維基解密:“雷鳥”為CIA遠(yuǎn)程開發(fā)部門提供技術(shù)情報(bào)

責(zé)任編輯:editor004

2017-07-21 12:09:19

摘自:E安全

維基解密于美國時(shí)間7月19日發(fā)布新一批CIA Vault文件,其作為UMBRAGE組件庫(UCL)項(xiàng)目的一部分。維基解密先前泄露的Vault 7文件顯示,CIA UMBRAGE惡意軟件開發(fā)小組還借鑒公共惡意軟件樣本代碼構(gòu)建自己的間諜軟件工具。

維基解密于美國時(shí)間7月19日發(fā)布新一批CIA Vault文件,其作為UMBRAGE組件庫(UCL)項(xiàng)目的一部分。這批文件包含CIA承包商雷鳥科技公司(Raytheon Blackbird Technologies,RBT)為CIA遠(yuǎn)程開發(fā)部門提交的5份惡意軟件PoC創(chuàng)意及分析報(bào)告。

這些報(bào)告主要包含觀點(diǎn)驗(yàn)證程序(PoC)和惡意軟件攻擊向量評估,以及部分源自安全研究人員和計(jì)算機(jī)安全領(lǐng)域私有企業(yè)的公共文件。具體提交報(bào)告時(shí)間自2014年11月21日到2015年9月11日。

由此可見,RBT充當(dāng)?shù)氖荂IA遠(yuǎn)程開發(fā)部門(RDB)的“技術(shù)偵察員”,負(fù)責(zé)分析惡意軟件攻擊并向RDB部門提供建議,便于CIA進(jìn)一步調(diào)查,并為自己的惡意軟件項(xiàng)目開發(fā)PoC。

維基解密:“雷鳥”為CIA遠(yuǎn)程開發(fā)部門提供技術(shù)情報(bào)-E安全

維基解密泄露的文件顯示,RBT是CIA的承包商,向CIA提交了5份此類報(bào)告。這些報(bào)告概要性地描述了PoC觀點(diǎn)與惡意軟件攻擊向量(由安全研究人員公開發(fā)布以及網(wǎng)絡(luò)間諜黑客組織秘密開發(fā))。

雷神公司提交的報(bào)告是為了幫助CIA RDB部門收集想法,供CIA開發(fā)自己的高級惡意軟件項(xiàng)目。

維基解密先前泄露的Vault 7文件顯示,CIA UMBRAGE惡意軟件開發(fā)小組還借鑒公共惡意軟件樣本代碼構(gòu)建自己的間諜軟件工具。

雷鳥科技向CIA提交的5份報(bào)告如下:報(bào)告1——Regin(瑞金)間諜平臺

——這份報(bào)告介紹了自2013年發(fā)現(xiàn)的一款非常復(fù)雜的惡意軟件樣本 “Regin”(瑞金),這是一個(gè)間諜平臺,主要用于目標(biāo)監(jiān)視和數(shù)據(jù)收集,擅長高級別分析,據(jù)稱比震網(wǎng)病毒Stuxnet和Duqu更復(fù)雜。這款工具很可能是美國情報(bào)機(jī)構(gòu)NSA開發(fā)的。其使用模塊化架構(gòu),允許操作人員啟用定制監(jiān)控,為特定目標(biāo)提供了高度的靈活性和對攻擊能力的剪裁。由于其隱蔽性, 躲避查殺,攻擊部分僅內(nèi)存駐留的優(yōu)勢,使得這款工具非常適合實(shí)施長期、持續(xù)性、大規(guī)模監(jiān)視行動。

報(bào)告2——HammerToss惡意軟件

——介紹了一款2015年初發(fā)現(xiàn)的疑似俄羅斯國家黑客使用的惡意軟件樣本“HammerToss”,其可能自2014年底開始運(yùn)行。HammerToss的特別之處在于架構(gòu),它利用Twitter賬號、GitHub賬號、被攻陷的網(wǎng)站和云存儲結(jié)合,以及基本的隱寫術(shù)實(shí)現(xiàn)命令與控制功能,以在目標(biāo)系統(tǒng)上執(zhí)行命令。

報(bào)告3——Gamker木馬

——這份文件介紹了一款self-code 注入和 API 掛鉤方法的信息竊取木馬稱為 "Gamker"。實(shí)施簡單的解密之后,使用隨機(jī)用戶名丟下自己的副本,并將自己注入不同的進(jìn)程。這款木馬還具備其它典型的木馬功能。

報(bào)告4——EMISSARY PANDA遠(yuǎn)程訪問工具

——雷神分析師詳細(xì)描述了HTTPBrowser遠(yuǎn)程訪問工具(RAT) 的變種,其開發(fā)時(shí)間可能是2015年。這款RAT旨在捕獲目標(biāo)系統(tǒng)的擊鍵。報(bào)告聲稱這款RAT是中國APT間諜組織“熊貓使者”(Emissary Panda)使用的工具。

報(bào)告5——IsSpace遠(yuǎn)程訪問工具

——這份文件詳述了NfLog 遠(yuǎn)程訪問工具(RAT)變種,亦被稱為IsSpace,據(jù)稱是中國另一黑客組織“熊貓武士”(Samurai Panda)使用的工具。NfLog利用了Hacking Team開發(fā)的 aAdobe Flash零日漏洞(編號CVE-2015-5122),以及UAC繞過技術(shù),這款惡意軟件還能嗅探或枚舉代理證書,以繞過Windows防火墻。除此之外,這個(gè)新的變體還包含了使用 Google App Engine (GAE), 托管其 與C&C 服務(wù)器之間的代理通信。

維基解密持續(xù)供貨

下面是E安全整理的維基解密自今年3月以來披露發(fā)布的其它CIA工具,點(diǎn)擊即可查看:

OutlawCountry(“法外之地”,入侵運(yùn)行有Linux操作系統(tǒng)的計(jì)算機(jī));

Elsa(“艾爾莎”,利用WiFi追蹤電腦地理位置);

Brutal Kangaroo(“野蠻袋鼠”,攻擊網(wǎng)閘設(shè)備和封閉網(wǎng)絡(luò));

Emotional Simian(“情感猿猴”,針對網(wǎng)閘設(shè)備的病毒)

Cherry Blossom (“櫻花”,攻擊無線設(shè)備的框架);

Pandemic(“流行病”,文件服務(wù)器轉(zhuǎn)換為惡意軟件感染源);

Athena(“雅典娜”,惡意間諜軟件,能威脅所有Windows版本);

AfterMidnight (“午夜之后”,Winodws平臺上的惡意軟件框架);

Archimedes(“阿基米德”,中間人攻擊工具) ;

Scribbles(CIA追蹤涉嫌告密者的程序);

Weeping Angel (“哭泣天使”,將智能電視的麥克風(fēng)轉(zhuǎn)變?yōu)楸O(jiān)控工具);

Hive (“蜂巢”,多平臺入侵植入和管理控制工具);

Grasshopper(“蝗蟲”,針對Windows系統(tǒng)的一個(gè)高度可配置木馬遠(yuǎn)控植入工具);

Marble Framework (“大理石框架”,用來對黑客軟件的開發(fā)代碼進(jìn)行混淆處理、防止被歸因調(diào)查取證);

Dark Matter(“暗物質(zhì)”,CIA入侵蘋果Mac和iOS設(shè)備的技術(shù)與工具)

HighRise(“摩天大樓”,通過短信竊取智能手機(jī)數(shù)據(jù)的工具)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號