CIA的這個工具通過網絡悄悄地入侵Windows電腦
代號流行病,該工具是Microsoft Windows機器的永久植入,可在本地網絡上與遠程用戶共享文件。
舉報組織泄露的文件日期為2014年4月至2015年1月。
據維基解密稱,流感病毒通過服務器消息塊(SMB)文件共享協議,用特洛伊木馬版本的軟件動態替換應用程序代碼,從而感染Windows計算機網絡。一份泄露的CIA手冊寫道:“流行病是一種作為內核外殼代碼運行的工具,用于安裝文件系統過濾器驅動程序”。“當遠程用戶通過SMB(只讀,非寫)訪問目標文件時,篩選器將用給定的有效負載文件‘替換’該文件”。
“流行病”將文件服務器變成“零病人”
一旦受到攻擊,受感染的Windows文件服務器將充當零號病人“;疫情期間第一個確定的傳染病攜帶者,然后用于在網絡內的機器上傳播感染。
現在,每當任何目標計算機試圖訪問受損服務器上的文件時,Popularity都會攔截SMB請求,并秘密傳遞請求文件的惡意版本,然后由目標計算機執行。
根據用戶手冊,在目標機器上安裝Popularity只需15秒,一次最多可以替換20個合法文件(32位和64位文件),最大文件大小為800MB。
由于該工具專門設計用于感染公司文件共享服務器,并將其轉化為向目標網絡上的其他人傳送惡意軟件的秘密載體,因此它被命名為流行病。
然而,泄露的文件并沒有準確解釋流行病是如何安裝在目標文件服務器上的。
美國國家安全局(NSA)前雇員杰克·威廉姆斯(Jake Williams)也質疑,該舉報人組織為利用疫情工具而泄露的文件是否已被公布。威廉姆斯說:“當你檢查#流行病@維基解密轉儲文件時,問問自己:其余的文件在哪里?與其他任何一個轉儲文件相比,你會發現這些文件的數據遠遠少于我們通過蚱蜢等獲得的數據。他們沒有其他文件嗎?似乎不太可能”。
上周,維基解密拋棄了中情局的間諜軟件框架,名為雅典娜– 哪一個“在目標計算機上提供遠程信標和加載程序功能”– 這適用于從Windows XP到Windows 10的所有版本的微軟Windows操作系統。
該間諜軟件旨在遠程完全控制受感染的Windows PC,允許CIA在目標系統上執行各種操作,包括刪除數據、上傳惡意軟件和竊取數據。
自3月以來,泄密組織已發布了10批“Vault 7”系列,其中包括最近和上周的泄密,以及以下批次:
- 午夜后刺客– 針對Microsoft Windows平臺的兩個明顯的CIA惡意軟件框架,旨在監控和報告受感染遠程主機上的操作,并執行惡意操作。
- 阿基米德– 一個中間人(MitM)攻擊工具,據稱是由中央情報局(CIA)創建的,用于攻擊局域網(LAN)內的計算機。
- 涂鴉– 一款據稱旨在將“網絡信標”嵌入機密文件的軟件,允許間諜機構追蹤內幕人士和告密者。
- 蝗蟲– 展示一個框架,該框架允許該機構輕松創建自定義惡意軟件,以侵入微軟的Windows并繞過防病毒保護。
- 大理石– 揭露了一個秘密反取證框架的源代碼,基本上是一個模糊器或包裝器,CIA用來隱藏其惡意軟件的實際來源。
- 暗物質– 專注于針對iPhone和Mac的黑客攻擊。
- 哭泣天使– 該機構用來滲透智能電視的間諜工具,將其轉化為隱蔽的麥克風。
- 零年– 拋棄了中情局對流行硬件和軟件的黑客攻擊。
