近期,維基解密恢復了他們之前針對CIA機密文件的“泄露任務”。現在,維基解密已開始對外公布CIA所開發的工具源代碼以及其他相關文件。
在今年三月份,維基解密開始對外公布與CIA黑客工具相關的機密文件,即Vault 7。這些機密文件對CIA開發和使用的黑客工具進行了詳細的技術描述,而在接下來的幾個月時間里,維基解密相繼披露了大約20多款CIA的黑客工具以及機密項目。
休息了兩個月之后,維基解密現在宣布即將開始新一輪的“CIA機密泄露”,而他們將這一波新的泄露稱之為Vault 8。在這一波泄密中,維基解密將提供CIA黑客工具的源代碼以及分析報告。維基解密表示,跟之前的Vault 7類似,Vault 8所披露的內容不會涉及到任何0 day漏洞以及其他安全漏洞的利用技術,以防止他人將其用于惡意目的。
維基解密在其發表的官方聲明中說到:“此次披露的內容(Vault 8)可以幫助調查記者、取證專家以及普通民眾更加深入地了解CIA的內部情況以及基礎設施組件。值得注意的是,Vault 8公布的軟件源代碼中還包含有運行在服務器端的控制軟件(由CIA控制)。”
Vault 8所泄露的第一份文件中提到了一個名叫Hive的項目,有關這個項目的相關文檔是維基解密在今年四月中旬發布出來的,而該組織在新一輪的泄露文檔中公布了與Hive項目相關的軟件源代碼以及開發日志。
注:根據泄露文檔的描述,Hive是一款工具,這款工具可以幫助惡意軟件與遠程服務器進行通信,而且不會引起任何不必要的懷疑。
維基解密表示:“在Hive的幫助下,即使我們在一臺目標計算機中發現了植入的惡意軟件,我們也很難通過觀察惡意軟件與網絡服務器的通信信息來將其與CIA關聯上。因為Hive提供了一種隱蔽性非常強的通信平臺,而CIA所有的惡意軟件可以利用這個平臺將它們所竊取到的信息發送給CIA的服務器,或者接收CIA特工所發送過來的新指令。”
Hive提供了一種惡意軟件之間相互進行通信的通信信道,而維基解密將這種信道描述為“隱藏域名”。這些域名看似并沒有什么特別,而且當訪問這些域名的時候它們也不會發送惡意內容。但是,當CIA的惡意軟件或植入后門在與這些域名進行通信時,首先會進行身份驗證,然后它們所生成的網絡流量將會被定向到一個名叫Honeycomb的網關,而這個網關負責將惡意軟件發送的所有數據轉發到最終的目的地。
植入的惡意軟件會使用偽造的數字證書(現有實體)來進行身份驗證,其中就有偽造的卡巴斯基實驗室的數字證書,而這些證書聲稱自己是由南非證書權威機構Thawte頒發的。根據維基解密透露的信息,他們通過分析和研究之后發現,CIA可以通過使用偽造的證書來假裝數據提取的操作是由偽造實體所進行的,比如說卡巴斯基實驗室的安全產品。
卡巴斯基實驗室在接受SecurityWeek的采訪時表示:“我們已經對Vault 8報告中披露的內容進行了調查和分析,并且已經確認了惡意軟件所使用的那些卡巴斯基證書的確是偽造的。但是請廣大用戶放心,我們的私鑰、服務和客戶都是安全的,他們都不會受到影響。”
“CIA偽裝成卡巴斯基”的消息一經曝出,就難免會讓某些人認為美國希望通過這種方式來將網絡攻擊的“黑鍋”甩給俄羅斯。
目前,美國政府已經禁止美國國內用戶使用卡巴斯基實驗室的產品了,因為這家公司據說與俄羅斯情報機構有著密不可分的關系。近期的一份報告還顯示,美國國家安全局的某個承包商計算機中仍然在使用卡巴斯基實驗室的產品,而這也導致俄羅斯黑客成功地從這些計算機中竊取到了大量的敏感文件。不過,卡巴斯基實驗室并不承認這些所謂的“指控”,并且宣布他們將進行一系列新的措施來為自己正名。
京公網安備 11010502049343號