近日,360安全大腦聲稱通過"Vault7(穹窿7)"和一些關聯證據定位了隸屬於美國中央情報局的APT-C-39組織對於我國長達十一年的網絡滲透攻擊。
曝光"Vault 7"的工程師被指復仇
說到"Vault 7",得追溯到2017年3月,時年29歲的美國中央情報局(CIA)的前僱員Joshua Schulte向維基解密提供了一份CIA絕密文檔——被維基解密命名為"Vault 7"並公開披露。
Joshua Schulte曾於2010年在美國國家安全局(NSA)工作了五個月,擔任系統工程師,隨後加入了CIA,2010年至2016年擔任軟件工程師。
Joshua Schulte在領英上的簡歷
2020年2月,Joshua Schulte迎來了聯邦法庭對他的審判。他面臨多項指控,包括非法收集國防信息,非法傳輸合法和非法擁有的國防信息,甚至擁有兒童色情製品。
檢察官表示,Joshua Schulte這樣的CIA工程師的工作任務就是利用對手計算機系統中的漏洞進行攻擊。Joshua Schulte因與CIA管理層發生爭執在兩個項目上被撤銷行政特權。由於對CIA感到不滿,他在離職前精心策劃並掩蓋了竊取機密的行為。
Joshua Schulte的一系列行動,包括從其中央情報局工作站刪除計算機日誌,並恢復該機構剝奪他的管理員特權。在隨後的幾個月中,他對維基解密進行了數十次搜索,並對他的洩密是否被髮表感到"痴迷"。
Joshua Schulte被檢察官描述成一個憤怒而充滿怨氣的前僱員,他想利用偷走的數據與他的管理層談判。
Joshua Schulte的辯護律師反駁稱,Joshua Schulte是愛國者,檢察官仍未提出證據,證明是他竊取了數據。CIA對內部訪問的信息保護做得很差,以至於CIA的數百名員工都可以訪問它,並且該信息很容易受到外部承包商甚至其他國家的攻擊。她表示,為期四周的審判暴露了該機構內部令人震驚的安全漏洞。
檢察官表示:"Joshua Schulte 並不是愛國者,他充滿了憤怒,為了報仇犯下了破壞國家安全的罪行。"
目前案件正在審理中,尚未宣判。
CIA歷史上最大的機密洩露
"Vault 7"洩露事件被稱為CIA歷史上最大規模的機密洩露。
2017年3月7日,維基解密曝光了CIA 機密文檔"Vault 7"。"Vault 7"的第一部分 "Year Zero"文檔,收錄來自 CIA 總部(弗吉尼亞州蘭利市網絡情報中心)的 8,761 個文檔和文件。洩密內容大部分是黑客武器庫,包括惡意程序、病毒、木馬、有攻擊性的 0-day exploit、惡意程序遠程控制系統和相關文件。文檔記錄了CIA全球秘密黑客活動的範圍和方向,包括入侵 iPhone、Android手機、三星電視機進行監聽等,相當於解密了 CIA 全部的黑客能力。
2017年11月9日,維基解密再次聲稱,將繼續曝光命名為Vault8的新一系列CIA網絡武器,該曝光項目將會涉及大量CIA網絡武器的控制端源碼和後端開發架構信息,其中還會包括Vault7中已經曝光的某些CIA黑客工具。維基解密還表示,為了不造成其它安全影響,Vault8曝光項目中將不涉及任何0day漏洞。Vault8的披露將有利於調查記者、取證專家和公眾更好地瞭解中情局開展秘密活動的一些基礎設施。
"Vault 7"曝光的那些網絡武器
"Vault 7"主要曝光了EDG 及其下屬部門EDB、RDB、OSB、AIB、MDB等的工作任務和網絡武器(下圖中黃色部分)。
360安全大腦捕獲的APT-C-39組織就多次使用了其中的Fluxwire,Grasshopper等專屬網絡武器針對我國目標實施網絡攻擊。(下文中已特別標註)
CIA族譜圖
那麼這些部門主要負責哪些工作?"Vault 7"到底曝光了哪些秘密武器?一起來回顧下:
EDG 負責開發、測試所有後門程序、漏洞 exploit、惡意 payload、木馬程序、病毒以及 CIA 在全球秘密行動中使用的其他類型的惡意程序,併為這些惡意內容的實際操作提供支持。
EDB(嵌入式研發部門)的網絡武器
Embedded Development Branch(EDB,嵌入式研發部門),該部門負責對電話、工作站電腦、智能電視等目標設備進行入侵破解或植入內置工具,手段可以算是軟硬兼施,他們開發的工具包括:
Pterodactyl:一個"支持介質拷貝複製的通用硬件解決方案"工具,它可以通過諸如樹莓派(Raspberry Pi)之類的嵌入式單板機,對目標電腦進行數據拷貝。
SparrowHawk:適用於跨平臺架構和基於Unix系統的鍵盤記錄器,收集目標用戶鍵盤記錄,並進行格式整理統一。
DerStarke :針對蘋果OSX系統的啟動驅動級(Boot-level)的rookit植入木馬。
GyrFalcon:用於針對OpenSSH客戶端的數據獲取工具,可以跟蹤ssh連接、獲取用戶名密碼以及連接數據內容等信息。
SnowyOwl:針對目標系統,基於OpenSSH會話進行代碼注入。
HarpyEagle:是專門針對蘋果路由器AirportExtreme和Wi-Fi存儲設備Time Capsule而設計的,目的是遠程或本地獲取root權限並進行rootkit植入。
BaldEagle:針對Unix系統硬件抽象層的HALdaemon漏洞利用工具。
MaddeningWhispers:針對Vanguard設備進行遠程入侵的漏洞利用工具。
CRUCIBLE:自動化的可利用漏洞識別(automatedexploit identification)工具。
YarnBall:在部署有效載荷或數據竊取時使用的隱蔽USB存儲工具。
GreenPacket:針對GreenPacket路由設備進行木馬植入的工具套裝。
QuarkMatter:另一款針對OSX系統的啟動驅動級植入木馬。
Weeping Angel:由CIA和英國MI5共同開發的針對三星智能電視的木馬植入工具組件。該竊聽軟件感染智能電視後,會劫持電視的關機操作,保持程序的後臺運行,讓用戶誤以為已經關機了,之後它會啟動麥克風,開啟錄音功能,然後將錄音內容回傳到CIA的後臺服務器。
Hive:針對Windows和UNIX系統,為其它攻擊部署和工具提供入侵協助的組件平臺。
Honeycomb:用於配合Hive,運行於linux系統的,針對Swindle或Blot代理服務器的數據收集處理腳本工具。
CutThroat:構建於代理服務器之上,用於向目標系統發送數據的虛擬機接口。
Bee Sting:用於HTTP連接中的iFrame注入工具。
Sontaran:用於針對西門子OpenStage數字電話進行入侵的工具。
Secret Squirrel (SQRL):由遠程研發部門RDB和嵌入式研發部門共同開發的工具,目前還不知曉具體用途。
RDB(遠程研發部門)的網絡武器
Remote Development Branch(RDB,遠程研發部門),Vault7文檔中涉及該部門的數據相對較少。
Umbrage:一項團隊模式的網絡攻擊平臺,CIA技術人員通過該平臺收集大量公開的黑客工具、攻擊技術、一些洩露數據中包含的可用代碼和相關思路方法,以此形成一個網絡攻擊特徵庫,可應用於網絡攻擊活動的調查取證。另據其它媒體報道,CIA可以通過該特徵庫採取模仿、混淆等多種戰術,發起針對目標系統的"虛假標記"網絡攻擊,故意留下蛛絲馬跡,讓人作出錯誤判斷,達到迷惑敵人、嫁禍於人,隱藏自己的目的。
ShoulderSurfer:從MicrosoftExchange中提取數據的工具。
OSB(行動支持部門)的網絡武器
Operational Support Branch(OSB, 行動支持部門),除了維護一些有用的軟件工具之外,OSB部門還針對一些個別行動目標開發了通用的解決方案,這其中就包括一些對Windows系統和手機APP的入侵工具:
Time Stomper:用來在特定網絡入侵行動中修改攻擊載荷時間戳屬性的工具。
Munge Payload:對攻擊載荷進行加密和免殺處理的工具。
Magical Mutt:可以實現惡意DLL注入並能監控目標系統進程的工具。
Flash Bang:瀏覽器沙箱逃逸和劫持工具,當成功逃逸或劫持後,可以實現對目標系統的進一步提權操作。
RickyBobby:以電影《塔拉德加之夜》中的角色RickyBobby命名,包含多種DLL攻擊文件和執行腳本的一款輕量級的遠控植入工具,可以實現對目標系統的端口監聽、上傳和下載和命令執行等功能。
Fight Club:在特定攻擊活動中,利用移動載體作為傳播中介,通過在VLC、WinRAR、TrueCrypt、Shamela和Microsoft Office等軟件安裝程序中捆綁RickyBobby遠控,,實現控制感染目標系統的工具組件。
Melomy DriveIn:劫持VLC播放器DLL進程,間接植入RickyBobby遠控。
Rain Maker:隱藏於綠色版VLC播放器程序中,利用移動載體作為感染傳播中介,當用戶向網絡隔離的目標系統中插入感染U盤介質時,可以隱蔽實施對網絡隔離系統的文件竊取和信息收集。
Improvise:支持Windows、Mac和Linux主流操作系統的數據收集和竊取工具,可以用於攻擊配置、數據後處理、Payload調整設置和攻擊方法選擇的工具集。針對不同的攻擊目標系統,還定義了極具酒吧韻味的名字:Margarita, Dancefloor, Jukebox。
Basic Bit:一款針對Windows系統的鍵盤記錄工具。
Fine Dining:為執行入侵任務的技術特工提供的一系列定製服務,如生成一個偽裝的PDF文檔,利用該文檔在目標Mac系統中執行文件蒐集任務,或對特定程序執行DLL劫持。
HammerDrill:利用CD/DVD作為傳播感染介質,通過向磁盤中寫入惡意代碼,實現對目標系統的感染控制。vault7中出現的次數:在HammerDrill v2.0版本中還有一項功能:若目標系統正在使用Nero進行軟件刻錄,就會在刻錄的新盤中安裝32-bit的隱藏木馬程序。
AIB(自動植入部門)的網絡武器
Automated Implant Branch(AIB,自動植入部門),該部門負責一些植入類木馬遠控程序的研發,雖然涉及的大部分黑客工具未給出具體說明,但從部分曝光工具可以窺見其大概意圖:
Frog Prince:全功能木馬遠控植入集成系統,包括C&C控制端、端口監聽和植入軟件。
Grasshopper:(APT-C-39組織使用的網絡武器)主要針對 Windows 系統進行入侵控制,是一套具備模塊化、擴展化、免殺和持久駐留的惡意軟件綜合平臺。CIA特工在實施入侵攻擊之前,可以使用Grasshopper對目標系統進行相關信息探測分類,如操作系統類型、殺毒軟件和其它相關技術細節,之後,使用Grasshopper平臺自動將這些參數組合成針對特定目標的惡意軟件。為了完成定製化惡意軟件的配置,Grasshopper程序使用了基於規則的定製化語言進行開發配置,完成相關配置探測之後,Grasshopper會自動生成一個Windows客戶端的惡意安裝程序,方便現場特工進行安裝運行。
Caterpillar:通過安全傳輸方式從目標系統獲取文件的工具。
AntHill:似乎是一個遠控植入軟件用來進行文件管理的組件。
The Gibson:似乎是一個用來進行C&C控制和監聽的程序組件。
Galleon:從目標計算機中把文件通過安全傳輸方式複製到控制端的一組腳本和工具集。
MDB(移動研發部門)的網絡武器
Mobile Development Branch(MDB, 移動研發部門)該部門主要負責遠程入侵智能手機,並能將受害者的地理位置、音頻信息、文本信息發送回 CIA 服務器,甚至還能激活受害者手機的照相機和麥克風。
相關網絡武器vault7中無介紹。
NDB(網絡設備部門)的網絡武器
Network Devices Branch(NDB, 網絡設備部門),不像其它EDB、NDB部門一樣有直觀的上級主管部門說明,該部門的上級主管部門SED尚不明確。
AfterMidnight:一個使用DLL注入技術對Windows系統進行系統提權的工具套裝。
Packrat:由開源或商業工具集成的一個實施自動監聽的軟件套裝,可以適用於VMWare Workstation、VMWare ESXi、VirtualBox、OpenStack、KVM/QEMU、Docker、AWS、Google Compute Cloud等不同服務系統的配置監聽。
RoidRage:針對Android 5.0以前的設備進行木馬植入和漏洞利用的工具。
The.Net:包含一系列虛構公司名稱,如Umbrella、Abstergo等,用於模擬真實內外網絡通信的一個網絡配置工具套裝。
Philosoraptor:尚不清楚具體用途,但從其"聲稱目的"可以看出,該工具用來描述和展示商業軟件工具的獨特性功能。
Marble Framework:用來對黑客軟件的開發代碼進行混淆處理、防止被歸因調查取證的工具,與其它同類工具共同形成一個整體的混淆編碼系統。
Kraken:似乎是用來對網絡攻擊活動進行項目管理和狀態跟蹤的工具。
Fluxwire:(APT-C-39組織使用的網絡武器)一個計算機後門程序,與網民一般會遇到的木馬、後門程序不同,它是一個大型、複雜的國家級網絡攻擊平臺,可以攻擊控制Windows、Linux、MacOS等所有主流操作系統及軟硬件設備。Fluxwire系列武器的目的是穩定且隱蔽地控制各類電子設備,伺機而動發起網絡攻擊,竊取我國相關單位的機密情報。
本文由安數網絡編譯整理,第三部分《"Vault 7"曝光的那些網絡武器》轉載自Freebuf.com
閱讀更多 安數君 的文章
