维基解密：“雷鸟”为CIA远程开发部门提供技术情报

责任编辑：editor004 |来源：企业网D1Net 2017-07-21 12:09:19 本文摘自：E安全

维基解密于美国时间7月19日发布新一批CIA Vault文件，其作为UMBRAGE组件库（UCL）项目的一部分。这批文件包含CIA承包商雷鸟科技公司（Raytheon Blackbird Technologies，RBT）为CIA远程开发部门提交的5份恶意软件PoC创意及分析报告。

这些报告主要包含观点验证程序（PoC）和恶意软件攻击向量评估，以及部分源自安全研究人员和计算机安全领域私有企业的公共文件。具体提交报告时间自2014年11月21日到2015年9月11日。

由此可见，RBT充当的是CIA远程开发部门（RDB）的“技术侦察员”，负责分析恶意软件攻击并向RDB部门提供建议，便于CIA进一步调查，并为自己的恶意软件项目开发PoC。

维基解密：“雷鸟”为CIA远程开发部门提供技术情报-E安全

维基解密泄露的文件显示，RBT是CIA的承包商，向CIA提交了5份此类报告。这些报告概要性地描述了PoC观点与恶意软件攻击向量（由安全研究人员公开发布以及网络间谍黑客组织秘密开发）。

雷神公司提交的报告是为了帮助CIA RDB部门收集想法，供CIA开发自己的高级恶意软件项目。

维基解密先前泄露的Vault 7文件显示，CIA UMBRAGE恶意软件开发小组还借鉴公共恶意软件样本代码构建自己的间谍软件工具。

雷鸟科技向CIA提交的5份报告如下：报告1——Regin（瑞金）间谍平台

——这份报告介绍了自2013年发现的一款非常复杂的恶意软件样本 “Regin”（瑞金），这是一个间谍平台，主要用于目标监视和数据收集，擅长高级别分析，据称比震网病毒Stuxnet和Duqu更复杂。这款工具很可能是美国情报机构NSA开发的。其使用模块化架构，允许操作人员启用定制监控，为特定目标提供了高度的灵活性和对攻击能力的剪裁。由于其隐蔽性, 躲避查杀，攻击部分仅内存驻留的优势，使得这款工具非常适合实施长期、持续性、大规模监视行动。

报告2——HammerToss恶意软件

——介绍了一款2015年初发现的疑似俄罗斯国家黑客使用的恶意软件样本“HammerToss”，其可能自2014年底开始运行。HammerToss的特别之处在于架构，它利用Twitter账号、GitHub账号、被攻陷的网站和云存储结合，以及基本的隐写术实现命令与控制功能，以在目标系统上执行命令。

报告3——Gamker木马

——这份文件介绍了一款self-code 注入和 API 挂钩方法的信息窃取木马称为 "Gamker"。实施简单的解密之后，使用随机用户名丢下自己的副本，并将自己注入不同的进程。这款木马还具备其它典型的木马功能。

报告4——EMISSARY PANDA远程访问工具

——雷神分析师详细描述了HTTPBrowser远程访问工具（RAT）的变种，其开发时间可能是2015年。这款RAT旨在捕获目标系统的击键。报告声称这款RAT是中国APT间谍组织“熊猫使者”（Emissary Panda）使用的工具。

报告5——IsSpace远程访问工具

——这份文件详述了NfLog 远程访问工具（RAT）变种，亦被称为IsSpace，据称是中国另一黑客组织“熊猫武士”（Samurai Panda）使用的工具。NfLog利用了Hacking Team开发的 aAdobe Flash零日漏洞（编号CVE-2015-5122），以及UAC绕过技术，这款恶意软件还能嗅探或枚举代理证书，以绕过Windows防火墙。除此之外，这个新的变体还包含了使用 Google App Engine (GAE)，托管其与C&C 服务器之间的代理通信。

维基解密持续供货

下面是E安全整理的维基解密自今年3月以来披露发布的其它CIA工具，点击即可查看：

OutlawCountry（“法外之地”，入侵运行有Linux操作系统的计算机）；

Elsa（“艾尔莎”，利用WiFi追踪电脑地理位置）；

Brutal Kangaroo（“野蛮袋鼠”，攻击网闸设备和封闭网络）；

Emotional Simian（“情感猿猴”，针对网闸设备的病毒）

Cherry Blossom （“樱花”，攻击无线设备的框架）；

Pandemic（“流行病”，文件服务器转换为恶意软件感染源）；

Athena（“雅典娜”，恶意间谍软件，能威胁所有Windows版本）；

AfterMidnight （“午夜之后”，Winodws平台上的恶意软件框架）；

Archimedes（“阿基米德”，中间人攻击工具）；

Scribbles（CIA追踪涉嫌告密者的程序）；