CIA 對本國情報機構下手？利用ExpressLane工具搜集FBI與NSA等機構的數據

維基解密上周休息了一周，本周又來搞事了：新一波 「Vault 7」 系列文檔泄露。這次泄露的文檔被標註為 「secret」，內容是 CIA 秘密監控全球聯絡情報機構（包括  FBI、DHS 和 NSA 等），並暗中搜集數據。

CIA 的科學技術分支機構——

技術服務部門（OTS）和特徵情報中心（I2C）

向其全球情報聯絡機構（包括  FBI、DHS 和 NSA 等）提供一種生物識別採集系統（ biometric collection system）（包括預定義的硬體、操作系統和軟體），方便各方共享自己採集到的生物識別信息。但是，這些機構自然不會將自己採集到的信息全部分享出來，還有一些並沒有主動分享。因此 OTS 就開發了一款名為 ExpressLane 的工具，秘密從這些聯絡機構的系統中竊取數據。這對於美國的其他情報機構而言，可不是什麼好事兒。

OTS 負責維護 CIA 向各個聯絡機構提供的生物識別採集系統，因此可以訪問這些系統。OTS 的特工會聲稱要使用 US 設備對系統進行升級。隨後，特工將特定移動設備插入到這些系統中，讓系統顯示「安裝更新」頁面，並顯示「更新」進度條，藉此將 ExpressLane 偽裝成該系統的常規更新部分，手動安裝到系統中。

如果聯絡機構已經在使用 CIA 提供的生物識別系統，那麼 ExpressLane 3.1.1 就會作為更新的一部分安裝到該系統中。

此外， ExpressLane 並不會升級這些生物識別軟體，OTS 主要是利用升級功能作為掩護。在系統中進行 ExpressLane 升級安裝之前，OTS 可以預設其安裝時間。當安裝頁面出現後， ExpressLane 就開始在後台搜集信息並儲存到特定移動設備。如果 OTS 有用於更新系統軟體的文件，ExpressLane 3.1.1 也會將這些文件複製到特定區域。

ExpressLane 顯示為 MOBSLangSvc.exe，偽裝成更新儲存在 WindowsSystem32 中，

當 USB 設備插入系統後，ExpressLane 將秘密搜集聯絡機構系統中的機密數據，並將數據加密存儲在特定移動設備的秘密分區中。

ExpressLane 3.1.1 是文檔中提到的 ExpressLane 最新版本，在安裝六個月（六個月是默認值，OTS 也可以設置其他「死亡時段」）後可以自動移除，藉以清除痕迹。如果某位特工在「死亡時段」內沒有交還存有 Expresslane 驅動的 USB ，那麼 Expresslane 就會失效。不論 Expresslane 何時在目標系統上運行，「死亡日期」都能按照設定的時間順延。

ExpressLane 主要有兩個功能：

CreatePartition：能讓特工在目標系統中創建一個秘密分區，用於儲存搜集到的信息（壓縮格式或者加密模式）。

ExitRamp：能讓特工再次使用移動設備進入系統時獲取存儲在系統秘密分區中的信息。

CIA 提供的這個生物識別採集系統主要以 Cross Match 公司的一款產品為基礎。 Cross Match 是美國弗羅里達州一家專門為執法機構和情報機構製造生物識別軟體的公司。美國在巴基斯坦執行奧薩馬·本·拉登 暗殺行動時也曾使用過 Cross match 的產品來識別其身份。

需要注意的是，泄露的文檔日期是 2009  年，且用戶手冊主要針對的是 Windows XP 系統，目前尚不清楚 ExpressLane 是否還在使用，也不清楚有何改進。

其他Vault 7 CIA工具

自今年3月7日開始，維基解密開始使用一個新的代號 Vault 7 作為美國中情局（CIA）的敏感信息披露計劃。根據維基解密的闡述，這些泄露的文件中包含了大量 0day，惡意軟體，病毒，木馬以及相關文檔的高度機密資料，在美國政府黑客和承包商之間傳播，其中有人向維基解密提交了這份絕密檔案的部分內容。

自項目開始以來，維基解密已經共計公布了 23 批 Vault 7 系列文件：

ExpressLane – 監控包括 FBI、DHS 和 NSA 等在內的情報聯絡機構並搜集數據的工具（2017.08.25）

CouchPotato – 竊取RTSP/H.264視頻流工具（2017.8.10）

Dumbo – 用來關閉攝像頭監控的工具（2017.8.3）

Imperial – 三款後門工具（2017.7.28）

UMBRAGE / Raytheon Blackbird – CIA 承包商 Raytheon Blackbird Technologies 為 UMBRAGE 項目提供的惡意程序詳細解析文檔 （2017.7.19）

HighRise – 攔截 SMS 消息並重定向至遠程 CIA 伺服器的安卓惡意程序（2017.7.13）

BothanSpy & Gyrfalcon – 竊取 SSH 登錄憑證的工具（2017.7.6）

OutlawCountry – 入侵 Linux 系統的工具（2017.6.30）

ELSA -  可以對 Windows 用戶實施定位的惡意軟體（2017.6.28）

Brutal Kangaroo – 針對企業或組織中網路隔離Windows主機的CIA工具。（2017.6.22）

Cherry Blossom – 一款能夠遠程控制的基於固件的植入工具，利用Wifi設備中的漏洞監控目標系統的網路活動（2017.6.15）

Pandemic – CIA用它吧Windows文件伺服器變成攻擊主機，從而感染區域網內的其他主機（2017.6.1）

Athena – 一個間諜軟體框架，能夠遠程控制感染Windows主機，並且支持所有Windows操作系統，從Windows XP到Windows 10。（2017.5.19）

AfterMidnight和Assassin – CIA的兩個惡意軟體框架，針對Windows平台，能夠監控、回感測染主機的操作並且執行惡意代碼（2017.5.12）

Archimedes – 區域網內進行中間人攻擊的工具（2017.5.5）

Scribbles – 一款將web beacons加入加密文檔的工具，以便CIA黑客追蹤泄密者（2017.4.28）

Weeping Angel – 將智能電視的麥克風轉變為監控工具。利用此工具，CIA黑客能夠將打開居民家中的智能電視（而且是在用戶以為電視關閉的情況下），並竊聽人們的對話。（2017.4.21）

HIVE—— 多平台入侵植入和管理控制工具（2017.4.14）

Grasshopper – 一款框架，CIA用它來創建針對Windows的惡意軟體並且繞過殺毒軟體(2017.4.7)

Marble – 一款秘密反取證的框架，對惡意軟體的真實來源進行混淆（2017.3.31）

Dark Matter – 針對iPhone和Mac電腦的入侵工具（2017.3.23）

Year Zero – CIA針對硬體和軟體的漏洞利用工具

*參考來源：THN，SecurityWeek，AngelaY 編譯，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！