事件概述

美國(guó)時(shí)間3月7日，維基解密（WikiLeaks）網(wǎng)站公布了大量據(jù)稱是美國(guó)中央情報(bào)局（CIA）的內(nèi)部文件，其中包括了CIA內(nèi)部的組織資料，對(duì)電腦、手機(jī)等設(shè)備進(jìn)行攻擊的方法技術(shù)，以及進(jìn)行網(wǎng)絡(luò)攻擊時(shí)使用的代碼和真實(shí)樣本。利用這些技術(shù)，不僅可以在電腦、手機(jī)平臺(tái)上的Windows、iOS、Android等各類操作系統(tǒng)下發(fā)起入侵攻擊，還可以操作智能電視等終端設(shè)備，甚至可以遙控智能汽車發(fā)起暗殺行動(dòng)。

維基解密將這些數(shù)據(jù)命名為“7號(hào)軍火庫(kù)”（Vault 7），一共有8761份文件，包括7818份網(wǎng)頁(yè)以及943個(gè)附件。在公布時(shí)，維基解密對(duì)文件內(nèi)容進(jìn)行了一些刪節(jié)處理，包括個(gè)人真實(shí)信息（姓名、郵件地址等），數(shù)以萬(wàn)計(jì)的IP地址，以及真實(shí)的二進(jìn)制文件。

維基解密表示在對(duì)文件進(jìn)行進(jìn)一步的分析之后，會(huì)逐步公開這些被刪節(jié)的信息。同時(shí)，維基解密稱此次公布的數(shù)據(jù)只是一系列CIA機(jī)密材料的第一部分，被稱為“元年”（Year Zero），后續(xù)還會(huì)有更多資料陸續(xù)公布。

泄漏內(nèi)容

此次公布的數(shù)據(jù)都是從CIA的內(nèi)網(wǎng)保存下來(lái)的，時(shí)間跨度為2013到2016年。這批文檔的組織方式類似于知識(shí)庫(kù)，使用Atlassian公司的團(tuán)隊(duì)工作共享系統(tǒng)Confluence創(chuàng)建。數(shù)據(jù)之間有明顯的組織索引關(guān)系，可以使用模板對(duì)多個(gè)資料進(jìn)行管理。很多資料有歷史改動(dòng)的存檔，7818份資料中除去存檔共有1136個(gè)最新數(shù)據(jù)。943個(gè)附件基本上都可以在資料中找到對(duì)應(yīng)的鏈接，屬于其內(nèi)容的一部分。

具體而言，這些資料可以分為如下幾類：

CIA部門資料，包括部門的介紹，部門相關(guān)的黑客項(xiàng)目，以及部門內(nèi)部的信息分享。

黑客項(xiàng)目資料，包括一些不屬于特定部門的黑客工具、輔助項(xiàng)目等，其中有項(xiàng)目的介紹，使用說(shuō)明以及一些技術(shù)細(xì)節(jié)。

操作系統(tǒng)資料，包括iOS、MacOS、Android、Linux、虛擬機(jī)等系統(tǒng)的信息和知識(shí)。

工具和開發(fā)資料，包括CIA內(nèi)部用到的Git等開發(fā)工具。

員工資料，包括員工的個(gè)人信息，以及員工自己創(chuàng)建的一些內(nèi)容。

知識(shí)庫(kù)，這里面分門別類地存放了大量技術(shù)知識(shí)以及攻擊手段。其中比較重要的是關(guān)于Windows操作系統(tǒng)的技術(shù)細(xì)節(jié)和各種漏洞，以及對(duì)于常見(jiàn)的個(gè)人安全產(chǎn)品（Personal Security Products）的繞過(guò)手段，包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產(chǎn)品。

總的來(lái)看，這些數(shù)據(jù)雖然有組織關(guān)系，但是作為工作平臺(tái)而言，并沒(méi)有形成嚴(yán)格的規(guī)范，很多文件都是隨意放置的，甚至還包括asdf這樣的測(cè)試文件，更像是一個(gè)內(nèi)部的知識(shí)共享平臺(tái)。

典型兵器

在這次公布的數(shù)據(jù)中，一些比較值得注意的兵器項(xiàng)目如下：

Weeping Angel

Weeping Angel(哭泣的天使)是一款由CIA Embedded Devices Branch(嵌入式設(shè)備組)和英國(guó)MI5共同開發(fā)的針對(duì)三星智能電視的竊聽(tīng)軟件。三星智能電視使用的是Android操作系統(tǒng)，該竊聽(tīng)軟件感染智能電視后，會(huì)劫持電視的關(guān)機(jī)操作，保持程序的后臺(tái)運(yùn)行，讓用戶誤以為已經(jīng)關(guān)機(jī)了。

它會(huì)啟動(dòng)麥克風(fēng)，開啟錄音功能，然后將錄音內(nèi)容回傳到CIA的后臺(tái)服務(wù)器中。考慮到三星智能電視使用的是Android操作系統(tǒng)，推測(cè)該惡意軟件具備感染Android手機(jī)的能力。韓國(guó)和美國(guó)是三星智能電視的最主要消費(fèi)國(guó)家。

HIVE

HIVE(蜂巢)是CIA開發(fā)的遠(yuǎn)程控制后臺(tái)項(xiàng)目，該項(xiàng)目負(fù)責(zé)多個(gè)平臺(tái)的后臺(tái)控制工作。從泄漏的文件來(lái)看，HIVE系統(tǒng)在2010年10月26日發(fā)布了第一版，直到2014年1月13日一共更新到2.6.2版本。作為間諜軟件最重要的部分，Command &Control Server就由該項(xiàng)目負(fù)責(zé)。整體上，植入目標(biāo)機(jī)器中的間諜軟件，通過(guò)HTTPS協(xié)議同后臺(tái)C&C服務(wù)器進(jìn)行交互，整個(gè)通信過(guò)程使用了，數(shù)據(jù)加密，身份鑒權(quán)等諸多信息安全高級(jí)技術(shù)。同時(shí)在異常處理和服務(wù)器隱藏等關(guān)鍵模塊的設(shè)計(jì)上，也體現(xiàn)出國(guó)家隊(duì)的技術(shù)水平。

從架構(gòu)設(shè)計(jì)上分析，HIVE分為兩層，第一層直接與間諜軟件連接，部署在商用的VPS(Vritual Private Server)上。第一層將所有流量通過(guò)VPN加密轉(zhuǎn)發(fā)到第二層。轉(zhuǎn)發(fā)策略是如果流量經(jīng)過(guò)身份鑒權(quán)，確認(rèn)是目標(biāo)機(jī)器，就會(huì)向代號(hào)為”Honeycomb”的服務(wù)器集群轉(zhuǎn)發(fā)，這里會(huì)對(duì)收集到的信息進(jìn)行存貯和分析，如果鑒權(quán)失敗，就會(huì)向一個(gè)無(wú)害的網(wǎng)站轉(zhuǎn)發(fā)，達(dá)到重要服務(wù)器不被暴露的目的。

UMBRAGE

UMBRAGE(朦朧的外表)取自英語(yǔ)古語(yǔ)，有朦朧虛無(wú)的意思。該項(xiàng)目主要目的是隱藏攻擊手段，對(duì)抗調(diào)查取證。現(xiàn)實(shí)世界中，每一個(gè)案件，背后無(wú)論多么撲溯迷離，在現(xiàn)場(chǎng)一定會(huì)留下線索，如果是慣犯，兇手會(huì)有一定的作案模式。在網(wǎng)絡(luò)世界中也是一樣的，每一次發(fā)動(dòng)的網(wǎng)絡(luò)攻擊，都會(huì)和之前的攻擊有著千絲萬(wàn)縷的聯(lián)系，都能提取出一定的攻擊模式。

CIA的Remote Devices Branch (遠(yuǎn)程設(shè)備組)，收集維護(hù)了一個(gè)網(wǎng)絡(luò)攻擊模式庫(kù)，該模式庫(kù)總結(jié)了之前使用過(guò)的攻擊方式和技術(shù)，例如包含Hacking Team泄漏出的代碼和俄羅斯使用的技術(shù)。擁有了龐大數(shù)量的模式庫(kù)之后，對(duì)于新發(fā)起的網(wǎng)絡(luò)攻擊，可以采取模仿，混淆等多種戰(zhàn)術(shù)，達(dá)到迷惑敵人，隱藏自己的目的。UMBRAGE項(xiàng)目包含了惡意軟件大部分功能模塊，例如：鍵盤記錄器，密碼收集器，攝像頭控制，數(shù)據(jù)銷毀，提權(quán)，反殺毒軟件等等。

Fine Dining和Improvise (JQJIMPROVISE)

"Fine Dining"（美食大餐）提供了標(biāo)準(zhǔn)化的調(diào)查問(wèn)卷，CIA的OSB (Operational Support Branch)部門會(huì)使用該調(diào)查問(wèn)卷，用于將辦案人員的請(qǐng)求轉(zhuǎn)換為針對(duì)特定操作的黑客攻擊的技術(shù)要求。問(wèn)卷可以幫助OSB在現(xiàn)有的攻擊工具集中選擇合適的攻擊工具，并將選好的攻擊工具清單傳遞給CIA的負(fù)責(zé)配置攻擊工具的運(yùn)營(yíng)人員。OSB在這里充當(dāng)了CIA運(yùn)營(yíng)運(yùn)營(yíng)人員和相關(guān)技術(shù)支持人員的接口人的角色。

調(diào)查問(wèn)卷會(huì)讓填寫者填寫諸如目標(biāo)計(jì)算機(jī)使用的操作系統(tǒng)、網(wǎng)絡(luò)連接情況、安裝的殺毒軟件等信息，隨后會(huì)由"Improvise"（即興演出）處理。"Improvise"是一個(gè)用于配置、后處理、payload設(shè)置和execution vector選擇的工具集，可支持所有主流操作系統(tǒng)。"Improvise"的配置工具如Margarita允許NOC（Network Operation Center）根據(jù)"Fine Dining"問(wèn)卷的要求來(lái)定制工具。

"Fine Dnining"用于收集攻擊需求，而"Improvise"用于將攻擊需求轉(zhuǎn)化為攻擊工具，這兩個(gè)工具相互配合使用，可以準(zhǔn)備、快速的對(duì)任何特定目標(biāo)實(shí)施攻擊。可見(jiàn)，CIA已經(jīng)實(shí)現(xiàn)了對(duì)指定目標(biāo)的攻擊實(shí)現(xiàn)了高度的定制和高效的配置。

后續(xù)

此次公開的數(shù)據(jù)龐大，并且還有部分?jǐn)?shù)據(jù)未公布。騰訊反病毒實(shí)驗(yàn)室會(huì)持續(xù)關(guān)注該事件，跟進(jìn)最新進(jìn)展；同時(shí)繼續(xù)深入分析現(xiàn)有內(nèi)容，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，第一時(shí)間披露更加具體的細(xì)節(jié)信息。

同時(shí)也在這里提醒廣大用戶，此次公布的數(shù)據(jù)中包含大量漏洞信息和攻擊工具，可能被不懷好意的人利用，成為他們手中新的武器。希望廣大用戶最近提高警惕，留心關(guān)注最新的安全新聞，注意及時(shí)更新電腦、手機(jī)上的安全防范措施，避免遭受此次事件的負(fù)面影響。