目录
樱花
2017年6月15日
今天,2017年6月15日,维基解密发布了由美国非盈利组织斯坦福大学研究所(SRI International)协助开发和实施的中央情报局CherryBlossom项目的文件。
CherryBlossom提供了一种监控感兴趣的目标的互联网活动并执行软件漏洞的方法。特别地,CherryBlossom专注于不利于诸如无线路由器和接入点(AP)的无线网络设备,以实现这些目标。这种Wi-Fi设备通常用于私人住宅,公共场所(酒吧,酒店或机场),中小型公司以及企业办公室的因特网基础设施的一部分。因此,这些设备是“中间人”攻击的理想之地,因为它们可以轻松地监控,控制和操纵连接用户的互联网流量。通过更改用户和Internet服务之间的数据流,
无线设备本身通过在其上植入定制的CherryBlossom固件而受损; 一些设备允许通过无线链路升级其固件,因此成功感染不需要物理访问设备。一旦设备上的新固件闪烁,路由器或接入点将成为所谓的FlyTrap。一个捕蝇器将网络信标到被称为一个命令和控制服务器CherryTree。信号信息包含CherryTree登录到数据库的设备状态和安全信息。响应于该信息,CherryTree发送团与操作者定义的任务处理。
代表团可能包括对任务目标进行监视,行动/漏洞来对执行目标,并说明何时以及如何发送下一信标。对于任务捕蝇草包括(其中包括)用于扫描电子邮件地址,聊天的用户名,MAC地址和VoIP的数字在传递网络通信触发附加动作,一个充分的网络流量的复制目标,一个重定向目标的浏览器(例如,Windex用于浏览器利用)或代理Target的网络连接。捕蝇器还可以设置VPN隧道到CherryBlossom持股VPN服务器给运营商获得客户的捕蝇器进行进一步开发的WLAN / LAN。当FlyTrap检测到目标时,它将向CherryTree发送警报,并针对Target开始任何操作/利用。该CherryTree记录警报到数据库中,并有可能分配警报(通过信息有关方面弹射器)。当FlyTrap检测到目标时,它将向CherryTree发送警报,并针对Target开始任何操作/利用。该CherryTree记录警报到数据库中,并有可能分配警报(通过信息有关方面弹射器)。当FlyTrap检测到目标时,它将向CherryTree发送警报,并针对Target开始任何操作/利用。该CherryTree记录警报到数据库中,并有可能分配警报(通过信息有关方面弹射器)。
流感大流行
2017年6月1日
今天,2017年6月1日,维基解密公布了中央情报局“大流行”项目的文件,这是一个持续的植入物,用于与本地网络中的远程用户共享文件(程序)的Microsoft Windows计算机。如果从被感染的机器检索到程序,“Pandemic”将以远程用户为目标替换应用程序代码。要模糊其活动,文件服务器上的原始文件保持不变; 在远程用户的计算机上执行之前,只能在大流行文件服务器传输过程中进行修改/更换。该植入物允许为所选的远程用户(目标)列表更换最多20个程序,最大大小为800 MB。
顾名思义,在共享驱动器上感染“大流行”种植体的本地网络上的单个计算机将像疾病传播中的“病人零”一样。如果用户执行存储在大流行文件服务器上的程序,它将感染远程计算机。虽然文档中没有明确说明,但在技术上可行的是,提供文件共享的远程计算机本身成为本地网络上新的大流行文件服务器,以达到新的目标。
雅典娜
2017年5月19日
今天五月十九日,维基解密发布了中情局“雅典娜”项目的文件。“Athena” - 像相关的“Hera”系统 - 在运行Microsoft Windows操作系统(从Windows XP到Windows 10)的目标计算机上提供远程信标和加载器功能。一旦安装,恶意软件提供信标能力(包括配置和任务处理),用于特定任务的恶意有效负载的内存加载/卸载以及目标系统上指定目录之间的文件的传送和检索。它允许操作员在运行期间配置设置(植入物在目标上),以便将其定制到操作。
根据文档(见雅典娜技术概述),恶意软件由中情局与Siege Technologies合作开发,Siege Technologies是一家位于美国新罕布什尔州的自称为网络安全公司。Siege Technologies在其网站上称,该公司“ ...专注于利用进攻型网络战技术和方法,为保险,政府和其他目标市场开发预测性网络安全解决方案。 ” 2016年11月15日,尼希亚安全公司宣布收购了Siege Technologies。
在来自HackingTeam(由维基解密这里发表)的电子邮件中,Siege Technologies的创始人Jason Syversen在密码学和黑客攻击方面具有背景,“ 他表示,他开始创造相当于军方所谓的杀死度量的概率,他对电子战进行了一个统计分析,“我觉得在电子战方面更加舒服,”他说,这与炸弹和核武器有所不同,这是一个道德上复杂的领域。轰炸事件和附带损失,你真的可以减少平民伤亡,这是大家的胜利。“ “
午夜过后
2017年5月12日
今天,2017年5月12日,维基解密发布“AfterMidnight”和“Assassin”两个Microsoft Windows平台的CIA恶意软件框架。
“AfterMidnight”允许操作员在目标机器上动态加载和执行恶意软件有效载荷。主控制器伪装成自我维护的Windows服务DLL,并通过称为“八达通”的基于HTTPS的听力帖(LP)系统提供“Gremlins”的安全执行。一旦安装在目标机器上,AM将以可配置的时间表回调到配置的LP,检查是否有新的计划执行。如果有的话,它会在将所有新的gremlins加载到内存之前下载并存储所有需要的组件。“Gremlins”是小型AM有效载荷,旨在运行隐藏在目标上,并颠覆目标软件的功能,调查目标(包括数据exfiltration)或为其他gremlins提供内部服务。特殊有效载荷“AlphaGremlin”
“刺客”是类似的恶意软件; 它是一种自动植入物,可在运行Microsoft Windows操作系统的远程计算机上提供简单的收集平台。一旦工具安装在目标上,植入物就在Windows服务过程中运行。“Assassin”(就像“AfterMidnight”)将会定期向其配置的监听帖子发送信号,以请求任务并提供结果。通信在一个或多个传输协议之前进行,如在部署前或部署期间配置。“刺客”C2(命令和控制)和LP(听力后)子系统统称为“吉布森”,允许操作员在受感染目标上执行特定任务。
阿基米德
2017年5月5日
今天,2017年5月5日,维基解密发布“阿基米德”,这是中情局用来攻击通常在办公室使用的局域网(LAN)中的计算机的工具。它允许通过感染该恶意软件并由中央情报局控制的计算机重新定向来自局域网内的目标计算机的流量。这种技术被中情局用来将目标的计算机网络浏览器重定向到开发服务器,同时显示为正常的浏览会话。
该文件说明了“受保护的环境”中的一种攻击类型,因为该工具部署到现有的本地网络中,滥用现有的机器,使目标计算机受到控制,并允许进一步的利用和滥用。