關於「Vault 7」CIA泄露文檔，你想知道的都在這裡

維基解密CIA文件基本分析

一句話概括

：維基解密泄露的文件是CIA的黑客工具庫，針對的是外國政府和國內外的公民。

資料庫名稱

：Vault 7。這是一系列泄露Year Zero（「元年」）的第一部分。

來源

：美國弗吉尼亞州蘭利市CIA情報中心。

數量

：7818個網頁，943份附件。據維基解密消息，全部材料包括數億行代碼，預計比斯諾登泄露的要多（未證實）。

目的

：維基解密的消息源發布聲明稱，他們想要引導公眾對「網路武器的安全、創造、使用、擴散和民主控制」進行討論。

與斯諾登事件的差別

：斯諾登公開的是NSA對於全世界公民及政府的全面監控及其使用的技術。而「7號金庫」則公開了CIA用於網路戰的武器，針對的是外國政府和特定個人。

從哪兒拿到的文件：

維基解密並沒有言明這些泄露的文檔來自哪裡，但他們有提到這些機密數據曾在前政府黑客和承包商間流通，在這其中有人將一部分內容提供給了維基解密。但Jason Healey指出，此事或與俄羅斯網路間諜有關。所以在Healey看來，維基解密更應該和科技廠商合作儘快將漏洞補上。

已經掌握的情報

FreeBuf已經第一時間對此次事件

進行了報道

，這兩天相關CIA泄露文檔的情報已經相當多樣，我們在此做了一些簡單的整理。總的來說，此次泄露的文檔涉及到的是CIA及其使用的網路武器。後續幾周，我們將繼續證實並更新相關信息，以下是我們目前所知的CIA的項目、相關操作的合法性和此次事件對人們的安全和隱私而言意味著什麼。

CIA工具列舉

Weeping Angel（哭泣天使）

——將智能電視的麥克風轉變為監控工具。利用此工具，CIA黑客能夠將打開居民家中的智能電視（而且是在用戶以為電視關閉的情況下），並竊聽人們的對話。與斯諾登公布的監控工具進行比較，我們發現Weeping Angel與Nosey Smurf（愛管閑事的藍精靈）非常相似，Nosey Smurf是英國GCHQ使用的工具，能夠將個人電話的麥克風變成監聽工具。而Tracker Smurf（追蹤者藍精靈）則是定位工具，能夠定位手機位置，準確率高於三角測量法。

HammerDrill v2.0：

這是一款能夠從與網路隔離的PC獲取數據的惡意程序，針對微軟、Linux、Solaris、macOS和各種平台，通過CD/DVD、USB設備來進行惡意程序的傳播，數據隱藏在圖片中——還有一些相當複雜的惡意程序（所以是通過邊信道？）。

入侵手機、繞過加密：

文檔中提到，CIA完全有能力繞過WhatsApp、Signal、Telegram、微博、Confide、Cloackman等應用的加密，當然主要方式並不是破解加密，而是皆由惡意程序入侵手機，在數據被加密之前進行就收集音頻和信息流量。

CIA的移動開發組（MDB）開發惡意程序，從iPhone和其他使用iOS系統的蘋果設備中獲取數據。MDB也針對Android系統，大部分智能手機包括索尼、三星和Google Pixel都默認使用Android。文檔表明，截至2016年，CIA擁有24個「武器化」的Android「0Day」工具，這些都是CIA自主開發以及從GCHQ、NSA和網路武器承包商處獲取的。

0Day（零日漏洞）

——指的是CIA針對任意敵對設備使用的漏洞。維基解密報告稱，Zero Day主要用於針對企業的行業間諜活動。2013年，斯諾登也披露稱NSA承認對巴西、俄羅斯、歐洲等地的石油企業、銀行、航空公司和貿易代表團展開行業間諜活動。根據披露文件，CIA製造了上千個「黑客系統、木馬、病毒和其他『武器化』惡意程序」。

Hive（蜂巢）

——CIA跨平台惡意程序套件，專門針對其他國家。「Hive提供針對Windows、Solaris、MikroTik、Linux平台的定製植入程序，並擁有一個情報收集中心（LP）既C2基礎設施與這些植入程序進行通信。」Hive和Zero Day之間存在許多相似性，同時與2010年攻擊並感染伊朗核項目的震網病毒十分相似。雖然沒有國家宣稱對2010年的攻擊事件負責，但因為震網病毒的複雜程度，政界還是將其與美國、以色列的監控及情報機構掛鉤。

嫁禍他國政府

文檔中提到CIA擁有一款工具，CIA可能利用該工具將自己的網路戰爭行動嫁禍給外國政府。每個政府或黑客組織都有其標誌性的行為或惡意程序，或兩者都有，來攻擊其目標。久而久之，當攻擊發生之時，基於其標誌性特徵，就會與特定組織或政府相聯繫。

維基解密提到，CIA的遠程設備組擁有一款名為UMBRAGE的程序，可「收集並儲存大量的攻擊技術」。根據泄露文檔，CIA收集的技術包括俄羅斯經常使用的技術。

CIA通過UMBRAGE收集的技術包括：鍵盤記錄，密碼收集，網路攝像頭捕獲，數據摧毀，持久性感染，許可權提升，隱蔽攻擊，躲避殺毒軟體等。

此外，CIA還制定了相關規則，說明了部署惡意程序時應如何進行隱藏，以避免其標誌性特徵導向美國或CIA。

亂入的Emoji

除了黑客工具之外，CIA文檔中還包含一個顏文字列表，由用戶#71475收集整理，命名為「網路表情」。該用戶還對某些顏文字進行了注釋，意圖為何尚且不明。

合法么？

初步調查發現CIA已經知曉並助長了這些工具的擴散。根據維基解密提供的信息，CIA希望這些工具合法化，這樣其特工或支持黑客就能夠放心使用，免受責罰。如果CIA的軟體被定為機密信息，官員如果違反規則，將機密信息掛在網上，就可能面臨起訴或撤職。因此，CIA秘密地將其大部分網路間諜/網路戰爭代碼處理為非機密信息。因為美國憲法的制約，美國政府也不能維護相關工具的版權。這就意味著網路武器製造者和黑客獲得這些「武器」後，能夠隨意「盜版」。CIA主要靠混淆技術來保護其惡意程序。

CIA的回應

CIA這兩天居然就維基解密曝光的這些文檔發表了聲明，並拒絕承認對美國公民進行了電子監控。路透社報道稱，CIA和FBI已經開始針對Vault 7泄露文檔發起調查，不願署名的一名美國官員表示，本次數據泄露是因CIA的一個承包商遭遇網路攻擊所致。

按照慣例，CIA也拒絕對泄露文檔的真實性，以及針對事件的調查現狀發表評論。CIA特別指出，其任務就是「激進地收集」（agressively collect）來自海外的情報，保護美國免受恐怖組織和敵對分子的傷害。

「以革新、前沿、第一線的防禦技術來保護國家免受國外敵對分子傷害是CIA的職責。」

CIA另外還說，在美國監聽個人的行為是被禁止的，自家的活動「受到嚴格監督，並確保行為完全符合美國法律和憲法」。另一方面，CIA也對Vault 7文檔泄露，可能對其行動造成的影響表示擔憂。

中國的反映

中國政府本周四要求美國停止監聽行為。中國外交部發言人耿爽在北京的新聞發布會上耿爽表示，中國會維護其網路空間主權：

「我們敦促美國停止針對中國和其他國家的竊聽、監控、機密竊取和網路攻擊行為。」

耿爽另外也說，中國對於泄露的CIA報告表示擔憂，並且重申了對於所有形式的攻擊行為的反對。

科技公司的回應

文檔當中提到的三星、蘋果、谷歌等企業，對於此次事件也紛紛有不同的反應。

蘋果

迅速作出回應稱，蘋果已修復CIA針對蘋果設備使用的大多數漏洞。

經初步研究發現，今天泄露的大部分問題都已經在最新版iOS中得到修復了，蘋果將快速修復任何已被發現的漏洞。蘋果敦促用戶下載最新版iOS，獲得最新的安全更新。

微軟

方面簡潔扼要地回應稱，「微軟已知曉此報告，並正展開調查」。

對於文檔中提及的CIA可入侵三星智能電視，三星回應稱：「保護用戶隱私和保障設備安全一直是三星的工作重點。三星已經知曉相關報告，並已就此事開展緊急調查。」

思科

還在等待更多新信息，但就目前公布的材料，得出了如下結論：

文檔中有惡意程序針對不同型號的思科產品，包括多種路由器和開關。

惡意程序一旦在思科設備上安裝後，將有多種功能，包括收集數據、提取數據、獲得管理員許可權並執行命令、HTML流量重定向，篡改網頁，DNS定向，隱蔽通信等。

惡意程序製作者花費大量時間精力，保證這些工具安裝後，能夠躲避安全檢測和取證分析。

惡意程序製作者似乎使用了大量資源，用於質量保證測試，目的似乎是保障惡意程序安裝之後，不會導致設備崩潰或出現異常行為。

思科產品安全事件響應團隊將會分析更多的文件和惡意程序，並修復任何需要修復的問題。

而就CIA可劫持使用基於Linux軟體的電腦，

Linux

基金會首席信息官Nicko van Someren回應稱，Linux操作系統使用率高，安裝基數龐大，國家情報機構攻擊Linux平台也並不出乎意料。但是，Linux將敦促其開源社區修復漏洞，並將用戶提供相關補丁。

此次事件涉及的企業和機構眾多，後續還會有更多針對CIA相關工具的分析報告，請大家繼續關注。

也有不同意見

另外也有安全專家認為，這份文檔並不具備太大的殺傷力。Sudo Security Group公司CEO Will Strafach表示，維基解密實際上誇大了CIA的入侵能力。比如說文檔中提到CIA開發的iOS系統漏洞利用工具，實際上這個工具已經比較早了，根本就不支持最新的iOS 10和更新的工具。

「這些產品的漏洞早就被修復了。維基解密絕對是在誤導人。」

本周三，

谷歌回應說

已經看過了這些泄露文檔，並且表示Android系統完全有能力「為用戶抵擋其中提到的很多漏洞。」

維基解密可能會和廠商合作

實際上到目前為止，維基解密都並沒有公布文檔中提到的黑客工具的源碼，這必然也是考慮到一旦公開，那些不懷好意的網路犯罪分子會趁機上位。有趣的是，本周三，維基解密還在Twitter上說：

「科技公司說，他們需要更多有關CIA攻擊技術的細節，以期更快修復漏洞。WikiLeaks是否應該直接與他們合作呢？」

國外媒體對此的解讀是，維基解密為了安全考慮有可能會選擇將手中掌握的機密情報與科技廠商分享，真正讓這些廠商以更快的速度修復CIA利用的漏洞。維基解密方面也強調，在這些黑客工具被徹底分析、抑制其危害（disarm）之前，工具是不會公開的。大概和科技廠商合作會是個不錯的途經。

*參考來源：

securityaffairs

、Networkworld

[1]

[2]

、

telegraph

、

BBC

、

CSO

、

SecurityWeek

、FB小編kuma編譯，轉載請註明來自Freebuf

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: