标签: 维基解密

维基解密在线曝光 CIA 间谍软件新工具“野蛮袋鼠”

据外媒 6 月 22 日报道,维基解密( Wikileaks )近期再度曝光一批新 Vault7 文档,旨在揭示美国中央情报局( CIA )使用勒索软件工具 “野蛮袋鼠” (Brutal Kangaroo )监控 Microsoft Windows 操作系统、远程访问处于安全隔离状态的网络设备。 Brutal Kangaroo 是一款用于监控 Windows 系统的工具组件,其主要通过使用闪存盘的 Air-Gapped 侵入封闭网络。此外,Brutal Kangaroo 组件在封闭目标网络中将会创建一个自定义私密网络空间,并提供执行调查、目录列表与任意可执行文件的功能。而 Air-Gapped 主要是在高安全性的环境与关键基础设施中实现网络隔离。 据悉,维基解密在线发布了 2012 年 Brutal Kangaroo v1.2.1 版本文档。调查显示,旧版本的 Brutal Kangaroo 代号为 EZCheese。目前,它正利用 2015 年 3 月发现的漏洞展开攻击活动。 分析显示,CIA 可利用该工具组件渗透组织或企业内部的封闭网络,即无需直接访问,就可开始感染组织内的联网机器。当用户将 U 盘插入受感染机器时,闪存盘本身会感染一种单独的恶意软件 Drifting Deadline,并允许在封闭网络内肆意传播至其他受害设备中。如果该储存装置用于封闭网络或 LAN / WAN 之间复制数据,用户迟早会将拔下的 USB 插入封闭网络上的计算机中。随后,通过使用 Windows 资源管理器浏览 USB 驱动器的网络隔离计算机设备,终将会感染该恶意软件。 此外,当恶意软件在封闭网络中传播时,多台受感染计算机将处于 CIA 的操控下,组成 一个可协调攻击者活动与数据交换的私密网络。尽管该份文档中并未明确说明具体细节,但这种破坏封闭网络的方法与黑客组织 Stuxnet 的攻击方式极其相似。 Brutal Kangaroo 工具组件由以下几部分组成: Drifting Deadline:用于感染闪存盘的恶意工具 Shattered Assurance:一款处理闪存盘自动感染的服务器工具 Broken Promise:Brutal Kangaroo 后置处理器,用于分析收集到的信息 Shadow:主要存留机制(第二阶段工具,分布在封闭网络中,充当隐蔽指挥控制网络;一旦安装多个 Shadow 并共享驱动器、任务与负载将可以来回互相发送信息)   原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Chelsea Manning 的泄密未对美国国家安全造成严重伤害

五角大楼的一份报告认为,Chelsea Manning/Bradley Manning 的泄密并未对美国在阿富汗和伊拉克的战争造成重大的战略影响。《 纽约时报杂志 》也于上周发表了一篇关于采访出狱后的 Chelsea Manning 的报道。 报道称:她将美国在阿富汗和伊拉克战争期间的约 25 万份外交电报和约 48 万份军队报告交给了 Wikileaks。这些泄露加在一起,构成美国历史上最大的机密记录泄漏事件,为 Edward Snowden 扫清了道路,且令 Julian Assange 的形象得到提升,因为此前 Assange 在黑客圈以外少有人知。 2009 年至 2011 年担任助理国务卿的 P.J.Crowley 最近告诉记者 “要不是 Chelsea Manning,Julian Assange 无非就是另一个处在边缘地位,对他心目中美国霸权主义傲慢感到愤怒的小角色 ”。Denver Nicks 曾经写过一本关于 Manning 的书,用他的话来说,Manning 的行为从广义上来说,代表着 “ 信息时代自身开始爆炸 ”:一个新时代,现在内情泄漏可以成为武器,数据安全至关重要,而隐私则让人感到虚幻。 稿源:solidot奇客;封面源自网络。

维基解密最新爆料:CIA 间谍软件 “ Athena ” 可远程劫持所有 Windows 系统

据外媒报道,继美国中央情报局( CIA ) 勒索软件工具 AfterMidnight 与 Assassin 在线曝光后,维基解密再度泄露其间谍软件 Athena 文档,旨在揭示  CIA 可感染并远程监控所有 Windows 版本用户系统。 微软于 2015 年 7 月发布 Windows 10 系统,而间谍软件 Athena 最早可追溯至 2015 年 8 月,由开发人员采用 Python 程序编写。 间谍软件 Athena 是 CIA 开发人员与网络安全公司 Siege Technologies 共同合作的结果,具备实时修改目标系统配置并可制定特殊操作的功能。维基解密声称,用户一旦下载安装恶意软件 Athena 后,系统将自动加载执行特定任务的恶意 payloads、传送和检索指定目录的文件内容。 目前,虽然维基解密并未提供有关 CIA 使用间谍软件 Athena 开展监控活动的任何细节,但不难想象 CIA 会如何使用此程序监视目标系统。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密曝光 CIA 勒索软件新工具:“AfterMidnight” 与 “Assassin”

据外媒 15 日报道,维基解密再度曝光两份 Vault7 文档,揭示美国中央情报局( CIA )使用恶意软件 AfterMidnight 、 Assassin 后门功能操控与监视 Microsoft Windows 系统设备。 恶意软件 AfterMidnight 允许黑客在目标系统中动态加载与执行恶意 payload。其主要 payload 被伪装成系统自身的动态链接库 ( DLL ) 文件并进行 “ Gremlins ”操作,以便黑客摧毁目标软件、收集信息或为其他 “ Gremlins ” 提供内部服务。此外,恶意软件 AfterMidnight 基于 HTTPS 的 Listening Post( LP )服务会检查所有预设计划和执行情况,每次接收新任务后,AfterMidnight 都会下载系统组件并存储于内存之中。 Assassin 则是一个自动化植入软件,为远程运行 Microsoft Windows 操作系统的计算机提供简单的数据收集平台。一旦工具安装在目标系统中,Assassin 将在 Windows 服务过程中运行并定期返回数据。此外,Assassin C2(指挥与控制)和 LP (听力后勤)子系统能够相互配合以便 CIA 通过受感染系统执行特定任务。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密公开 Vault 7 新文档:CIA 采用 MitM 工具入侵局域网

据外媒报道,维基解密最新曝光了一份新 Vault 7 文件内容:美国中央情报局( CIA )曾使用一款名为 “ Archimedes ” 的 MitM (中间人攻击)工具专门针对局域网展开攻击。 泄露文件显示,CIA 早在 2011 – 2014 年期间就已利用 Archimedes  (原名 Fulcrum)工具展开攻击。当前版本的黑客工具 Archimedes 允许黑客通过受感染设备重定向目标计算机的局域网流量。这一工具应用极其简单,没有任何特殊功能,目前互联网也中存在多种 MitM 工具,任何人均可下载并使用它定位本地网络用户。 信息安全公司 Rendition Infosec 创始人杰克·威廉姆斯(Jake Williams)在分析泄露文件后表示,Archimedes 工具最初并非由 CIA 开发,它似乎是一个重新包装过的 Ettercap 版本的 MitM 开源工具包。此外,用户还可使用该泄露信息查询自身系统是否已被 CIA 攻击。 原作者: Mohit Kumar, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密曝光 CIA 文档标记工具 帮助追踪泄密者

维基解密近日披露的 Vault 7 系列文档详细介绍了 CIA(中央情报局)是如何追踪告密者、记者等群体的。利用“ Scibbles ”(又名 Snowden Stopper )软件在可能被泄漏的文件中嵌入 Web 信号标签,这样即使文档被窃取 CIA 也能定位这些文件并收集相关的信息,并将这些信息反馈回 CIA。 图片来自于 Flickr 近日曝光的这份文档标记日期为 2016 年 3 月 1 日,标记授权日期直至 2066 年。维基解密表示:“ Scibbles 用于微软 Office 文档的离线预处理。出于操作安全方面的原因,在使用手册中要求 Scribble 在目标设备上不安装可执行、参数文件、收据或者日志文件,也不会留下可能被机构收集的地址信息。” 该项目文档显示Scribble基本上是一款水印工具,这款工具能够成功应用于微软 Office 2013(在 Windows 8.1 x64 )以及 Office 97-2016 版本的所有文档,但并不适用于 Office 95 文档。 不过这款软件也存在一些问题,仅限于使用微软 Office 打开的文档。在文档中写道:“如果目标终端用户使用 OpenOffice 或者 LibreOffice 等其他应用程序,那么用户就能看到水印照片和 URL 连接。因此,CIA 总是需要确保主机名字或者 URL 组件是和源内容相匹配的。如果你所调查的目标用户可能会使用非微软 Office 应用打开这些文档,请部署之前进行一些测试和评估。” 稿源:cnBeta,封面源自网络  

世界顶级情报机构将于新西兰举行秘密会议 ,或商讨网络威胁重要决策

据外媒 21 日报道,世界顶级情报机构领导人将于 4 月 22、 23 日在新西兰秘密举行会议。“Five Eyes” 情报联盟也将出席此次会议。 “Five Eyes” 又称“五眼联盟”,是由英国、美国、加拿大、澳大利亚与新西兰五个国家级情报机构组成的秘密情报联盟。前身是英美战后多项秘密协议催生的多国监听组织“UKUSA”。 据报道,联邦调查局( FBI )局长詹姆斯·科米、美国中央情报局( CIA )局长麦克·蓬佩奥、新美国国家情报局局长以及新西兰政府通信与安全局( GCSB )和安全情报局( SIS )部长预计出席本次秘密会议。此外,新西兰总理比尔·英格利希证实,数名高级官员也将出席会议。 据《新西兰先驱报》报道,新西兰旅游圣地“皇后镇”目前已处于高度戒备状态,有消息透露此次会议或有某位“非常非常”重要人士出席。 战略研究中心高级研究员 Jim Rolfe 表示,此次会议或将讨论网络威胁渐增问题。参与此次会议的重要官员对网络威胁与网络安全极其重视,这也是全球面临的最大难题之一。 CIA 与 FBI 目前对于此次会议尚未发表任何声明。 原作者:India Ashok,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

专家评最新曝光的 CIA “Marble” 攻击工具:只能起到模糊作用

近日,维基解密又对外公布了来自” Vault 7 “的部分数据,进一步曝光了 CIA 的间谍工具。这次主要曝光的是一个叫做 Marble 的代码混淆框架。维基解密称:“ Marble 用于阻碍取证调查员和杀毒软件公司将病毒、木马和网络攻击怀疑到 CIA 身上。”对此,一些专家表示不认同。 Rendition Infosec 创始人 Jake Williams 表示,自己在对维基解密公布的代码经过半个小时分析之后发现,这套Marble 无法让调查人员将其网络攻击的国籍来源变成其他国家。这位专家指出,源代码显示 Marble 不仅只用了英文展开测试,同时它还会使用中文、俄文、韩文、阿拉伯语和波斯语–这则能让探员将恶意软件开发者所使用语言变成其他国家的语言,而这确实能混淆调查人员的视线,让他们误以为来自其他国家。 实际上 Marble 就像恶意软件市场上的许多相类似工具,主要起到的是一个模糊作用。据悉 ,CIA 最近一次使用 Marble 则是在去年年底。 稿源:cnBeta;封面源自网络

Wikileaks 公布 CIA 的代码混淆工具 Marble

Wikileaks 释出了第三批 CIA 机密文件,曝光了情报机构的代码混淆框架 Marble。代码混淆工具被设计用于隐藏代码的真正来源,将  CIA 开发的恶意程序伪装成来自其它国家。该框架对于开发者和安全研究人员具有参考价值。 如图所示,源代码文件披露了 Marble 中名叫“ adding foreign language ”的功能,在程序中混入其它国家的语言,包括阿拉伯语、中文、俄语、韩语和波斯语。通过混入外国语言,一个 CIA 开发的恶意程序可能会被视为是另一个国家开发的,比如混入中文可能会被认为是中国开发的,但实际上背后是山姆大叔。现在源代码曝光之后,CIA 看起来需要更新一下它的混淆工具了。 稿源:Solidot奇客;封面源自网络

微软向英国政府交出嫌疑用户邮件,惹巨大争议

微软近日做出的一项决定再次引发了讨论,有人支持、也有人反对。伦敦恐袭事件发生后,嫌疑人 Khalid Masood 被锁定。资料显示 Khalid 曾用 WhatsApp 通信,受加密协议所阻,英国情报部门无法获知具体内容。与此同时,他们还向微软索要嫌疑人的邮件记录。有报道指出微软拒绝情报部门的要求后,今天官方发表声明回应称已经交出政府所要的资料,整个响应时间仅 30 分钟。 微软坦承,在法律框架内的这些个人敏感资料都是可以提供给当局的,在 2015 年,他们也就巴黎恐袭响应了至少 14 件证据请求。 对于对恐袭深恶痛绝的人来说,他们当然希望微软提供一切帮助来缉拿凶犯,然而还有一部分人士指出,这是对隐私的巨大侵犯。对此,微软说,法律允许的那些配合或许能拯救生命,但如果政府越雷池,那他们将坚决不同意。 另外,微软首席法律顾问 Brad Smith 还强调,他们没有因为官方渠道泄露资料给维基解密,而且永远不会非法骇入任何一个普通用户。 稿源:快科技,有修改;封面源自网络