騰訊安全反病毒實驗室:CIA大規模數據泄露揭秘
責編:mhshi |2017-03-10 17:38:04事件概述
美國時間3月7日,維基解密(WikiLeaks)網站公布了大量據稱是美國中央情報局(CIA)的內部文件,其中包括了CIA內部的組織資料,對電腦、手機等設備進行攻擊的方法技術,以及進行網絡攻擊時使用的代碼和真實樣本。利用這些技術,不僅可以在電腦、手機平臺上的Windows、iOS、Android等各類操作系統下發起入侵攻擊,還可以操作智能電視等終端設備,甚至可以遙控智能汽車發起暗殺行動。
維基解密將這些數據命名為“7號軍火庫”(Vault 7),一共有8761份文件,包括7818份網頁以及943個附件。在公布時,維基解密對文件內容進行了一些刪節處理,包括個人真實信息(姓名、郵件地址等),數以萬計的IP地址,以及真實的二進制文件。維基解密表示在對文件進行進一步的分析之后,會逐步公開這些被刪節的信息。同時,維基解密稱此次公布的數據只是一系列CIA機密材料的第一部分,被稱為“元年”(Year Zero),后續還會有更多資料陸續公布。
泄漏內容
此次公布的數據都是從CIA的內網保存下來的,時間跨度為2013到2016年。這批文檔的組織方式類似于知識庫,使用Atlassian公司的團隊工作共享系統Confluence創建。數據之間有明顯的組織索引關系,可以使用模板對多個資料進行管理。很多資料有歷史改動的存檔,7818份資料中除去存檔共有1136個最新數據。943個附件基本上都可以在資料中找到對應的鏈接,屬于其內容的一部分。具體而言,這些資料可以分為如下幾類:
- CIA部門資料,包括部門的介紹,部門相關的黑客項目,以及部門內部的信息分享。
- 黑客項目資料,包括一些不屬于特定部門的黑客工具、輔助項目等,其中有項目的介紹,使用說明以及一些技術細節。
- 操作系統資料,包括iOS、MacOS、Android、Linux、虛擬機等系統的信息和知識。
- 工具和開發資料,包括CIA內部用到的Git等開發工具。
- 員工資料,包括員工的個人信息,以及員工自己創建的一些內容。
- 知識庫,這里面分門別類地存放了大量技術知識以及攻擊手段。其中比較重要的是關于Windows操作系統的技術細節和各種漏洞,以及對于常見的個人安全產品(Personal Security Products)的繞過手段,包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產品。
總的來看,這些數據雖然有組織關系,但是作為工作平臺而言,并沒有形成嚴格的規范,很多文件都是隨意放置的,甚至還包括asdf這樣的測試文件,更像是一個內部的知識共享平臺。
典型兵器
在這次公布的數據中,一些比較值得注意的兵器項目如下:
- Weeping Angel
Weeping Angel(哭泣的天使)是一款由CIA Embedded Devices Branch(嵌入式設備組)和英國MI5共同開發的針對三星智能電視的竊聽軟件。三星智能電視使用的是Android操作系統,該竊聽軟件感染智能電視后,會劫持電視的關機操作,保持程序的后臺運行,讓用戶誤以為已經關機了。它會啟動麥克風,開啟錄音功能,然后將錄音內容回傳到CIA的后臺服務器中。考慮到三星智能電視使用的是Android操作系統,推測該惡意軟件具備感染Android手機的能力。韓國和美國是三星智能電視的最主要消費國家。
- HIVE
HIVE(蜂巢)是CIA開發的遠程控制后臺項目,該項目負責多個平臺的后臺控制工作。從泄漏的文件來看,HIVE系統在2010年10月26日發布了第一版,直到2014年1月13日一共更新到2.6.2版本。作為間諜軟件最重要的部分,Command & Control Server就由該項目負責。整體上,植入目標機器中的間諜軟件,通過HTTPS協議同后臺C&C服務器進行交互,整個通信過程使用了,數據加密,身份鑒權等諸多信息安全高級技術。同時在異常處理和服務器隱藏等關鍵模塊的設計上,也體現出國家隊的技術水平。
從架構設計上分析,HIVE分為兩層,第一層直接與間諜軟件連接,部署在商用的VPS(Vritual Private Server)上。第一層將所有流量通過VPN加密轉發到第二層。轉發策略是如果流量經過身份鑒權,確認是目標機器,就會向代號為”Honeycomb”的服務器集群轉發,這里會對收集到的信息進行存貯和分析,如果鑒權失敗,就會向一個無害的網站轉發,達到重要服務器不被暴露的目的。
- UMBRAGE
UMBRAGE(朦朧的外表)取自英語古語,有朦朧虛無的意思。該項目主要目的是隱藏攻擊手段,對抗調查取證。現實世界中,每一個案件,背后無論多么撲溯迷離,在現場一定會留下線索,如果是慣犯,兇手會有一定的作案模式。在網絡世界中也是一樣的,每一次發動的網絡攻擊,都會和之前的攻擊有著千絲萬縷的聯系,都能提取出一定的攻擊模式。
CIA的Remote Devices Branch (遠程設備組),收集維護了一個網絡攻擊模式庫,該模式庫總結了之前使用過的攻擊方式和技術,例如包含Hacking Team泄漏出的代碼和俄羅斯使用的技術。擁有了龐大數量的模式庫之后,對于新發起的網絡攻擊,可以采取模仿,混淆等多種戰術,達到迷惑敵人,隱藏自己的目的。UMBRAGE項目包含了惡意軟件大部分功能模塊,例如:鍵盤記錄器,密碼收集器,攝像頭控制,數據銷毀,提權,反殺毒軟件等等。
- Fine Dining和Improvise (JQJIMPROVISE)
“Fine Dining”(美食大餐)提供了標準化的調查問卷,CIA的OSB (Operational Support Branch)部門會使用該調查問卷,用于將辦案人員的請求轉換為針對特定操作的黑客攻擊的技術要求。問卷可以幫助OSB在現有的攻擊工具集中選擇合適的攻擊工具,并將選好的攻擊工具清單傳遞給CIA的負責配置攻擊工具的運營人員。OSB在這里充當了CIA運營運營人員和相關技術支持人員的接口人的角色。
調查問卷會讓填寫者填寫諸如目標計算機使用的操作系統、網絡連接情況、安裝的殺毒軟件等信息,隨后會由”Improvise”(即興演出)處理。”Improvise”是一個用于配置、后處理、payload設置和execution vector選擇的工具集,可支持所有主流操作系統。”Improvise”的配置工具如Margarita允許NOC(Network Operation Center)根據”Fine Dining”問卷的要求來定制工具。
“Fine Dnining”用于收集攻擊需求,而”Improvise”用于將攻擊需求轉化為攻擊工具,這兩個工具相互配合使用,可以準備、快速的對任何特定目標實施攻擊。可見,CIA已經實現了對指定目標的攻擊實現了高度的定制和高效的配置。
后續
此次公開的數據龐大,并且還有部分數據未公布。騰訊電腦管家反病毒實驗室會持續關注該事件,跟進最新進展;同時繼續深入分析現有內容,挖掘其中涉及的安全漏洞、入侵手法和攻擊工具,第一時間披露更加具體的細節信息。
同時也在這里提醒廣大用戶,此次公布的數據中包含大量漏洞信息和攻擊工具,可能被不懷好意的人利用,成為他們手中新的武器。希望廣大用戶最近提高警惕,留心關注最新的安全新聞,注意及時更新電腦、手機上的安全防范措施,避免遭受此次事件的負面影響。