维基解密：CIA竟然假扮卡巴斯基实验室来窃取目标数据？

近期，维基解密恢复了他们之前针对CIA机密文件的“泄露任务”。现在，维基解密已开始对外公布CIA所开发的工具源代码以及其他相关文件。

在今年三月份，维基解密开始对外公布与CIA黑客工具相关的机密文件，即Vault 7。这些机密文件对CIA开发和使用的黑客工具进行了详细的技术描述，而在接下来的几个月时间里，维基解密相继披露了大约20多款CIA的黑客工具以及机密项目。

休息了两个月之后，维基解密现在宣布即将开始新一轮的“CIA机密泄露”，而他们将这一波新的泄露称之为Vault 8。在这一波泄密中，维基解密将提供CIA黑客工具的源代码以及分析报告。维基解密表示，跟之前的Vault 7类似，Vault 8所披露的内容不会涉及到任何0 day漏洞以及其他安全漏洞的利用技术，以防止他人将其用于恶意目的。

维基解密在其发表的官方声明中说到：“此次披露的内容（Vault 8）可以帮助调查记者、取证专家以及普通民众更加深入地了解CIA的内部情况以及基础设施组件。值得注意的是，Vault 8公布的软件源代码中还包含有运行在服务器端的控制软件（由CIA控制）。”

Vault 8所泄露的第一份文件中提到了一个名叫Hive的项目，有关这个项目的相关文档是维基解密在今年四月中旬发布出来的，而该组织在新一轮的泄露文档中公布了与Hive项目相关的软件源代码以及开发日志。

注：根据泄露文档的描述，Hive是一款工具，这款工具可以帮助恶意软件与远程服务器进行通信，而且不会引起任何不必要的怀疑。

维基解密表示：“在Hive的帮助下，即使我们在一台目标计算机中发现了植入的恶意软件，我们也很难通过观察恶意软件与网络服务器的通信信息来将其与CIA关联上。因为Hive提供了一种隐蔽性非常强的通信平台，而CIA所有的恶意软件可以利用这个平台将它们所窃取到的信息发送给CIA的服务器，或者接收CIA特工所发送过来的新指令。”

Hive提供了一种恶意软件之间相互进行通信的通信信道，而维基解密将这种信道描述为“隐藏域名”。这些域名看似并没有什么特别，而且当访问这些域名的时候它们也不会发送恶意内容。但是，当CIA的恶意软件或植入后门在与这些域名进行通信时，首先会进行身份验证，然后它们所生成的网络流量将会被定向到一个名叫Honeycomb的网关，而这个网关负责将恶意软件发送的所有数据转发到最终的目的地。

植入的恶意软件会使用伪造的数字证书（现有实体）来进行身份验证，其中就有伪造的卡巴斯基实验室的数字证书，而这些证书声称自己是由南非证书权威机构Thawte颁发的。根据维基解密透露的信息，他们通过分析和研究之后发现，CIA可以通过使用伪造的证书来假装数据提取的操作是由伪造实体所进行的，比如说卡巴斯基实验室的安全产品。

卡巴斯基实验室在接受SecurityWeek的采访时表示：“我们已经对Vault 8报告中披露的内容进行了调查和分析，并且已经确认了恶意软件所使用的那些卡巴斯基证书的确是伪造的。但是请广大用户放心，我们的私钥、服务和客户都是安全的，他们都不会受到影响。”

“CIA伪装成卡巴斯基”的消息一经曝出，就难免会让某些人认为美国希望通过这种方式来将网络攻击的“黑锅”甩给俄罗斯。

目前，美国政府已经禁止美国国内用户使用卡巴斯基实验室的产品了，因为这家公司据说与俄罗斯情报机构有着密不可分的关系。近期的一份报告还显示，美国国家安全局的某个承包商计算机中仍然在使用卡巴斯基实验室的产品，而这也导致俄罗斯黑客成功地从这些计算机中窃取到了大量的敏感文件。不过，卡巴斯基实验室并不承认这些所谓的“指控”，并且宣布他们将进行一系列新的措施来为自己正名。

* 参考来源：securityweek，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM