Wikileaks发布了CIA黑客工具的代码和分析
吹口组织维基解密已开始新的一系列泄漏源代码的软件源代码,据称旨在在由美国中央智能局(CIA)控制的服务器上运行。
该系列中的第一个版本声称是用于控制CIA开发的基础架构的主要组件的源代码和分析。
“本出版物将使调查记者,法医专家和公众更好地识别和理解隐蔽的CIA基础设施组件,”维克利克说。
最新的出版物,被称为“金库8”,在七个月内完成了“Vault 7”系列泄漏后两个月。
维基解密声称文件来自弗吉尼亚州兰利的CIA'Scenter内的孤立,高安全网络,但这从未得到CIA的证实。
上一系列泄漏提到了一个多平台CIA恶意软件套件及其相关的控制软件,称为“Hive”。
该项目据说为Windows,Solaris,Mikrotik和Linux平台提供可定制的植入物,以及与这些植入物通信的命令和控制(C2)基础架构。
Wikileaks的最新版本提供了源代码,开发日志和其他文档的Hive。
该文件补充了先前发布的Hive Beacon基础架构的“蜂巢用户指南”,“开发人员指南”,“开发人员指南”,“基础架构安装和配置指南”。
但是维基解密声称,与Vault7系列一样,Wikileaks发布的材料不零日或其他可能被他人重新批评的零天或其他漏洞。
根据维基解密,蜂巢旨在使植入物(恶意软件)难以归因于中央情报局。“Hive为整个CIA恶意软件提供了一个隐蔽的通信平台,以向CIA服务器发送Exfiltrated信息,并从CIA的运营商接收新的指示,”它说。
Hive旨在解决“关键问题”,使CIA能够以不引起注意的安全的方式与目标计算机上的恶意软件植入物沟通。
Hive通过匿名为每个操作注册覆盖域并使用从商业托管提供商租用的虚拟专用服务器(VPS)来实现这一目标,以运行该域。然后将这些服务器用作中继,用于通过虚拟专用网络(VPN)连接到“隐藏”CIA服务器的流量。
如果有人偶然连接到它,封面域提供“无辜的”内容,并且似乎是一个正常的网站。但由于该网站使用可选的客户端身份验证超文本传输协议安全(HTTPS)服务器选项,因此植入物可以使用它来验证和连接到CIA Server。
用于植入物认证的数字证书由CIA模拟现有实体产生。根据维基解密,源代码中包含的三个例子为防病毒公司卡巴斯基实验室构建了假证书,假装由Thawte Premium Server CA签名。
“通过这种方式,如果目标组织看过网络的网络流量,可能会将数据的CIA exfiltration误判到其身份冒充的未识别的实体,”Wikileaks说。
在金库8个出版物之内,卡巴斯基实验室首席执行官Eugene Kaspersky在推文中回复:“我们已经调查了Vault 8报告并以姓名为假的证书是假的。我们的客户,私人钥匙和服务安全,不受影响。“
在Twitter上的另一个反应中,萨里大学网络安全专家和萨里大学访问教授的艾伦伍德沃德,Europol顾问,说:“Wikileaks现在正在释放Vault 7中的利用来源。他们还记得最后一次发生的漏洞代码泄露了什么吗?待另一个wandacry的待命。“
Wannacry的一个关键组成部分是Microsoft的服务器留言块(SMB)协议的EterEnalBlue开发,据报道,来自美国国家安全局(NSA)并由影子经纪人黑客集团发布。