當前位置：安全 → 行業動態 → 正文

維基解密：“雷鳥”為CIA遠程開發部門提供技術情報

責任編輯：editor004 |來源：企業網D1Net 2017-07-21 12:09:19 本文摘自：E安全

維基解密于美國時間7月19日發布新一批CIA Vault文件，其作為UMBRAGE組件庫（UCL）項目的一部分。這批文件包含CIA承包商雷鳥科技公司（Raytheon Blackbird Technologies，RBT）為CIA遠程開發部門提交的5份惡意軟件PoC創意及分析報告。

這些報告主要包含觀點驗證程序（PoC）和惡意軟件攻擊向量評估，以及部分源自安全研究人員和計算機安全領域私有企業的公共文件。具體提交報告時間自2014年11月21日到2015年9月11日。

由此可見，RBT充當的是CIA遠程開發部門（RDB）的“技術偵察員”，負責分析惡意軟件攻擊并向RDB部門提供建議，便于CIA進一步調查，并為自己的惡意軟件項目開發PoC。

維基解密：“雷鳥”為CIA遠程開發部門提供技術情報-E安全

維基解密泄露的文件顯示，RBT是CIA的承包商，向CIA提交了5份此類報告。這些報告概要性地描述了PoC觀點與惡意軟件攻擊向量（由安全研究人員公開發布以及網絡間諜黑客組織秘密開發）。

雷神公司提交的報告是為了幫助CIA RDB部門收集想法，供CIA開發自己的高級惡意軟件項目。

維基解密先前泄露的Vault 7文件顯示，CIA UMBRAGE惡意軟件開發小組還借鑒公共惡意軟件樣本代碼構建自己的間諜軟件工具。

雷鳥科技向CIA提交的5份報告如下：報告1——Regin（瑞金）間諜平臺

——這份報告介紹了自2013年發現的一款非常復雜的惡意軟件樣本 “Regin”（瑞金），這是一個間諜平臺，主要用于目標監視和數據收集，擅長高級別分析，據稱比震網病毒Stuxnet和Duqu更復雜。這款工具很可能是美國情報機構NSA開發的。其使用模塊化架構，允許操作人員啟用定制監控，為特定目標提供了高度的靈活性和對攻擊能力的剪裁。由于其隱蔽性, 躲避查殺，攻擊部分僅內存駐留的優勢，使得這款工具非常適合實施長期、持續性、大規模監視行動。

報告2——HammerToss惡意軟件

——介紹了一款2015年初發現的疑似俄羅斯國家黑客使用的惡意軟件樣本“HammerToss”，其可能自2014年底開始運行。HammerToss的特別之處在于架構，它利用Twitter賬號、GitHub賬號、被攻陷的網站和云存儲結合，以及基本的隱寫術實現命令與控制功能，以在目標系統上執行命令。

報告3——Gamker木馬

——這份文件介紹了一款self-code 注入和 API 掛鉤方法的信息竊取木馬稱為 "Gamker"。實施簡單的解密之后，使用隨機用戶名丟下自己的副本，并將自己注入不同的進程。這款木馬還具備其它典型的木馬功能。

報告4——EMISSARY PANDA遠程訪問工具

——雷神分析師詳細描述了HTTPBrowser遠程訪問工具（RAT）的變種，其開發時間可能是2015年。這款RAT旨在捕獲目標系統的擊鍵。報告聲稱這款RAT是中國APT間諜組織“熊貓使者”（Emissary Panda）使用的工具。

報告5——IsSpace遠程訪問工具

——這份文件詳述了NfLog 遠程訪問工具（RAT）變種，亦被稱為IsSpace，據稱是中國另一黑客組織“熊貓武士”（Samurai Panda）使用的工具。NfLog利用了Hacking Team開發的 aAdobe Flash零日漏洞（編號CVE-2015-5122），以及UAC繞過技術，這款惡意軟件還能嗅探或枚舉代理證書，以繞過Windows防火墻。除此之外，這個新的變體還包含了使用 Google App Engine (GAE)，托管其與C&C 服務器之間的代理通信。

維基解密持續供貨

下面是E安全整理的維基解密自今年3月以來披露發布的其它CIA工具，點擊即可查看：

OutlawCountry（“法外之地”，入侵運行有Linux操作系統的計算機）；

Elsa（“艾爾莎”，利用WiFi追蹤電腦地理位置）；

Brutal Kangaroo（“野蠻袋鼠”，攻擊網閘設備和封閉網絡）；

Emotional Simian（“情感猿猴”，針對網閘設備的病毒）

Cherry Blossom （“櫻花”，攻擊無線設備的框架）；

Pandemic（“流行病”，文件服務器轉換為惡意軟件感染源）；

Athena（“雅典娜”，惡意間諜軟件，能威脅所有Windows版本）；

AfterMidnight （“午夜之后”，Winodws平臺上的惡意軟件框架）；

Archimedes（“阿基米德”，中間人攻擊工具）；

Scribbles（CIA追蹤涉嫌告密者的程序）；