維基解密承諾提供更多有關CIA Vault 7的文件,同時,維基解密指責CIA使用模糊技術來隱藏其網絡操作。不過專家稱維基解密對CIA的指控有些過分。
最新Vault 7版本命名為Marble,其中包括676個針對CIA的Marble Framework的源代碼文件,維基解密稱之為反取證代碼,用于“阻止取證調查員和防病毒公司將病毒、木馬程序和攻擊歸咎于CIA”。
Rhino Security實驗室評估總監Hector Monsegur稱,他對這些混淆技術并不感到驚訝。
“他們在現實世界中使用混淆技術,這與他們會創建假身份、學習新語言是相同的概念,”Monsegur稱,“攻擊越復雜且越具針對性,就會看到越高級別的混淆。并且,如果攻擊者專注于特定目標,他們會使用混淆來繞過過濾器、反惡意軟件或病毒簽名等。”
維基解密曾指責CIA將自己正在執行的攻擊看起來是其他機構所為,也被稱為“嫁禍式攻擊”,然而,專家表示維基解密的指控有些過分。
“源代碼表明,Marble不僅有英文測試示例,還有中文、俄文、韓文、阿拉伯文和波斯文,”維基解密在博文中聲稱,“這可將攻擊嫁禍于他人,例如假裝惡意軟件創作者的母語不是美式英語,而是中文,但隨后企圖隱藏對中文的使用,讓取證調查員更加確定地得出錯誤結論,也還有其他可能性,例如隱藏虛假錯誤信息。”
咨詢公司Rendition InfoSec LLC創始人Jake Williams稱,他審查了這些代碼,但他并不同意Marble包含嫁禍式攻擊證據的說法。
“Marble Framework只是一個字符串模糊庫,它是很特別,但并不意味著它可用于嫁禍式攻擊,”Williams稱,“中文和俄文示例只是表明這個工具經過Unicode支持。Marble Framework測試表明俄文字符串可從純文本視圖進行混淆,這與嫁禍式攻擊做法相反。”
加州大學伯克利分校國際計算機科學研究所計算機安全研究人員Nicholas Weaver也認為嫁禍式攻擊的指控毫無根據,并表示這是維基解密利用“尚無從知曉的信息來發布虛假文件以掩蓋其虛假分析”。
Williams稱這可能會帶來麻煩,因為維基解密并沒有計劃糾正其信息。
“如果他們有這樣的打算,他們會在發布信息之前征求專家的意見和幫助,”Williams表示,“我認為指控CIA涉嫌進行嫁禍式攻擊可說服特朗普的支持者,其中很多人否認俄羅斯參與選舉前的黑客行為。”
京公網安備 11010502049343號