近日,360安全大脑声称通过“Vault7(穹窿7)”和一些关联证据定位了隶属于美国中央情报局的APT-C-39组织对于我国长达十一年的网络渗透攻击。
曝光“Vault 7”的工程师被指复仇
说到“Vault 7”,得追溯到2017年3月,时年29岁的美国中央情报局(CIA)的前雇员Joshua Schulte向维基解密提供了一份CIA绝密文档——被维基解密命名为“Vault 7”并公开披露。
Joshua Schulte曾于2010年在美国国家安全局(NSA)工作了五个月,担任系统工程师,随后加入了CIA,2010年至2016年担任软件工程师。
Joshua Schulte领英上的简历
2020年2月,Joshua Schulte迎来了联邦法庭对他的审判。他面临多项指控,包括非法收集国防信息,非法传输合法和非法拥有的国防信息,甚至拥有儿童色情制品。
检察官表示,Joshua Schulte这样的CIA工程师的工作任务就是利用对手计算机系统中的漏洞进行攻击。Joshua Schulte因与CIA管理层发生争执在两个项目上被撤销行政特权。由于对CIA感到不满,他在离职前精心策划并掩盖了窃取机密的行为。
Joshua Schulte的一系列行动,包括从其中央情报局工作站删除计算机日志,并恢复该机构剥夺他的管理员特权。在随后的几个月中,他对维基解密进行了数十次搜索,并对他的泄密是否被发表感到“痴迷”。
Joshua Schulte被检察官描述成一个愤怒而充满怨气的前雇员,他想利用偷走的数据与他的管理层谈判。
Joshua Schulte的辩护律师反驳称,Joshua Schulte是爱国者,检察官仍未提出证据,证明是他窃取了数据。CIA对内部访问的信息保护做得很差,以至于CIA的数百名员工都可以访问它,并且该信息很容易受到外部承包商甚至其他国家的攻击。她表示,为期四周的审判暴露了该机构内部令人震惊的安全漏洞。
检察官表示:“Joshua Schulte 并不是爱国者,他充满了愤怒,为了报仇犯下了破坏国家安全的罪行。”
目前案件正在审理中,尚未宣判。
CIA历史上最大的机密泄露
“Vault 7”泄露事件被称为CIA历史上最大规模的机密泄露。
2017年3月7日,维基解密曝光了CIA 机密文档“Vault 7”。“Vault 7”的第一部分 “Year Zero”文档,收录来自 CIA 总部(弗吉尼亚州兰利市网络情报中心)的 8,761 个文档和文件。泄密内容大部分是黑客武器库,包括恶意程序、病毒、木马、有攻击性的 0-day exploit、恶意程序远程控制系统和相关文件。文档记录了CIA全球秘密黑客活动的范围和方向,包括入侵 iPhone、Android手机、三星电视机进行监听等,相当于解密了 CIA 全部的黑客能力。
2017年11月9日,维基解密再次声称,将继续曝光命名为Vault8的新一系列CIA网络武器,该曝光项目将会涉及大量CIA网络武器的控制端源码和后端开发架构信息,其中还会包括Vault7中已经曝光的某些CIA黑客工具。维基解密还表示,为了不造成其它安全影响,Vault8曝光项目中将不涉及任何0day漏洞。Vault8的披露将有利于调查记者、取证专家和公众更好地了解中情局开展秘密活动的一些基础设施。
“Vault 7”曝光的那些网络武器
“Vault 7”主要曝光了EDG 及其下属部门EDB、RDB、OSB、AIB、MDB等的工作任务和网络武器(下图中黄色部分)。
360安全大脑捕获的APT-C-39组织就多次使用了其中的Fluxwire,Grasshopper等专属网络武器针对我国目标实施网络攻击。(下文中已特别标注)
CIA族谱图
那么这些部门主要负责哪些工作?“Vault 7”到底曝光了哪些秘密武器?一起来回顾下:
EDG 负责开发、测试所有后门程序、漏洞 exploit、恶意 payload、木马程序、病毒以及 CIA 在全球秘密行动中使用的其他类型的恶意程序,并为这些恶意内容的实际操作提供支持。
EDB(嵌入式研发部门)的网络武器
Embedded Development Branch(EDB,嵌入式研发部门),该部门负责对电话、工作站电脑、智能电视等目标设备进行入侵破解或植入内置工具,手段可以算是软硬兼施,他们开发的工具包括:
Pterodactyl:一个“支持介质拷贝复制的通用硬件解决方案”工具,它可以通过诸如树莓派(Raspberry Pi)之类的嵌入式单板机,对目标电脑进行数据拷贝。
SparrowHawk:适用于跨平台架构和基于Unix系统的键盘记录器,收集目标用户键盘记录,并进行格式整理统一。
DerStarke:针对苹果OSX系统的启动驱动级(Boot-level)的rookit植入木马。
GyrFalcon:用于针对OpenSSH客户端的数据获取工具,可以跟踪ssh连接、获取用户名密码以及连接数据内容等信息。
SnowyOwl:针对目标系统,基于OpenSSH会话进行代码注入。
HarpyEagle:是专门针对苹果路由器AirportExtreme和Wi-Fi存储设备Time Capsule而设计的,目的是远程或本地获取root权限并进行rootkit植入。
BaldEagle:针对Unix系统硬件抽象层的HALdaemon漏洞利用工具。
MaddeningWhispers:针对Vanguard设备进行远程入侵的漏洞利用工具。
CRUCIBLE:自动化的可利用漏洞识别(automatedexploit identification)工具。
YarnBall:在部署有效载荷或数据窃取时使用的隐蔽USB存储工具。
GreenPacket:针对GreenPacket路由设备进行木马植入的工具套装。
QuarkMatter:另一款针对OSX系统的启动驱动级植入木马。
Weeping Angel:由CIA和英国MI5共同开发的针对三星智能电视的木马植入工具组件。该窃听软件感染智能电视后,会劫持电视的关机操作,保持程序的后台运行,让用户误以为已经关机了,之后它会启动麦克风,开启录音功能,然后将录音内容回传到CIA的后台服务器。
Hive:针对Windows和UNIX系统,为其它攻击部署和工具提供入侵协助的组件平台。
Honeycomb:用于配合Hive,运行于linux系统的,针对Swindle或Blot代理服务器的数据收集处理脚本工具。
CutThroat:构建于代理服务器之上,用于向目标系统发送数据的虚拟机接口。
Bee Sting:用于HTTP连接中的iFrame注入工具。
Sontaran:用于针对西门子OpenStage数字电话进行入侵的工具。
Secret Squirrel (SQRL):由远程研发部门RDB和嵌入式研发部门共同开发的工具,目前还不知晓具体用途。
RDB(远程研发部门)的网络武器
Remote Development Branch(RDB,远程研发部门),Vault7文档中涉及该部门的数据相对较少。
Umbrage:一项团队模式的网络攻击平台,CIA技术人员通过该平台收集大量公开的黑客工具、攻击技术、一些泄露数据中包含的可用代码和相关思路方法,以此形成一个网络攻击特征库,可应用于网络攻击活动的调查取证。另据其它媒体报道,CIA可以通过该特征库采取模仿、混淆等多种战术,发起针对目标系统的“虚假标记”网络攻击,故意留下蛛丝马迹,让人作出错误判断,达到迷惑敌人、嫁祸于人,隐藏自己的目的。
ShoulderSurfer:从MicrosoftExchange中提取数据的工具。
OSB(行动支持部门)的网络武器
Operational Support Branch(OSB, 行动支持部门),除了维护一些有用的软件工具之外,OSB部门还针对一些个别行动目标开发了通用的解决方案,这其中就包括一些对Windows系统和手机APP的入侵工具:
Time Stomper:用来在特定网络入侵行动中修改攻击载荷时间戳属性的工具。
Munge Payload:对攻击载荷进行加密和免杀处理的工具。
Magical Mutt:可以实现恶意DLL注入并能监控目标系统进程的工具。
Flash Bang:浏览器沙箱逃逸和劫持工具,当成功逃逸或劫持后,可以实现对目标系统的进一步提权操作。
RickyBobby:以电影《塔拉德加之夜》中的角色RickyBobby命名,包含多种DLL攻击文件和执行脚本的一款轻量级的远控植入工具,可以实现对目标系统的端口监听、上传和下载和命令执行等功能。
Fight Club:在特定攻击活动中,利用移动载体作为传播中介,通过在VLC、WinRAR、TrueCrypt、Shamela和Microsoft Office等软件安装程序中捆绑RickyBobby远控,,实现控制感染目标系统的工具组件。
Melomy DriveIn:劫持VLC播放器DLL进程,间接植入RickyBobby远控。
Rain Maker:隐藏于绿色版VLC播放器程序中,利用移动载体作为感染传播中介,当用户向网络隔离的目标系统中插入感染U盘介质时,可以隐蔽实施对网络隔离系统的文件窃取和信息收集。
Improvise:支持Windows、Mac和Linux主流操作系统的数据收集和窃取工具,可以用于攻击配置、数据后处理、Payload调整设置和攻击方法选择的工具集。针对不同的攻击目标系统,还定义了极具酒吧韵味的名字:Margarita, Dancefloor, Jukebox。
Basic Bit:一款针对Windows系统的键盘记录工具。
Fine Dining:为执行入侵任务的技术特工提供的一系列定制服务,如生成一个伪装的PDF文档,利用该文档在目标Mac系统中执行文件搜集任务,或对特定程序执行DLL劫持。
HammerDrill:利用CD/DVD作为传播感染介质,通过向磁盘中写入恶意代码,实现对目标系统的感染控制。vault7中出现的次数:在HammerDrill v2.0版本中还有一项功能:若目标系统正在使用Nero进行软件刻录,就会在刻录的新盘中安装32-bit的隐藏木马程序。
AIB(自动植入部门)的网络武器
Automated Implant Branch(AIB,自动植入部门),该部门负责一些植入类木马远控程序的研发,虽然涉及的大部分黑客工具未给出具体说明,但从部分曝光工具可以窥见其大概意图:
Frog Prince:全功能木马远控植入集成系统,包括C&C控制端、端口监听和植入软件。
Grasshopper:(APT-C-39组织使用的网络武器)主要针对 Windows 系统进行入侵控制,是一套具备模块化、扩展化、免杀和持久驻留的恶意软件综合平台。CIA特工在实施入侵攻击之前,可以使用Grasshopper对目标系统进行相关信息探测分类,如操作系统类型、杀毒软件和其它相关技术细节,之后,使用Grasshopper平台自动将这些参数组合成针对特定目标的恶意软件。为了完成定制化恶意软件的配置,Grasshopper程序使用了基于规则的定制化语言进行开发配置,完成相关配置探测之后,Grasshopper会自动生成一个Windows客户端的恶意安装程序,方便现场特工进行安装运行。
Caterpillar:通过安全传输方式从目标系统获取文件的工具。
AntHill:似乎是一个远控植入软件用来进行文件管理的组件。
The Gibson:似乎是一个用来进行C&C控制和监听的程序组件。
Galleon:从目标计算机中把文件通过安全传输方式复制到控制端的一组脚本和工具集。
MDB(移动研发部门)的网络武器
Mobile Development Branch(MDB, 移动研发部门)该部门主要负责远程入侵智能手机,并能将受害者的地理位置、音频信息、文本信息发送回 CIA 服务器,甚至还能激活受害者手机的照相机和麦克风。
相关网络武器vault7中无介绍。
NDB(网络设备部门)的网络武器
Network Devices Branch(NDB, 网络设备部门),不像其它EDB、NDB部门一样有直观的上级主管部门说明,该部门的上级主管部门SED尚不明确。
AfterMidnight:一个使用DLL注入技术对Windows系统进行系统提权的工具套装。
Packrat:由开源或商业工具集成的一个实施自动监听的软件套装,可以适用于VMWare Workstation、VMWare ESXi、VirtualBox、OpenStack、KVM/QEMU、Docker、AWS、Google Compute Cloud等不同服务系统的配置监听。
RoidRage:针对Android 5.0以前的设备进行木马植入和漏洞利用的工具。
The.Net:包含一系列虚构公司名称,如Umbrella、Abstergo等,用于模拟真实内外网络通信的一个网络配置工具套装。
Philosoraptor:尚不清楚具体用途,但从其“声称目的”可以看出,该工具用来描述和展示商业软件工具的独特性功能。
Marble Framework:用来对黑客软件的开发代码进行混淆处理、防止被归因调查取证的工具,与其它同类工具共同形成一个整体的混淆编码系统。
Kraken:似乎是用来对网络攻击活动进行项目管理和状态跟踪的工具。
Fluxwire:(APT-C-39组织使用的网络武器)一个计算机后门程序,与网民一般会遇到的木马、后门程序不同,它是一个大型、复杂的国家级网络攻击平台,可以攻击控制Windows、Linux、MacOS等所有主流操作系统及软硬件设备。Fluxwire系列武器的目的是稳定且隐蔽地控制各类电子设备,伺机而动发起网络攻击,窃取我国相关单位的机密情报。
本文由安数网络编译整理自SECURITYWEEK、CNN等报道,第三部分《“Vault 7”曝光的那些网络武器》转载自Freebuf.com
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照