HackerNews.cc 11 月 9 日消息,继维基解密(Wikileaks)今年 3 月至 8 月陆续公布的 CIA 网络武器文档 Vault7 后再次曝光新一轮间谍文件—— Vault 8,旨在披露 CIA 网络武器源代码与其开发日志。据悉,维基解密不仅在线公开表示他们已获取 CIA 机密信息,还在 Vault 8 文档中率先曝出间谍工具 Hive (蜂巢)源代码与其开发日志。
Hive 是一款后端组件,其主要为 CIA 间谍软件提供一个隐蔽的通信平台,从而协助 CIA 特工实现后台操控并将目标设备中的机密信息发送至指定服务器。此外,CIA 还可使用 Hive 基础架构参与多项操作,并在目标设备上植入多款恶意软件。然而,由于 Hive 可以绕过安全检测植入间谍软件,因此即使在受害设备上发现恶意代码,也很难从服务器中发现攻击归属。
研究人员表示,这并非维基解密第一次在线泄漏与间谍工具 Hive 相关的信息,其曾于今年 4 月揭示 CIA 利用 Hive 在线分发恶意代码后通过 C&C 服务器进行通信,从而执行任意操作。目前,CIA 已经开发出多用户一体化的 Hive 平台,即多名 CIA 特工可以同时控制多款恶意软件执行不同任务,这或将导致攻击归属的查询更加困难。此外,Hive 的攻击原理是利用系统公共后端将受害用户重定向至虚假网站,而这些网站可作为中继节点将目标用户的信息通过 VPN 连接传输至服务器 Blot,而该服务器可以将用户流量转发到 CIA 特工的 Honeycomb 管理网关中。
此外,为规避安全软件检测,其恶意代码还开发了数字签名认证,这是恶意软件社区中一种常见的做法,而 CIA 可使用数字证书检测软件身份。其中,研究人员在泄露的源代码目录中发现了一个冒牌的卡巴斯基客户端认证证书,该证书由 Thawte Premium Server CA 签署。这样一来,既可以规避卡巴斯基安全软件的签名查杀,还可在受害组织发现自身内部网络流量存在异常时,把这种异常怪罪于其他组织。
知情人士透露,虽然 Hive 不对最终用户构成直接威胁,但如果黑客用其建立一个主干结构,并将其交付与控制其他攻击的话,那么世界就会变得非常糟糕。目前,尚不清楚 Vault 8 文档包含多少条目,但 Wikileaks 表示,他们不会发布有关零日漏洞的源代码信息,以避免黑客滥用行为。
原作者:Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
source: hackernews.cc.thanks for it.