中情局數千份機密文檔泄露 | 各種0day工具、惡意程序應有盡有

新聞 03-09

維基解密最近再度獲取到了數千份文件——據說這些文件是來自CIA（中央情報局），文件細數了CIA所用的網路入侵工具及其擁有的入侵能力。

實際上，以近些年美國政府的各路監控行為，而且還有NSA的種種「珠玉」在前，CIA的黑客工具可能也就不算什麼了。

本周二，維基解密曝光了8761份據稱是美國中央情報局(CIA)網路攻擊活動的秘密文件，這些數據代號為Vault 7，文件日期介於2013年和2016年之間，據說是公布的相關CIA最大規模的機密文檔，應該能夠很大程度表現CIA的黑客技術和內部基建情況。

這系列文件按照維基解密的說法，歸屬於所謂的「Year Zero」（元年）系列。

維基解密創始人阿桑奇表示，文件顯示出「CIA網路攻擊的整體能力」，而維基解密在發布這些文件時聲稱「CIA的網路軍械庫已失控」，以下為維基解密對此次曝光事件的一些說明。

維基解密專題

：CIA網路軍火庫-Vault 7: CIA Hacking Tools Revealed

曝光文件說明

維基解密稱這些泄密文件來源CIA蘭利總部網路情報中心（CCI，Center for Cyber Intelligence）與外網隔絕的高度機密區域網，文件不僅暴露了CIA全球竊聽計劃的方向和規模，還包括一個龐大的黑客工具庫，網路攻擊入侵活動對象包括微軟、安卓、蘋果iOS、OS X和Linux等操作系統和三星智能電視，甚至是車載智能系統和路由器等網路節點單元和智能設備。

維基解密進一步透露：這些文件中涉及的黑客工具既有CIA自行開發的軟體，也有據稱是得到英國MI5（軍情五處）協助開發的間諜程序。

其中包括惡意軟體、病毒、特洛伊木馬、武器化的『0day漏洞』、惡意軟體遠程控制系統及其相關文件等。這些『網路武器』的代碼行數總計可達數億之多，這就使其持有者完全有能力黑進CIA。

目前，這些文件檔案已經在前美國政府黑客和承包商間以未經授權的手段流傳，維基解密得到的這些文件來自他們中的某人。

2001年以來，CIA獲得的政治權利和資金預算遠遠超越了NSA，他們不僅成立了臭名昭著的無人機編隊，還組建了一支具備全球入侵攻擊能力的隱蔽黑客艦隊，從某種程度上，與NSA的黑客攻擊能力形成競爭。

2016年底，CIA網路情報中心（Center for Cyber Intelligence）下屬的黑客部門已經僱傭了超過5000人參與其網路間諜行動，並開發了1000多個包括黑客系統、定製木馬病毒、和其它「武器化」工具在內的間諜程序。

至2016年，CIA黑客部門運行的代碼量甚至比FaceBook還要多，這種規模讓人吃驚，而也從某種意義上說，CIA成立了自己內部的「NSA」。

維基解密說，希望借這些曝光文件促成公眾討論：CIA的黑客能力是否已經超過他們所獲得的授權？阿桑奇在一份聲明中稱，開發網路「武器」存在極大的擴散風險，而這些文件中涉及的黑客工具意義已經遠遠超過所要達到的目的。

此次泄露文檔中不包含CIA的具體黑客工具，文檔中涉及的保密部分也作了相關編輯和隱匿。

曝光文件中涉及的CIA黑客工具

CIA針對 iPhone, Android, smart TVs的黑客工具

這些工具由CIA網路情報中心所屬的數字創新部門（Directorate for Digital Innovation）工程研發組開發，該小組負責研發、提供和測試CIA全球網路攻擊活動所需的各種後門、漏洞、惡意軟體、定製木馬等。

2014年10開始，CIA便開始研發可以控制和感染智能汽車的手段，用此手段去執行一些讓人察覺不到的暗殺行動。

CIA的移動設備部門（Mobile Devices Branch）還開發了許多黑客遠程攻擊控制智能手機的方式，被感染的手機可以向CIA攻擊者發送地理位置，音頻和文本通信等，甚至可以暗中激活手機的攝像頭和麥克風進行竊聽竊視。

文曝光文件中，還提及了針對蘋果系統移動設備的多個0day漏洞工具；另外，針對Android手機，CIA擁有

多達24個

武器化0day漏洞攻擊工具，這些工作來源於其合作夥伴FBI、GCHQ（英國通訊總部）、MI5（英國軍情五處）、NSA，還有一些是從類似Baitshop的網路軍火商手中購買。

比如說，文檔中特別提到，CIA和英國MI5合作開發了一款名為Weeping Angel（哭泣的天使？）的惡意程序，此工具是專門用來入侵三星智能電視的。

「針對三星智能電視的攻擊工具，是與英國MI5/BTSS合作開發的。在感染該惡意程序後，Weeping Angel會將目標設備置於Fake-Off模式，這樣一來用戶會以為電視已經關了，但實際上仍然開著。在『Fake-Off』模式下，電視設備就會記錄房間中的對話，並通過互聯網將其發往CIA伺服器。」

文檔還提到，CIA完全有能力繞過各種安全通訊應用的加密，包括WhatsApp、Telegram，還有傳說中最安全的Signal，連微博（！！！）和赫然在列。

「CIA的這些技術，通過入侵智能手機，可繞過WhatsApp、Signal、Telegram、微博、Confide和Cloackman，在加密應用之前就收集到音頻和信息流量。」

CIA針對Windows, OSx, Linux, routers的黑客工具

針對Windows用戶，CIA也下大力氣進行入侵工具研發，比如包含的多個本地和遠程0day漏洞工具，甚至也完全有能力感染已經與網路隔離的目標系統，比如通過CDDVD和攜帶型移動介質傳播的Hammer Drill惡意軟體（而且全面跨平台，

適用於微軟、Linux、Salaris、macOS等平台

）、把數據和程序隱藏在鏡像和隱蔽磁碟區的」Brutal Kangaroo」等。

所有這些惡意軟體由CIA下屬的自動植入部門（Automated Implant Branch）研發，該部門曾開發了大名鼎鼎的」Assassin」和」Medusa」惡意軟體。

針對互聯網基礎設施和網路伺服器的攻擊則由CIA的網路設備部門（Network Devices Branch）來完成。CIA已經開發出針對多平台的惡意軟體攻擊和控制自動化平台，如文件是提及的」HIVE」、」Cutthroat」和」Swindle」。

CIA珍藏的漏洞（0day)

奧巴馬時代，曾決定如果政府機構發現網路安全存在重要漏洞（0day），大多數情況下就應該公開信息，確保漏洞獲得修復，而不是保持沉默，或利用這些漏洞開展間諜活動或網路攻擊。

而「元年」曝光的CIA0day漏洞明顯違反了奧巴馬時代的關於漏洞披露的策略，這些0day具備滲透、感染、控制智能設備和操作系統，威脅巨大。

CIA的規避取證和免殺技術

CIA開發了一系列規避取證和免殺的技術，這些技術在 AV defeats、 Personal Security Products、Detecting and defeating PSPs 和PSP/Debugger/RE Avoidance中都有介紹，如Comodo殺毒軟體竟然被CIA的惡意軟體巧妙地放置到系統「回收站」中而實現免殺。