維基解密：「雷鳥」為CIA遠程開發部門提供技術情報

E安全7月21日訊 維基解密於美國時間7月19日發布新一批CIA
Vault文件，其作為UMBRAGE組件庫（UCL）項目的一部分。這批文件包含CIA承包商雷鳥科技公司（Raytheon Blackbird Technologies，RBT）為CIA遠程開發部門提交的5份惡意軟體PoC創意及分析報告。

這些報告主要包含觀點驗證程序（PoC）和惡意軟體攻擊向量評估，以及部分源自安全研究人員和計算機安全領域私有企業的公共文件。具體提交報告時間自2014年11月21日到2015年9月11日。

由此可見，RBT充當的是CIA遠程開發部門（RDB）的「技術偵察員」，負責分析惡意軟體攻擊並向RDB部門提供建議，便於CIA進一步調查，並為自己的惡意軟體項目開發PoC。

維基解密泄露的文件顯示，RBT是CIA的承包商，向CIA提交了5份此類報告。這些報告概要性地描述了PoC觀點與惡意軟體攻擊向量（由安全研究人員公開發布以及網路間諜黑客組織秘密開發）。

雷神公司提交的報告是為了幫助CIA RDB部門收集想法，供CIA開發自己的高級惡意軟體項目。

維基解密先前泄露的Vault 7文件顯示，CIA UMBRAGE惡意軟體開發小組還借鑒公共惡意軟體樣本代碼構建自己的間諜軟體工具。

雷鳥科技向CIA提交的5份報告如下：

報告1——Regin（瑞金）間諜平台

——這份報告介紹了自2013年發現的一款非常複雜的惡意軟體樣本

「Regin」（瑞金），這是一個間諜平台，主要用於目標監視和數據收集，擅長高級別分析，據稱比震網病毒Stuxnet和Duqu更複雜。這款工具很可能是美國情報機構NSA開發的。其使用模塊化架構，允許操作人員啟用定製監控，為特定目標提供了高度的靈活性和對攻擊能力的剪裁。由於其隱蔽性,
躲避查殺，攻擊部分僅內存駐留的優勢，使得這款工具非常適合實施長期、持續性、大規模監視行動。

報告2——HammerToss惡意軟體

——介紹了一款2015年初發現的疑似俄羅斯國家黑客使用的惡意軟體樣本「HammerToss」，其可能自2014年底開始運行。HammerToss的特別之處在於架構，它利用Twitter賬號、GitHub賬號、被攻陷的網站和雲存儲結合，以及基本的隱寫術實現命令與控制功能，以在目標系統上執行命令。

報告3——Gamker木馬

——這份文件介紹了一款self-code 注入和 API 掛鉤方法的信息竊取木馬稱為 "Gamker"。實施簡單的解密之後，使用隨機用戶名丟下自己的副本，並將自己注入不同的進程。這款木馬還具備其它典型的木馬功能。

報告4——EMISSARY PANDA遠程訪問工具

——雷神分析師詳細描述了HTTPBrowser遠程訪問工具（RAT） 的變種，其開發時間可能是2015年。這款RAT旨在捕獲目標系統的擊鍵。報告聲稱這款RAT是中國APT間諜組織「熊貓使者」（Emissary Panda）使用的工具。

報告5——IsSpace遠程訪問工具

——這份文件詳述了NfLog
遠程訪問工具（RAT）變種，亦被稱為IsSpace，據稱是中國另一黑客組織「熊貓武士」（Samurai
Panda）使用的工具。NfLog利用了Hacking Team開發的 aAdobe
Flash零日漏洞（編號CVE-2015-5122），以及UAC繞過技術，這款惡意軟體還能嗅探或枚舉代理證書，以繞過Windows防火牆。除此之外，這個新的變體還包含了使用 Google
App Engine (GAE)， 託管其 與C&C 伺服器之間的代理通信。

維基解密持續供貨

下面是E安全整理的維基解密自今年3月以來披露發布的其它CIA工具，點擊即可查看：

1. OutlawCountry（「法外之地」，入侵運行有Linux操作系統的計算機）；

2. Elsa（「艾爾莎」，利用WiFi追蹤電腦地理位置）；

3. Brutal Kangaroo（「野蠻袋鼠」，攻擊網閘設備和封閉網路）；

4. Emotional Simian（「情感猿猴」，針對網閘設備的病毒）

5. Cherry Blossom （「櫻花」，攻擊無線設備的框架）；

6. Pandemic（「流行病」，文件伺服器轉換為惡意軟體感染源）；

7. Athena（「雅典娜」，惡意間諜軟體，能威脅所有Windows版本）；

8. AfterMidnight （「午夜之後」，Winodws平台上的惡意軟體框架）；

9. Archimedes（「阿基米德」，中間人攻擊工具） ；

10. Scribbles（CIA追蹤涉嫌告密者的程序）；

11. Weeping Angel （「哭泣天使」，將智能電視的麥克風轉變為監控工具）；

12. Hive （「蜂巢」，多平台入侵植入和管理控制工具）；

13. Grasshopper（「蝗蟲」，針對Windows系統的一個高度可配置木馬遠控植入工具）；

14. Marble Framework （「大理石框架」，用來對黑客軟體的開發代碼進行混淆處理、防止被歸因調查取證）；

15. Dark Matter（「暗物質」，CIA入侵蘋果Mac和iOS設備的技術與工具）

16. HighRise（「摩天大樓」，通過簡訊竊取智能手機數據的工具）

相關閱讀：

CIA Vault 7第四波：蝗蟲來襲，微軟Windows寸草不生【附下載】

維基解密：CIA惡意軟體直指SSH，Windows與Linux雙雙中招

CIA反取證工具曝光 安全專家質疑維基解密

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」 查看更多精彩內容。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！