标签: CIA

美国 CIA 正开发多个人工智能项目收集社交媒体情报

据外媒 9 月 11 日报道,美国中央情报局( CIA )正通过开发人工智能程序访问、收集与检索社交媒体情报。 美国 CIA 技术开发副主任 Dawn Meyerriecks 在情报与国家安全峰会上发表声明,宣称该机构目前正开展逾 137 个不同人工智能项目作为未来发展计划的一部分,其中多数由硅谷科技公司与 CIA 开发人员共同创建。 由于数据分析的不断发展,人工智能开始走进社交媒体平台,旨在通过公共记录收集目标用户重要信息。虽然从社交媒体收集数据的行为绝非新鲜事件,但利用人工智能做到这一点却有所不同,因为就单单收集数据的数量与速度来说较其他技术有所提高。 目前,尚不清楚 CIA 监控目标是谁,也不了解他们想要什么,以及用户公共资料被审查程度。不过,根据美国国防部的一份报告显示,CIA 运行的 137 个项目中,AI 可以根据数据与相关事件预测未来事件并自动标记视频,以便分析人员日后查看。国家地理空间情报局局长 Robert Cardillo 表示:“ 人工智能似乎是一个自然而然的进展,如果我们手动操作,预计未来 20 年的卫星图像将需要八百万分析人员共同进行。另外,我们希望人工智能能够将分析人员 75% 的工作量进行自动化处理 ”。 原作者:Immanuel Jotham,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密在线曝光 “ 盔甲护身 ” 项目: CIA 秘密安装导弹控制系统

HackerNews.cc  9 月 7 日消息,维基解密( Wikileaks )近期在线曝光 “ 盔甲护身 ”(Protego)项目,旨在揭露美国中央情报局( CIA )秘密安装导弹控制系统。不过,此次曝光文件并非黑客工具或恶意软件,而是一份间谍控制系统的详细报告。 Protego 是一款基于 PIC 的导弹控制系统,主要由美国国防承包商之一的雷神公司开发,并疑似于 2014-2015 年投入展开。此外,该系统主要安装在配备导弹发射系统(空对空/空对地)的普惠飞机( PWA )上。 调查显示,维基解密在线发布了 Protego 项目的 4 份机密文件,以及美国微芯科技公司( Microchip Technology Inc )专有硬件/软件手册的 37 份相关文件。调查显示,Protego 系统由独立的微控制器单元组成,且通过加密与认证通道进行数据和信号的转换: Ο 机载 TWA 由 “ 主处理器 ”(MP)与 “ 部署框架 ”(Deployment Box)两部分组成,而这两部分均使用主/从冗余进行分层。 Ο 该导弹系统的本身(“导弹智能交换机”,MSS)、发射管道( “发射管道智能交换机”,TSS)和套环(发射之前托住导弹的物件)均具有微处理器功能。 Ο 只有在主处理器(MP)从信标接受到有效信号 “In Border”、“Valid GPS”、“No End of Operational Period” 后才能启动导弹。 知情人士透露,雷神也曾在此前的 CIA 泄漏文档中提及 Protego 项目,即主要由美国情报机构负责分析各黑客所使用的 TTP 通信协议。此外,Protego 的名字源自《哈利波特》电影中使用的魔法盾,旨在创造一个保护屏障,以快速进行转移。如果是这样,那么这种导弹控制系统的主要目的大概就是防御外部物理攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密在线曝光 CIA 黑客工具 AngelFire:用于感染 Windows 计算机操作系统

据外媒 8 月 31 日报道,维基解密( Wikileaks )近期最新曝光一批 Vault7 文档,旨在揭露美国中央情报局( CIA )使用黑客工具 AngelFire 感染 Windows 计算机操作系统。 AngelFire 是一款恶意软件,主要通过修改 Windows 计算机上的分区引导扇区后植入持久性后门程序。不过,根据维基解密泄露的 CIA 用户手册得知,AngelFire 仅在获取目标系统的管理权限后才能下载安装。调查显示,黑客工具 AngelFire 主要包括以下五大组件: 1、Solartime:该组件主要在目标系统启动时,修改分区引导扇区以加载运行 Wolfcreek(内核代码)。 2、 Wolfcreek:它是一款自加载驱动程序( Solartime 执行的内核代码 ),主要用于加载其他驱动与用户模式应用。 3、Keystone:该组件利用了 DLL 注入技术将恶意应用直接植入系统内存,而并非文件系统。它是 Wolfcreek 植入内容的一部分,其主要负责启动恶意应用程序。 4、BadMFS:它是一款被用作 Wolfcreek 开启驱动与植入程序的储存库 ,其主要在活动分区(或更高版本的磁盘文件)末尾创建隐藏文件系统。另外,所有文件都将被加密与混淆,以避免字符串扫描。 5、Windows Transitory File system:允许 CIA 黑客为特定操作创建临时文件,而并非将其存储在隐藏磁盘中。 研究人员表示,目前 32 位的 AngelFire 工具影响主要影响 Windows XP 与 Windows 7,而 64 位的工具则会影响 Server 2008 R2 与 Windows 7 系统。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ExpressLane 项目:CIA 利用虚假软件升级系统监控合作伙伴

据科技博客 The Verge 于 8 月 25 日报道,维基解密在线公布一份文件,宣称美国中央情报局(CIA)曾秘密创建一个虚假软件更新系统,用于暗中监控情报合作伙伴。然而,来自维基解密的这条消息令任何依赖 CIA 获得技术支持的机构都感到十分不快。 调查显示,这一秘密项目名为 “ ExpressLane ”,最早可追溯至 2009 年。该项目与 CIA 的生物识别系统一道被 CIA 部署给合作机构。理论上来讲,只有经这些合作伙伴同意,CIA才能够访问特定的生物识别数据,但在秘密部署 “ ExpressLane ” 项目后,CIA 能够在合作伙伴不知情下暗中获取相关信息。 据悉,“ ExpressLane ” 被伪装成一款软件升级,由 CIA 技术人员亲自送给合作伙伴。但文件清晰地表明,这个项目本身实质上并未改变系统。相反,该项目能够将系统的数据传输到 U 盘上,仅供 CIA 查询使用,从而查看合作伙伴的系统是否设置障碍。如果合作伙伴拒绝虚假软件更新,那么就会有一个隐藏的 kill 开关启动,让 CIA 有权在一段时间后关闭整个系统,并需要 CIA 技术人员亲自访问帮助恢复系统。 目前,尚不清楚 CIA 的情报合作伙伴涉及哪些公司。维基解密声称,尽管泄露的文件本身并未指出该项目针对的明确目标,但使用该项目的主要对象为美国联邦调查局和国土安全部等机构。由于 CIA 本身没有任何重要的生物识别数据库,因此尚不清楚该机构到底如何处理数据。显然,这是 CIA 利用技术支持手段获取敏感信息的典型例子。 稿源:cnBeta、凤凰网科技,封面源自网络;

维基解密在线曝光 CIA 新黑客工具 CouchPotato:用于远程视频拦截

据外媒报道,维基解密近期在线曝光美国中央情报局( CIA )新黑客工具 CouchPotato,用于拦截 RTSP/H.264 视频流,特别是来自联网摄像头的视频。 调查显示,此次曝光的是首版 CouchPotato 样本,至于 CIA 之后有没有更新版本来解决存在于首版的问题目前还无从求证。知情人士获悉,第一个版本需要占用大量的 CPU 时间,这意味着 CIA 的截获行为极有可能已经被发现。 曝光的文件显示,CouchPotato 可以收集 AVI 格式的视频文件或来自流媒体中的JPG格式图片。在拦截过程中,该工具还利用了视频 ffmpeg、图像编码与解码、RTSP 连接。为了尽可能减小 DLL 二进制的大小,许多音频、视频编解码器以及一些不必要的功能都从 ffmpeg 中移除。此外,图像三列算法 pHash 也被整合到 ffmpeg 的 image2 demuxer 中,这样能够发挥图片更改检测的能力。目前,CouchPotato 难以检测,仅依靠兼容 ICE v3 Fire 和 Collect 的加载器展开运行。 稿源:cnBeta,封面源自网络;

前 CIA 专家揭露:社交媒体成为情报机构当前面临的巨大挑战

在数字时代背景下,社交媒体的出现为情报机构窃取机密信息增加了难度。脸部扫描、生物识别、大数据分析等先进技术在为人类提供极大便利的同时也埋下严重隐患。互联网技术的发展改写数字时代游戏规则已成为不争事实。美国中央情报局( CIA )、英国军情六处( MI6 )或英国秘密情报局( SIS )等情报机构官员均已意识到该问题的严重程度。 前 CIA 局长丹尼尔·霍夫曼(Daniel Hoffman)表示:“ 国家情报机构社交媒体账户已成为敌对势力的重点关注对象。一旦某个情报人员或普通公民被怀疑为有价值的追踪目标,那么该用户的所有社交媒体账户都将被剖析得体无完肤。” 前 CIA 国家秘密行动处副主任马克·凯尔顿(Mark Kelton)感慨:“ Facebook、Twitter、LinkedIn 等社交媒体平台使涉外人员的工作变得愈加复杂。情报人员的社交媒体活动必须与外界报道保持一致。有些情报机构可能正在为未来 10 年即将加入情报机构的官员建立社交媒体档案。无论是谁,只要被怀疑为间谍,都将受到反间谍组织严密监控,相应社交渠道也将受到密切关注。例如,全球反情报官员将通过扫描每个公民的 LinkedIn 等在线资料与某时间段内发生的既成事实进行核对、利用面部识别软件收集嫌疑人在机场出入境安检口提供的身份信息等。任一场网络攻击活动通常始于简单的操作失误,例如监控记录的留存。情报人员需要将各因素考虑周全。” 英国情报机构官员近期就人脸识别、社交网络等先进技术的利弊之争发表评论,指出现代计算机系统加剧了乔装出行的难度。MI6 处长 Alex Younger 于 2016 年 9 月 21 日在华盛顿特区举办的一场安全会议上对美国国家安全局( NSA )工作予以肯定的同时表示:“ 信息革命从根本上改变了我们的作战环境。在未来五年内,世界将会出现两类情报机构。第一类:了解这一事实、成功存活的情报机构;第二类:不了解这一事实、被时代淘汰的情报机构。我断定 MI6 属于前者。” 原作者:Jason Murdock,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密:CIA 任命雷神黑鸟科技公司为远程开发部门提供情报

据外媒报道,维基解密( Wikileaks )近期最新曝光一批 Vault7 文档,旨在揭露美国中央情报局( CIA )任命雷神黑鸟( Raytheon Blackbird )科技公司为远程开发部门( RDB )提供情报,即分析黑客所使用的高级恶意软件与 TTP 通信协议等机密信息。 维基解密泄露文件显示,在 2014 年 11 月至 2015 年 9 月期间,雷声黑鸟科技公司向 CIA 共计提交至少 5 份报告,作为 CIA UMBRAGE Component Library( UCL )项目的其中一部分。UMBRAGE 项目主要包含恶意软件功能模块(例如:键盘记录仪、密码收集器、销毁数据仪、控制权限,以及反杀毒软件等),其目的是为隐藏攻击手段,规避安全软件检测。 2017 年 7 月 19 日,维基解密在线公布雷神黑鸟科技公司为 CIA UCL 项目提供的情报文件,其文件多数包含恶意软件攻击载体的概念验证 PoC 与评估,部分成果基于安全研究人员与计算机安全领域的私营企业公开发布的文档。据悉,雷神黑鸟科技公司作为 CIA 远程开发部门的 “ 技术侦察员 ” 分析黑客使用的恶意软件并提出进一步调查与 PoC 开发建议,用于研发更为高级的恶意软件项目。以下是雷神黑鸟科技公司提供的报告信息。 报告 1:HTTPBrowser 远程访问工具新变种 雷神黑鸟科技公司研究人员详细介绍了一款由 APT 组织 Emissary Panda 使用的 HTTPBrowser 远程访问工具新变种。据悉,这一新变种于 2015 年 3 月建立,并通过未知初始攻击载体进行部署。 报告 2:NfLog 远程访问工具新变种 报告详细介绍了 NfLog 远程访问工具新变种,也被称为 “ IsSpace ”,由 APT 组织 SAMURAI PANDA 用于网络间谍活动。此外,报告不仅指出 IsSpace 利用 Hacking Team 开发的 Adobe Flash 漏洞( CVE-2015-5122 )开展攻击活动,还表明该变体通过 Google App Engine (GAE)托管并与 C2 服务器进行代理通信。 报告3:Regin 间谍工具 这份报告是对 2014 年首次发现的间谍工具 Regin 进行高级分析。据称,Regin 网络间谍工具由美国国家安全局情报机构开发,是一款极其复杂的恶意软件样本。迹象表明,该恶意软件早在 2008 年就已开始使用,但多数人认为,当前的 Regin 迭代可追溯到 2013 年。Regin 似乎专注于目标监视与数据收集。其模块化体系结构提供了高度灵活性的攻击能力。而隐蔽性则是 Regin 另一个令人印象深刻的特性,能够规避检测。 报告 4:HammerToss 恶意软件 这份报告详细描述了 2015 年初发现的恶意软件 HammerToss。研究人员表示,这是俄罗斯黑客开发的恶意代码,自 2014 年底以来一直运行。HammerToss 还是一款极其有趣的恶意软件,因为它的架构可以利用 Twitter 账户、GitHub 账户、受攻击的网站与云存储攻击指挥与控制(C2)服务器。 报告 5:Gamker 木马 这个文档详细描述了自编码的注入与 API 连接方法,以致窃取敏感信息。2015 年 8 月,Virus Bulletin 发布三页报告,其中包含 Gamker 木马技术详细信息。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密最新曝光:CIA 曾植入多款恶意工具窃取 Windows 与 Linux 操作系统 SSH 凭证

据外媒 7 月 6 日报道,维基解密( Wikileaks )最新曝光一批 Vault7 文档,揭露了美国中央情报局( CIA )恶意植入工具 BothanSpy 与 Gyrfalcon 如何通过多种攻击向量窃取 Windows 和 Linux 操作系统 SSH 凭据。 两款恶意植入均可窃取所有活跃 SSH 会话登录凭据并发送回 CIA 网络间谍系统,但区别在于: 第一款恶意植入工具 BothanSpy 主要针对 Microsoft Windows Xshell 客户端。而作为目标机器上的 Shellterm 3.x 扩展安装,只有当 Xshell 以有效活跃会话运行在目标机器的情况下才会起到作用。此外,为了将 BothanSpy 用于运行 x64 版本的 Windows 目标系统,加载程序必须支持 Wow64 注入。与此同时,Xshell 只能作为 x86 二进制文件,因此 BothanSpy 仅被编译为 x86 版本。 Xshell 是支持 SSH、SFTP、TELNET、RLOGIN 与 SERIAL 的终端仿真器,用于提供业界领先功能,包括标签环境、动态端口转发、自定义键映射、用户定义按钮、VB 脚本以及用于显示 2 个字符与国际语言支持的 UNICODE 终端。 第二款恶意植入工具 Gyrfalcon 针对包括 CentOS、Debian、RHEL(Red Hat)、openSUSE 与 Ubuntu 在内各种 Linux 版本的 OpenSSH 客户端。一旦成功植入 Linux 系统( 32 或 64 位内核 ),CIA 黑客即可使用自定义恶意软件 JQC / KitV rootkit 进行持久访问。Gyrfalcon 收集完整或部分 OpenSSH 会话流量,并将被盗信息存储至本地加密文件用于后续渗透。 Gyrfalcon 还是一款 SSH 会话 “共享” 工具,可在运行目标主机的出站 OpenSSH 会话中进行操控,以记录 SSH 会话(包括登录凭据)并代表远程主机合法用户执行命令。获悉,该工具以自动化方式运行,需提前配置。一段时间后,黑客会返回并要求 Gyrfalcon 将所收集的全部信息复制到磁盘中,以便日后对数据进行检索、解密与分析。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密公布 CIA 用于攻击 Linux 系统的恶意软件 OutlawCountry

据外媒 1 日消息,维基解密最新发布了一批秘密文档,详细介绍了 CIA 黑客工具 “OutlawCountry”,可被用于远程监控运行 Linux 操作系统的计算机,能够将目标计算机上的所有出站网络流量重定向到 CIA 控制系统以进行渗透。 消息显示, OutlawCountry 黑客工具由 Linux 2.6 内核模块组成,CIA 黑客可通过 shell 访问目标系统进行加载。这一工具的主要限制在于内核模块只与兼容的 Linux 内核一起工作: (S // NF)目标必须运行兼容的 64 位版本的 CentOS / RHEL 6.x (内核版本2.6.32)。 (S // NF)操作员必须具有对目标的 shell 访问权限。 (S // NF)目标必须有一个 “nat” Netfilter表 该模块允许在目标 Linux 用户上创建一个隐藏名称的隐藏 Netfilter 表。 如下图,CIA 操作员在目标设备(TARG_1)上加载 OutlawCountry,然后他可以添加隐藏的 iptables 规则来修改 WEST 和 EAST 之间的网络流量。例如,本该从 WEST_2 路由到 EAST_3 的数据包可能被重定向到 EAST_4 。 本次泄露内容不包括攻击者在目标 Linux 操作系统中注入内核模块方式的相关信息。网络间谍组织为达到目的很有可能会利用多种黑客工具、漏洞,或其他网络武器库达到破坏目标 Linux 操作系统的目的。 更多详细信息可访问 维基解密 官网。  原作者:Pierluigi Paganini,译者:FOX。封面源自网络。

维基解密:CIA 恶意软件定位 Windows 用户

维基解密网站最新报告揭示了 CIA 自 2013 年以来针对 Windows 电脑使用的一种新形式的恶意软件,这一次这种软件不会危及系统,而是在几秒钟内确定用户的位置。该工具被称为 ELSA,它主要是为 Windows 7 开发的,但它可以被用于任何版本的 Windows,包括 Windows 10,尽管在这种情况下,因为微软的安全性改进,需要进行一些额外的调整。 ELSA 做的是感染 Wi-Fi 功能的网络,然后使用无线模块来寻找可用范围内的公共 Wi-Fi 点。恶意软件记录每个网络的 MAC 地址,然后在 Microsoft 和 Google 维护的公共数据库中查找信息。这些数据库主要让用户的许多设备可以访问互联网,但是中情局查找这些数据库的目的显然不同。 一旦确定了公共 Wi-Fi 的位置,恶意软件分析用户信号的强度,然后计算用户的可能坐标。信息被加密并发送到 FBI,存储在服务器上,相关特工可以将其提取并将其保存在特定文件中。 最重要的是,ELSA 要求中情局已经控制目标系统,但这不应该是一个问题,因为该机构据报道有其他形式的恶意软件可以利用 Windows 中的未知漏洞控制目标系统。因此,由于中情局已经完全控制了 Windows 系统,确定位置并不是最糟糕的事情,因为该机构也可以窃取目前电脑上的文件,并且可以作许多其它事情。 就像过去发生的一样,ELSA 有可能在某些时候泄漏,并可供黑客使用,再次让 Windows 用户遭遇额外威胁。我们已经向 Microsoft 了解他们如何计划解决这个漏洞。 稿源:cnBeta,封面源自网络