維基解密美國時間7月13日發(fā)布第16批“Vault”CIA文檔,詳細介紹了CIA的一款攔截短信息,并將其重定向到遠程Web服務(wù)器的一款A(yù)ndroid惡意程序,名為“摩天大樓”(HighRise)。
維基解密公開的HighRise用戶手冊顯示,其只在Android 4.0至4.3(Android Ice Cream Sandwich和Jelly Bean)上運作,這份手冊制作時間為2013年12月,時隔近4年,CIA應(yīng)該已經(jīng)更新升級了這款工具,以適應(yīng)較新版本的Android操作系統(tǒng)。
HighRise及其特征一般來說,惡意軟件通過內(nèi)部連接把從被入侵設(shè)備中盜取的信息發(fā)送給攻擊者控制的服務(wù)器(監(jiān)聽站),但就智能手機而言,惡意軟件可以通過短信等途徑將竊取的數(shù)據(jù)發(fā)送給攻擊者。
至于通過短信收集竊取的數(shù)據(jù),攻擊者必須處理一個主要問題,即分類并分析從多臺目標(biāo)設(shè)備接收的大批量信息。
為了解決這個問題,CIA創(chuàng)建了一款簡單的Android應(yīng)用“HighRise”,作為被感染設(shè)備和監(jiān)聽服務(wù)器之間的短信代理。
HighRise 來源于一個名為 TideCheck 的 APP (tidecheck-2.0.apk, MD5: 05ed39b0f1e578986b1169537f0a66fe),用于從被入侵設(shè)備中通過短信接收所有的被盜數(shù)據(jù)。
CIA必須將TideCheck安裝到目標(biāo)設(shè)備上,之后手動運行至少一次才能讓該工具獲得持久運行。這看起來就很不方便,因此這款工具并不是用來實施社會工程學(xué)攻擊。但首次運行該工具時,CIA必須輸入阿拉伯單詞“inshallah”(“上帝的意愿”)。
特征HighRise用戶手冊顯示其主要特征包括:
將所有接收的短信息發(fā)送到CIA控制的網(wǎng)絡(luò)服務(wù)器。
通過 HighRise 主機從被入侵的手機端發(fā)送短信。
在HighRise現(xiàn)場操作員與監(jiān)聽站之間提供通信信道。
利用TLS/SSL互聯(lián)網(wǎng)安全通信。
從后兩項特征看出,HighRise這款A(yù)PP并非必須要安裝在目標(biāo)手機上,而是可以將TideCheck安裝到CIA操作人員的手機上,可以為操作人員與監(jiān)聽人員之間提供二級加密通信信道。
HighRise如何運作?HighRise是一個短信代理,一旦初始化并配置得當(dāng),將在后臺持續(xù)運行,將“接收”和“發(fā)出”的短信通過TLS/SSL安全網(wǎng)絡(luò)通信信道將短信轉(zhuǎn)發(fā)到CIA的監(jiān)聽站。在設(shè)備與監(jiān)聽站之間實現(xiàn)更好的分離性。
一旦安裝成功,這款應(yīng)用程序會提示輸入密碼,其默認密碼為“inshallah”,登錄之后,會出現(xiàn)以下三個選項:
初始化——運行 HighRise 工具。
顯示/編輯配置——顯示并編輯 HighRise 的配置文件,包括必須使用 HTTPS 的監(jiān)聽站服務(wù)器URL。
發(fā)送短信——允許操作者從手機端向 CIA 控制的遠程服務(wù)器發(fā)送短信。
下面是E安全整理的維基解密自今年3月以來披露發(fā)布的CIA工具,點擊即可查看:
OutlawCountry(“法外之地”,入侵運行有Linux操作系統(tǒng)的計算機);
Elsa(“艾爾莎”,利用WiFi追蹤電腦地理位置);
Brutal Kangaroo(“野蠻袋鼠”,攻擊網(wǎng)閘設(shè)備和封閉網(wǎng)絡(luò));
Emotional Simian(“情感猿猴”,針對網(wǎng)閘設(shè)備的病毒)
Cherry Blossom (“櫻花”,攻擊無線設(shè)備的框架);
Pandemic(“流行病”,文件服務(wù)器轉(zhuǎn)換為惡意軟件感染源);
Athena(“雅典娜”,惡意間諜軟件,能威脅所有Windows版本);
AfterMidnight (“午夜之后”,Winodws平臺上的惡意軟件框架);
Archimedes(“阿基米德”,中間人攻擊工具) ;
Scribbles(CIA追蹤涉嫌告密者的程序);
Weeping Angel (“哭泣天使”,將智能電視的麥克風(fēng)轉(zhuǎn)變?yōu)楸O(jiān)控工具);
Hive (“蜂巢”,多平臺入侵植入和管理控制工具);
Grasshopper(“蝗蟲”,針對Windows系統(tǒng)的一個高度可配置木馬遠控植入工具);
Marble Framework (“大理石框架”,用來對黑客軟件的開發(fā)代碼進行混淆處理、防止被歸因調(diào)查取證);
Dark Matter(“暗物質(zhì)”,CIA入侵蘋果Mac和iOS設(shè)備的技術(shù)與工具)