美国时间2017年3月7日,WikiLeaks(维基解密)开始使用一个新的代号Vault 7作为美国中情局(CIA)的敏感信息披露计划,这次被发布的第一份档案Year Zero大小高达513MB,一共包含8761份相关敏感文档。根据维基解密的阐述,这份包含了大量0day、恶意软件、病毒、木马以及相关文档的高度机密资料,在美国政府黑客和承包商之间传播,其中有人向维基解密提交了这份绝密档案的部分内容。
“Year Zero”作为披露计划的第一部分,档案说明了CIA在全球部署的恶意软件的范围和目标,军火库包含了美国和欧洲公司的产品的0day exploit,包括Apple的iOS,Google的Android,甚至连Samsung TV都成为了监控对象。
CIA通过特殊软件可以在任何时间、任何地点启动这些设备中的麦克风或者摄像头进行监控,这种操作即使在“关机”状态下仍能激活。
来自BBC的报道则更加直接地曝光了CIA执行这些活动的软件名称——Weeping Angel(哭泣的天使),并称其是CIA与英国军情六处合作研发。
维基解密自今年3月以来披露发布的CIA工具:
BothanSpy(“博萨间谍”,针对Windows SSH客户端程序)(最新);
Gyrfalcon(“矛隼”,针对Linux SSH客户端程序);
OutlawCountry(“法外之地”,入侵运行有Linux操作系统的计算机);
Elsa(“艾尔莎”,利用WiFi追踪电脑地理位置);
Brutal Kangaroo(“野蛮袋鼠”,攻击网闸设备和封闭网络);
Emotional Simian(“情感猿猴”,针对网闸设备的病毒)
Cherry Blossom (“樱花”,攻击无线设备的框架);
Pandemic(“流行病”,文件服务器转换为恶意软件感染源);
Athena(“雅典娜”,恶意间谍软件,能威胁所有Windows版本);
AfterMidnight (“午夜之后”,Winodws平台上的恶意软件框架);
Archimedes(“阿基米德”,中间人攻击工具) ;
Scribbles(CIA追踪涉嫌告密者的程序);
Weeping Angel (“哭泣天使”,将智能电视的麦克风转变为监控工具);
Hive (“蜂巢”,多平台入侵植入和管理控制工具);
Grasshopper(“蝗虫”,针对Windows系统的一个高度可配置木马远控植入工具);
Marble Framework(“大理石框架”,用来对黑客软件的开发代码进行混淆处理、防止被归因调查取证);
Dark Matter(“暗物质”,CIA入侵苹果Mac和iOS设备的技术与工具)
维基解密于美国时间7月6日再度公开两份关于CIA Vault 7机密项目的文件——分别为BothanSpy(博萨间谍)与Gyrfalcon(矛隼)。这两个项目描述了如何利用“植入物”对SSH凭证进行拦截与渗透,且能够针对不同操作系统使用不同的攻击向量。
BothanSpy是专门针对微软Windows平台之上SSH客户端程序Xshell的植入物,负责对全部活动SSH会话的用户凭证进行窃取。在使用经密码认证的SSH会话或用户名时,这类凭证为用户名及密码;而在使用SSH公钥验证时,此类凭证则为SSH私钥及密钥密码的文件名。BothanSpy能够将提取到的凭证回传至CIA控制的服务器端(意味着该植入物可以不触及目标系统中的磁盘),或者将其保存在加密文件当中,以便后续利用其它方式进行渗透。BothanSpy在目标设备上作为Shellterm 3.x扩展进行安装。
BothanSpy的文件信息:
Table 2: (S) File information (contents SECRET//NOFORN) BothanSpy.dll
BothanSpy.py
ice_handler.py
fnf_unpack.py
BothanSpy.dll.META.xml
BothanSpy1.0可以感染以下Xshell版本
Version 3, build 0288
Version 4, build 0127
Version 5, build 0497
Version 5, build 0537
BothanSpy1.0默认采用Fire and Collect (v3) 模式传回被窃取用的的SSH会话凭证。
Gyrfalcon 则是一种针对Linux平台(包括CentOS、Debian、RHEL、SUSE以及Ubuntu等)上OpenSSH客户端的植入物。该植入物不仅能够窃取活动SSH会话中的用户凭证,同时还可收集全部或者部分OpenSSH会话流量。所有收集到的信息皆被保存在一个加密文件之内以备后续渗透。此植入物利用一款由CIA开发且针对目标设备的root工具包(JQC/KitV)实现安装与配置。
如何应对BothanSpy及Gyrfalcon恶意程序:通过日志服务器进行查询相关操作记录,是否有ice_handler、BothanSpy、genconfi、postproc等特征。
