維基解密又雙叒叕曝光了 CIA 針對 Mac 和 Linux 的 3 個黑客工具
據外媒報道, 「Vault 7」秘密文件一部分的Imperial項目日前被維基解密曝光,該文件已經是關於CIA黑客攻擊的第18批資料了。該文件顯示CIA所開發的三個間諜軟體「Achilles」、「SeaPea」以及「Aeris」已經能分別針對對MacOS和Linux系統進行攻擊。
如果您是THN的常客,您必須注意,舉報人組織的這一最新啟示是正在進行的CIA-Vault 7漏洞的一部分,將其列為該系列的第18批。
Achilles ——可以生成macOS磁碟鏡像
CIA操作員會利用這個黑客工具將惡意木馬應用程序與合法的macOS應用程序進行結合,這個過程發生在磁碟映像安裝程序(.DMG)文件中。
由於shell腳本是用Bash語言寫的,所以CIA操作員就可以利用一個或多個所需的操作符,對指定的可執行文件進行一次性操作。
一旦不知情的用戶在他們的macOS上下載了受感染的磁碟映像,打開並安裝軟體,惡意可執行文件也會在後台運行。
為了保證運行的隱蔽,所有能暴露Achilles的下載應用程序都會被安全地刪除,以便被攻擊的文件還以合法應用程序在運行,這樣,安全防護人員和殺毒軟體都難以檢測到初始感染載體。Achilles v1.0,於2011年開發,僅在Mac OS X 10.6上進行了測試。
SeaPea——為Mac OS X內核Rootkit提供隱藏功能
SeaPea將為Mac OS X內核Rootkit提供隱藏和工具啟動功能。據維基解密透露,在Mac OS X上運行SeaPea會隱藏文件和目錄、套接字連接及進程。
Mac OS X Rootkit於2011年開發,適用於運行最新Mac OS X 10.6(Snow Leopard)操作系統(兼容32位或64位內核)和Mac OS X 10.7(Lion)操作系統的計算機。
rootkit需要將root訪問許可權安裝在目標Mac上,除非重新格式化硬碟驅動器或升級系統,否則無法將其刪除。
Aeris ——自動植入到Linux系統
Aeris是利用C語言編寫的一種自動植入的間諜軟體,一旦安裝,它可進行文件過濾和加密通信。
Aeris專門針對Linux系統,包括Debian,CentOS,Red Hat,FreeBSD和Solaris。
Aeris支持自動文件過濾,配置了信標間隔和抖動(jitter),獨立並基於Collide的HTTPS LP支持和SMTP協議支持,所有這些都通過TLS加密通信進行相互認證。它與NOD加密規範兼容,並提供與幾個Windows植入類似的結構化命令和控制項。
譯者註:Collide是一個基於Web的協作型代碼編輯器,可以在本地運行,通過http://localhost:8080來訪問。該項目依賴於Google Web Toolkit、Guava以及其他庫,還需要Java 7和Ant 1.8.4+等。
「Vault 7」秘密文件最近半年所揭露的重要信息概要
1.7月19日, 維基解密公布了CIA承包商雷鳥科技公司(Raytheon Blackbird Technologies,RBT)為CIA遠程開發部門提交的5份惡意軟體PoC創意及分析報告,這些報告的提交時間事從2014年11月21日到2015年9月11日。
2.7月13日,維基解密曝光了 HighRise工具。HighRise專門針對安卓,可以攔截 SMS 消息並將其重定向至遠程 CIA 伺服器。有很多IOC 工具可以利用簡訊在植入的APP和監聽 POST之間進行通信,而 HighRise 相當於一個SMS簡訊代理,將「收到」和「發出」的 SMS簡訊息代理到互聯網監聽站(LP)中,進而在目標設備和LP間進行更大的隔離。同時,HighRise 在自身操作者和監聽站之間建立一個基於 TLS/SSL 安全網路通信的信道。
3.7月6日,BothanSpy和Gyrfalcon被曝光,兩款工具都是植入型的惡意程序。不過,BothanSpy 是針對 Windows 系統計算機的惡意程序。 Gyrfalcon 則是針對 Linux 系統( 32 位或 64 位),它需要使用 CIA 開發的 JQC/KitV rootkit 獲取訪問許可權。
4.7月3日,OutlawCountry工具被曝光,專門用於以遠程方式入侵運行有Linux操作系統的計算機。OutlawCountry工具中包含一個內核模塊,CIA黑客可以通過shell訪問目標系統載入模塊,並且可以在目標linux主機創建一個名稱非常隱蔽的Netfilter表。
5.6月28日,ELSA工具被曝光,ELSA為一款地理位置惡意軟體,主要面向運行有Windows操作系統的筆記本電腦等具備WiFi功能的設備。
6.6月22日,Brutal Kangaroo工具被曝光, Brutal Kangaroo專門針對Windows操作系統的工具套件,, 它通過使用U盤等移動存儲設備突破隔離的網路。在隔離網路中,創建自定義的隱蔽網路,並為執行查詢、列表目錄和執行任意文件提供服務。
7.6月17日,Cherry Blossom工具被曝光,Cherry Blossom是一款針對無線網路設備的遠程可控固件植入框架,通過觸發漏洞獲取非授權訪問,並載入定製CB固件,從而攻擊路由器和無線接入點(AP),可用來入侵數百種家用路由器。
8.6月1日,Pandemic工具被曝光,Pandemic一種Windows持久性植入程序,可以與本地網路中的遠程用戶共享文件(程序),將文件伺服器轉換為惡意軟體感染源。
9.5月19日,Athena工具被曝光, Athena旨在遠程控制 Windows PC適用於從Windows XP到Windows 10的每個版本的Microsoft Windows操作系統。CIA可以利用Athena在目標計算機上進行任意操作,如進行數據刪除或下載惡意軟體,竊取到數據後就發送到 CIA 伺服器上。
10.5月16日,AfterMidnight和Assassin工具被曝光,AfterMidnight和Assassin是CIA用來創建針對Windows的自定義惡意軟體框架,這兩個框架均實現了經典的後門功能,允許CIA控制目標系統。
11.5月5日,Archimedes工具被曝光,Archimedes最初的代號為Fulcrum,之後由開發團隊更名為Archimedes。在目標LAN流量傳輸至網關前,Archimedes可以對LAN流量進行重定向,實施MitM攻擊。
12.4月28日,Scribbles工具被曝光,Scribbles ,又名「 Snowden Stopper 」 這個word 文檔追蹤工具的設計目的是協助CIA對舉報人和新聞記者的文件進行標記。據稱, 該程序允許CIA將"web beacon-style tags"(web 信標)嵌入到word 文檔中。
13.4月7日,Grasshopper工具被曝光,Grasshopper是CIA攻擊Windows PC的開發工具包,是針對Windows系統的一個高度可配置木馬遠控植入工具。Grasshopper可以躲開殺毒軟體的檢測,還能每隔22小時自動重新安裝一次。
14.4月1日,Marble工具被曝光,Marble是一個代碼混淆框架,用來隱藏代碼的真正來源,將 CIA 開發的惡意程序偽裝成來自其它國家。
15.3月24日,Dark Matter工具被曝光,Dark Matter專門針對Mac和iPhone。的項目黑暗事物 – 黑客利用旨在定位iPhone和Mac的機構。Dark Matter技術可以重寫設備固件,一旦被入侵,哪怕用戶重啟手機或電腦恢復出廠設置,也不能阻止CIA的訪問。
16.3月7日,Weeping Angel工具被曝光,Weeping Angel是一款由CIA Embedded Devices Branch(嵌入式設備組)和英國MI5共同開發的針對三星智能電視的竊聽軟體。Weeping Angel感染智能電視後,會劫持電視的關機操作,保持程序的後台運行,讓用戶誤以為已經關機了。它會啟動麥克風,開啟錄音功能,然後將錄音內容回傳到CIA的後台伺服器中。
本文翻譯自3 New CIA-developed Hacking Tools For MacOS & Linux Exposed,如若轉載,請註明原文地址: 維基解密又雙叒叕曝光了 CIA 針對 Mac 和 Linux 的 3 個黑客工具 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀: