CIA涉密文档披露之智能终端设备攻击方法

3月8日，维基揭秘网站公布的8761份Vault 7重量级文件，文件日期介于2013年至2016年，展示了中央情报局对毫无戒心的用户、互联网科技巨头、医疗行业、他国政府和领导人可能采取的黑客和间谍行动，其中包括1000多个恶意软件系统，包括病毒、特洛伊木马方程式和其他软件，用来入侵和控制个人智能终端设备。

其一，Vault 7披露的材料的第一部分被称作“元年”（Year Zero），介绍了中央情报局全球隐密黑客计划的范围和方向。中央情报局利用恶意软件和几十个0Day武器化漏洞攻击大量美国和欧洲公司的产品，包括苹果公司的iPhone、谷歌的Android、微软的Windows和三星电视。泄露文件显示，黑客工具将目标对准iPhone、iPad、Android、智能电视、Windows、MacOSX、Linux、互联网路由器的恶意软件和0Day漏洞，远程控制这些设备读取信息，使这些智能终端设备通过内置麦克风实施监听转变为隐蔽的麦克风，其中有14个iOS漏洞可被利用，代码为Weeping Angel、Pokemon、WildTurkey、McNugget等。

其二，泄露文件揭露中央情报局与英国的MI5合作入侵三星智能电视并监控用户。“元年”文件指出，入侵三星智能电视的行动代号为“哭泣的天使”（Weeping Angel）。感染该设备后，Weeping Angel将目标电视设定为“假关机”模式，使用户误以为电视处于关机状态。实际上，在“假关机”模式下，该电视可记录房间内的对话，并通过互联网发送至一个隐秘的中央情报局服务器。泄露文件也暗示，中央情报局正在开发可远程控制某些车辆软件的工具，并允许该机构导致车辆发生“事故”，这实际上是几乎检测不到的“暗杀”。例如，在针对三星智能电视的项目中，中央情报局控制了电视机后，电视机虽然看起来是关着的，但事实上却在收录附近的对话。

其三，泄露文件中的Android网络攻击和黑客技术中隐藏着一些“口袋妖怪”（Pokemon）。据称，这个机构的攻击者经常会通过安全漏洞远程控制某台设备，然后从中获取诸如用户地理位置、文本、语音通信等信息，同时他们还能激活该设备的摄像头或麦克风。而在中央情报局控制的Android设备中，近1/3都被曝出用“口袋妖怪”里的角色的名字作为行动代号。据了解，中央情报局在Android 4.0至4.1.2版本部署的一个漏洞使用了“三地鼠”（Dugtrio）这个名字，在三星平板、Galaxy Note及Android 4.0至4.3版本设备中部署的一个漏洞则使用了“宝石海星”（Starmie）这个名字。此外，“小鳄鱼”（Totodile）、“大钢蛇”（Steelix）、“布卢”（Snubbull）、“绵绵”（Flaaffy）等小精灵的名字都出现在名单中。

其四，泄密文件涉及感染CD/DVD光盘文件系统和USB闪存盘的恶意软件，以此突破物理隔离，感染受保护的机密设备，并加载更多间谍技术和工具。

3月24日，维基揭秘发布第二波中央情报局内部文件，此批文件命名为“暗物质”（Dark Matter），共包含12个PDF文档，提供了中央情报局使用的部分方法与技术方案的相关结论，并指出其在多数情况下需要以物理访问的方式入侵目标。

“暗物质”文件中一部分最新文档的标记时间为2013年，已获得了对苹果公司设备的“持久性”入侵能力，具体包括Mac与iPhone设备，同时展示了其对EFI/UEFI及固件恶意软件的实际应用。UEFI代表着统一EFI规范，全称“统一的可扩展固件接口”（Unified Extensible Firmware Interface），是一种详细描述类型接口的标准。这种接口用于操作系统自动从预启动的操作环境，加载到一种操作系统上。其前身则被称为EFI规范。可见，“暗物质”文件总体上证明了中央情报局拥有一套强大的Mac入侵攻击工具包，其“嵌入式开发部门”开发的感染苹果公司产品固件的工具分别被命名为代号Sonic Screwdriver、DarkSeaSkies、Triton、NightSkies、DerStarke等。下面重点介绍以下4款工具，如图1所示。

其一，Sonic Screwdriver标记时间为2012年，主要利用Mac电脑连接外部设备启动时存在的漏洞，加载恶意软件。它要求操作人员利用存储在雷电口转以太网适配器内的恶意软件对Mac设备施以感染。一旦其被安装在目标设备当中，该计算机将无法恢复至出厂默认设置。Sonic Screwdriver并不属于恶意软件变体，而可被视为一种构造，允许攻击者绕过固件密码以顺利传递恶意代码。

其二，DarkSeaSkies标记时间为2008年11月，是一款恶意软件变种，由针对MacBook Air电脑的EFI固件植入工具、内核植入工具和用户空间植入工具组成。DarkSeaSkies要求操作人员以物理方式访问目标MacBook Air电脑。理论上讲，DarkSeaSkies能够利用类似于Sonic Screwdriver的方式安装在目标设备当中。DarkSeaSkies运行在MacBook Air后台电脑当中，允许攻击者实现命令与控制功能，其中包括文件传输。该植入恶意软件要求目标笔记本接入互联网。如果该病毒无法与“监听站”方面进行通信，则其会在一段时间后自动进行自毁。这种自我卸载功能似乎是为了阻止数字化取证工作的进行。此外，DarkSeaSkies仅适用于单个目标，而无法实现大规模监控活动。

其三，Triton标记时间为2010年11月，是一款针对MacOS X操作系统的恶意软件，主要感染组件Dark Mallet及基于EFI的控守工具DerStarke组成。中央情报局对Triton恶意软件持续维护更新，并正在开发DerStarke 2.0。该工具可运行于MacBook设备，为攻击者提供命令和控制功能，同时在设备中以最小的光盘空间持续存在。

其四，NightSkies标记时间为2008年7月，是一款针对iPhone的恶意代码植入工具，通过物理方式安装到“刚出厂”的iPhone设备并向其中安装恶意软件。自2008年以来，中央情报局一直在渗透iPhone的供应链。与DarkSeaSkies类似，NightSkies同时要求以物理方式访问目标智能手机方可实现安装。因此，一旦NightSkies被植入iPhone设备，初次开机时，需要首先进行激活而后方可使用。插入SIM卡并通过USB将该iPhone接入至iTunes。这时，该iPhone将在激活之后首先通过互联网与苹果服务器进行通信。

4月8日，维基揭秘发布第四波中央情报局内部文件，此批文件被命名为“蝗虫”（Grasshopper），共包含27个PDF文档。“蝗虫”是一套用于面向微软Windows操作系统设备构建定制化恶意软件有效载荷的平台，包含“一种非常灵活的语言”，操作人员能够在该恶意软件之内定义多项规则，进而对目标设备执行一项安装前调查，以确保目标设备拥有正确的配置供有效载荷进行安装。泄露文件介绍了中央情报局在全球实施黑客攻击的行为，中央情报局开发恶意软件，在全球实施窃听计划，手机、电脑、汽车、电视都是入侵对象。由此可以肯定，对于普通消费者所使用的各款主要操作系统，中央情报局已拥有相应入侵工具“蝗虫”，其原因有如下三点。

其一，“蝗虫”文件借鉴俄罗斯“开源” Carberp后门程序中的代码。这一代码语言使得中央情报局能够利用一种极为简单的恶意软件片段，配合“非常复杂的逻辑”，构建起任何有针对性的恶意软件。该恶意软件随后能够识别任意目标设备的特性，例如，该设备运行的是微软Windows哪个版本？又或其中是否运行着某种特定反病毒软件？这些工具还通过特别设计以规避多种反病毒产品，如卡巴斯基、瑞星、微软Security Essentials等检测。“蝗虫”文件囊括了中央情报局方面如何对受感染微软Windows系统设备保持持续性入侵并持久驻留在受感染主机上。此外，Carberp源代码被公开发布在网络中，黑客可根据需求从该恶意软件内提取对应组件。取自Carberp的全部组件（持久化方法及其安装程序中的多个部分）皆经过深入分析以了解其隐藏功能、后门、安全漏洞等。中央情报局针对Carberp持久性入侵方法及部分安装载荷片段进行了修改，且大部分Carberp代码片段并未得到采用。

其二，“蝗虫”文件被用于组装中央情报局的恶意软件安装程序。中央情报局操作人员在使用“蝗虫”文件之前，必须首先掌握与目标设备相关的部分技术信息。根据目标设备所使用的操作系统、反病毒软件及其他技术细节，“蝗虫”文件框架能够自动挑选合适的组件以完成相关任务。为将这些组件整合起来，操作人员使用一种定制化基于规则的语言编写构建配置。最后，“蝗虫”文件会交付一款Windows安装程序，以供操作人员在目标设备上运行并安装恶意软件。

其三，高度模块化的“蝗虫”文件能够适应任何操作。一个“蝗虫”文件可执行文件中包含一款或多款安装程序。单一安装程序为一种或多种安装程序组件组成的堆栈。“蝗虫”文件能够按顺序对堆栈中的各种组件进行调用，从而执行一项有效载荷。一款安装程序的最终目标为实现有效载荷持久性。为此，中央情报局在设计中尽可能提升“蝗虫”文件的延展性，以确保安装程序能够与最终有效载荷实现解耦（解除耦合是指，对二者进行拆分，不再存在依赖性）。“蝗虫”文件构建器允许操作人员选择每项操作所需要的对应组件，用以提供由其选定的有效载荷。由此可见， “蝗虫”文件安装程序能够提供EXE、DLL、SYS或PIC格式的有效载荷，适用于x86与x64架构，且可确保有效载荷具备持久性。同时，“蝗虫”文件亦可生成具有内置恶意有效载荷的安装程序，或安装程序运行时，从其他位置传送对应有效载荷。因此，即使用户已经将Windows Update禁用，当WUPS存根进行加载时，Windows Update仍将受到影响，并最终导致该恶意软件于22小时后再度进行自我安装。

软件工具手册表明，中央情报局通过黑客使用恶意软件的组件来窃取财务信息，而不仅仅是由内部人员发现的漏洞。幸运的是，“蝗虫”文件大多是用户手册和技术文档，而不是代码。

Vault 7系列重量级文件明确表明，中央情报局完全有能力入侵各类智能手机、智能电视、计算机系统、软件及其他设备。这起事件引起了其他国家、安全企业、设备厂商、各类黑客组织等的强烈关注，也造成中央情报局的大量技术流失。同时，最近中央情报局失去了对其黑客武器储备库的控制权，其中包含大量恶意软件、木马、0Day漏洞及用于远程控制目标系统的恶意软件工具。

近期，维基揭秘、WannaCry勒索病毒感染、漏洞等系列事件的曝光，表明从根本上提高网络监测、防护、响应能力，提出补救措施和安全策略，切实完善好自身网络安全维护工作，或许是智能终端设备最好的选择。

（文章来源：《保密科学技术》；作者：康双勇 / 国家保密科技测评中心，刘中强 / 中国船舶重工集团公司第七一八研究所 ；文中图片来源：互联网）