导语:近日赛门铁克表示,该公司研究人员已经发现,发生在16个国家的40多起网络攻击事件与维基解密所获得并公开的中央情报局使用的黑客工具有关。

    glowing-keyboard-hacker-security-620x465.jpeg

自3月以来,作为“ Vault 7 ”系列的一部分,Wikileaks发布了多达8761份文件和其他机密信息,揭露了中央情报局特工入侵手机、电脑和其它电子设备的各种工具和能力,导致安全圈一片哗然。近日赛门铁克表示,该公司研究人员已经发现,发生在16个国家的40多起网络攻击事件与维基解密所获得并公开的中央情报局使用的黑客工具有关。

在冗长的报告中,赛门铁克提到了一个高度有组织的黑客团体,他们称其为“Longhorn”。据悉,该黑客组织与这些攻击之间存在联系。赛门铁克提供了大量的证据证明Longhorn是由中央情报局代理商所组成的团体。

证据展示:Longhorn到底是谁?

Longhorn是一个至少从2011年以来就一直活跃的北美黑客组织,其利用一系列后门、木马以及零日漏洞来攻击目标。赛门铁克表示,除了金融、电信、能源、航天航空、信息技术、教育和自然资源部门使其攻击目标外,该组织还渗透了政府和国际运营机构(具体机构名称并未提及)。

据悉,该集团的攻击目标主要锁定在中东、欧洲、亚洲和非洲的16个国家。但是,研究人员发现,有一次,美国的一台计算机遭到了入侵,但是几个小时内就启动了卸载程序,这表明此次攻击可能是“无意之举”。

赛门铁克研究人员根据分析维基解密泄漏的文档发现,维基解密所披露的“Vault 7”文件中的一些CIA黑客工具和恶意软件,与Longhorn网络间谍活动存在密切的联系。具体联系如下所述:

1. Fluxwire(由CIA创建)≅Corentry(由Longhorn创建)

Fluxwire——Vault 7泄漏文档中提到的一款由中央情报局创建的网络间谍恶意软件,包含添加新功能的更新日期,而根据赛门铁克研究发现,该日期与“Corentry”——Longhorn黑客组织创建的恶意软件的开发周期非常相似。

赛门铁克解释称:

“我们分析发现,Corentry恶意软件的早期版本中包含对Fluxwire程序数据库(PDB)文件的文件路径的引用。Vault 7文档将删除PDB文件的完整路径列为3.5.0.版本中的变化之一。截至2014年,Corentry版本都是使用GCC [GNU编译器集合]进行编译。但是根据Vault 7文档显示,2015年2月25日,Fluxwire3.3.0版本开始切换成MSVC编译器。这一现象同样体现在Corentry恶意软件样本中,在2015年2月25日,该恶意软件版本也是使用MSVC作为编译器。”

2. 类似的恶意软件模块

另一个Vault 7文档中详细描述了有效载荷“Fire and Forget”的规格,以及称为“Archangel”的恶意软件模块加载程序。根据赛门铁克所言,该恶意软件模块与另一款Longhorn使用的工具——“Backdoor.Plexor”几乎完美匹配。

3. 使用类似的密码协议实践

另一个泄漏的CIA文件还列出了恶意软件工具中使用的加密协议,例如使用32位密钥的AES加密,SSL内部加密技术来防止中间人攻击,以及每次连接后进行一次密钥交换等。

还有一份泄漏的CIA文件建议使用内存字符串去混淆(in-memory string de-obfuscation)和实时传输协议(RTP)来与命令和控制(C&C)服务器进行通信。

根据赛门铁克分析发现,Longhorn组织在其所有黑客工具中也使用了类似的密码协议和通信方式。

Longhorn组织幕后是谁主使?

赛门铁克从2014年开始研究Longhorn组织,其实在维基解密泄漏“Vault 7”文档之前,他们一直把Longhorn定义为“一个参与情报搜集活动的资源丰富的黑客组织”。鉴于该组织的工作时间为周一至周五,所以可能是国家赞助组织的行为,并在美国时区运作。

Longhorn的高级恶意软件工具专门用于网络间谍活动,具有详细的系统指纹识别,发现和exfiltration(渗漏)功能。该组还在其恶意软件中使用极其隐蔽的功能来避免检测。

赛门铁克对该组织活动的分析还发现,根据其代码中使用的词汇判断,Longhorn组织是来自说英语的北美国家,例如,“警察乐队(The Police)”的代码词汇是“REDLIGHT”和“ROXANNE”(警察乐队代表曲目),以及使用类似“scoobysnack”等口语词汇。

总的来说,将中央情报局文件中描述的功能与该黑客组织的活动相联系,不难得出这样的结论,

“毫无疑问,Longhorn的攻击活动和Vault 7文档属于同一黑客组织所为。 ”

赛门铁克研究人员Eric指出,中央情报局可能至少从2011年就开始创建窃听工具,最早可能追溯到2007年。维基解密披露的文件如此之大,可能包含了中央情报局的整个黑客工具包,其中包括许多未知的恶意软件以及零日漏洞等。中央情报局素来以其人为的情报来源和分析而闻名,因此,维基解密的披露可能迫使中情局打造更多新的黑客工具。

此外,就在上周六,一个名为“暗影经纪人(The Shadow Brokers)”的黑客组织又放出了据说是属于NSA方程式的更多入侵工具和exploit。该组织还在一篇题为《Don’t Forget Your Base》的博文中公布了之前那份要价100万比特币的加密文档的密码,现在任何人都可以下载这份文件:

工具地址:https://github.com/x0rz/EQGRP
密码:CrDj”(;Va.*[email protected])#>deB7mN

值得一提的是,Shadow Brokers的这篇博文不仅公布了上述密码,还对唐纳德·特朗普总统的一些行为进行了批评,比如空袭叙利亚事件等,从而摆脱了其保守的政治立场。

目前还不清楚,暗影经纪人(The Shadow Brokers)背后有谁在支持,以及它是如何获取这些文件的。CIA的大戏尚未落幕,NSA又急着进来凑热闹了,只是不知道这一批泄漏的工具和漏洞又将为全球各组织机构带来怎样的冲击!?

源链接

Hacking more

...