更新到 2.6.2 版本。作为间谍软件最重要的部分,Command & Control Server 就由该项目负责。整体上,植入目标机器中的间谍软件,通过 HTTPS 协议同后台 C&C 服务器进行交互,整个通信过程使用了,数据加密,身份鉴权等诸多信息安全高级技术。同时在异常处理和服务器隐藏等关键模块的设计上,也体现出国家队的技术水平。
从架构设计上分析,HIVE 分为两层,第一层直接与间谍软件连接,部署在商用的 VPS(Vritual Private Server) 上。第一层将所有流量通过 VPN 加密转发到第二层。转发策略是如果流量经过身份鉴权,确认是目标机器,就会向代号为”Honeycomb” 的服务器集群转发,这里会对收集到的信息进行存贮和分析,如果鉴权失败,就会向一个无害的网站转发,达到重要服务器不被暴露的目的。
UMBRAGE(朦胧的外表) 取自英语古语,有朦胧虚无的意思。该项目主要目的是隐藏攻击手段,对抗调查取证。现实世界中,每一个案件,背后无论多么扑溯迷离,在现场一定会留下线索,如果是惯犯,凶手会有一定的作案模式。在网络世界中也是一样的,每一次发动的网络攻击,都会和之前的攻击有着千丝万缕的联系,都能提取出一定的攻击模式。
CIA 的 Remote Devices Branch (远程设备组),收集维护了一个网络攻击模式库,该模式库总结了之前使用过的攻击方式和技术,例如包含 Hacking Team 泄漏出的代码和俄罗斯使用的技术。拥有了庞大数量的模式库之后,对于新发起的网络攻击,可以采取模仿,混淆等多种战术,达到迷惑敌人,隐藏自己的目的。UMBRAGE 项目包含了恶意软件大部分功能模块,例如:键盘记录器,密码收集器,摄像头控制,数据销毁,提权,反杀毒软件等等。
"Fine Dining"(美食大餐)提供了标准化的调查问卷,CIA 的 OSB (Operational Support Branch) 部门会使用该调查问卷,用于将办案人员的请求转换为针对特定操作的黑客攻击的技术要求。问卷可以帮助 OSB 在现有的攻击工具集中选择合适的攻击工具,并将选好的攻击工具清单传递给 CIA 的负责配置攻击工具的运营人员。OSB 在这里充当了 CIA 运营运营人员和相关技术支持人员的接口人的角色。
调查问卷会让填写者填写诸如目标计算机使用的操作系统、网络连接情况、安装的杀毒软件等信息,随后会由 "Improvise"(即兴演出)处理。"Improvise" 是一个用于配置、后处理、payload 设置和 execution vector 选择的工具集,可支持所有主流操作系统。"Improvise" 的配置工具如 Margarita 允许 NOC(Network Operation Center)根据 "Fine Dining" 问卷的要求来定制工具。
"Fine Dnining" 用于收集攻击需求,而 "Improvise" 用于将攻击需求转化为攻击工具,这两个工具相互配合使用,可以准备、快速的对任何特定目标实施攻击。可见,CIA 已经实现了对指定目标的攻击实现了高度的定制和高效的配置。
后续
此次公开的数据庞大,并且还有部分数据未公布。腾讯反病毒实验室会持续关注该事件,跟进最新进展;同时继续深入分析现有内容,挖掘其中涉及的安全漏洞、入侵手法和攻击工具,第一时间披露更加具体的细节信息。
同时也在这里提醒广大用户,此次公布的数据中包含大量漏洞信息和攻击工具,可能被不怀好意的人利用,成为他们手中新的武器。希望广大用户最近提高警惕,留心关注最新的安全新闻,注意及时更新电脑、手机上的安全防范措施,避免遭受此次事件的负面影响。
