維基解密披露CIA利用“野蠻袋鼠”滲透封閉網路

2017年6月22日(農曆2017年5月28日)，維基爆美國CIA利器“野蠻袋鼠”可訪問任意封閉網路。“野蠻袋鼠”可訪問任意封閉網路美國時間2017年6月22日，維基解密披露釋出了CIAVault7系列的第十二批檔案，分別是“野蠻袋鼠(BrutalKangaroo)”和“情感猿猴(EmotionalSimian)”專案。披露的檔案詳細描述了美國情報機構如何遠端隱蔽地入侵訪問封閉的計算機網路或獨立的安全隔離網閘(Air-GappedDevices，從未連線過網際網路的裝置)。而這兩個專案的工具只針對微軟Windows作業系統。野蠻袋鼠(BrutalKangaroo)根據維基解密釋出的訊息，“野蠻袋鼠”是用於微軟Windows作業系統的工具套件，透過使用隨身碟或快閃記憶體(thumbdrives)的網閘擺渡來入侵封閉的網路。野蠻袋鼠元件在目標封閉網路內建立一個定製化的隱蔽網路，並提供調查執行、目錄列表和任意檔案執行等功能。一般金融機構，軍事和情報機構，核電行業都會使用封閉網路以保護重要數字資產。此次披露的檔案描述了CIA如何能夠在無法直接訪問的情況下滲透組織或企業內的封閉網路(或安全隔離網閘的獨立計算機)。首先，感染目標內的一臺接入網際網路的計算機(稱為primaryhost“主要宿主”)，並在這臺計算機上安裝“野蠻袋鼠”惡意軟體。當使用者使用“主要宿主”並插入隨身碟或快閃記憶體盤時，隨身碟或快閃記憶體盤自身會被單獨的惡意軟體感染。如果這個隨身碟或快閃記憶體盤用於在封閉的網路和LAN(區域網)/WAN(廣域網)之間複製資料，使用者遲早會將隨身碟或快閃記憶體盤插入到封閉網路中的計算機上，惡意軟體就會向袋鼠一樣跳來跳去感染封閉網路內的其他裝置。透過在這種受保護的計算機上使用Windows資源管理器瀏覽USB驅動器，它也會感染滲透或探測惡意軟體。如果封閉網路中的多臺計算機都處於CIA控制之下，它們將形成一個隱蔽網路來協同任務和資料交換。竊取的資料可以再次返回到CIA，這取決於有人將封閉網路計算機上使用的USB連線到線上裝置。雖然此次洩露的文件中沒有明確說明，但是這種破壞封閉網路的方法與世界上首個網路超級破壞性武器“震網病毒(Stuxnet)”的工作方式非常相似(詳見《震網病毒紀錄片《零日.ZeroDays.2016》HD1080PE安全獨家中文字幕》)。據稱CIA在2012年-也就是在伊朗的Stuxnet事件發生兩年後開始制定“野蠻袋鼠”專案。野蠻袋鼠專案的主要元件DriftingDeadline：用於感染隨身碟或快閃記憶體盤的惡意工具；ShatteredAssurance：這是一個伺服器工具，處理隨身碟或快閃記憶體盤的自動感染(該工具是野蠻袋鼠套件的主要傳播手段)；BrokenPromise：野蠻袋鼠後處理器(用於評估收集的資訊)，Shadow：是主要的駐留機制(第2階段工具，分佈在封閉的網路中，充當隱蔽的命令和控制網路；一旦安裝了多個Shadow例項並共享驅動器，任務和Payloads就能來回傳送)。受感染的USB裝置使用的主要執行向量是微軟Windows作業系統中的一個漏洞，可以透過特製的連結檔案來利用這些漏洞，這個特製檔案可以在沒有使用者互動的情況下載入和執行程式(DLL)。舊版本的工具套件使用了一種稱為EZCheese的機制，這在2015年3月前一直是零日漏洞利用程式(CVE-2015-0096)；較新版本似乎使用了類似但尚未知的連結檔案漏洞，與Windows作業系統的庫描述檔案library-ms有關。情感猿猴(EmotionalSimian)“情感猿猴(EmotionalSimian)”專案是一款病毒程式：本次維基解密披露釋出了共計11個檔案，這些檔案顯示至少要到2035年才能被解密。而維基解密釋出的檔案日期為2016年2月，表明該計劃可能已經在去年就開始被CIA所使用。維基解密自三月以來公開的CIA工具下面是E安全整理的維基解密自3月以來披露釋出的CIA工具：BrutalKangaroo(“野蠻袋鼠”，攻擊網閘裝置和封閉網路)；EmotionalSimian(“情感猿猴”，針對網閘裝置的病毒)CherryBlossom(“櫻花”，攻擊無線裝置的框架)；Pandemic(“流行病”，檔案伺服器轉換為惡意軟體感染源)；Athena(“雅典娜”，惡意間諜軟體，能威脅所有Windows版本)；AfterMidnight(“午夜之後”，Winodws平臺上的惡意軟體框架)；Archimedes(“阿基米德”，中間人攻擊工具)；Scribbles(CIA追蹤涉嫌告密者的程式)；WeepingAngel(“哭泣天使”，將智慧電視的麥克風轉變為監控工具)；Hive(“蜂巢”，多平臺入侵植入和管理控制工具)；Grasshopper(“蝗蟲”，針對Windows系統的一個高度可配置木馬遠控植入工具)；MarbleFramework(“大理石框架”，用來對駭客軟體的開發程式碼進行混淆處理、防止被歸因調查取證)；DarkMatter(“暗物質”，CIA入侵蘋果Mac和iOS裝置的技術與工具)