在数字时代背景下，社交媒体的出现为情报机构窃取机密信息增加了难度。脸部扫描、生物识别、大数据分析等先进技术在为人类提供极大便利的同时也埋下严重隐患。互联网技术的发展改写数字时代游戏规则已成为不争事实。美国中央情报局（ CIA ）、英国军情六处（ MI6 ）或英国秘密情报局（ SIS ）等情报机构官员均已意识到该问题的严重程度。 前 CIA 局长丹尼尔·霍夫曼（Daniel Hoffman）表示：“ 国家情报机构社交媒体账户已成为敌对势力的重点关注对象。一旦某个情报人员或普通公民被怀疑为有价值的追踪目标，那么该用户的所有社交媒体账户都将被剖析得体无完肤。” 前 CIA 国家秘密行动处副主任马克·凯尔顿（Mark Kelton）感慨：“ Facebook、Twitter、LinkedIn 等社交媒体平台使涉外人员的工作变得愈加复杂。情报人员的社交媒体活动必须与外界报道保持一致。有些情报机构可能正在为未来 10 年即将加入情报机构的官员建立社交媒体档案。无论是谁，只要被怀疑为间谍，都将受到反间谍组织严密监控，相应社交渠道也将受到密切关注。例如，全球反情报官员将通过扫描每个公民的 LinkedIn 等在线资料与某时间段内发生的既成事实进行核对、利用面部识别软件收集嫌疑人在机场出入境安检口提供的身份信息等。任一场网络攻击活动通常始于简单的操作失误，例如监控记录的留存。情报人员需要将各因素考虑周全。” 英国情报机构官员近期就人脸识别、社交网络等先进技术的利弊之争发表评论，指出现代计算机系统加剧了乔装出行的难度。MI6 处长 Alex Younger 于 2016 年 9 月 21 日在华盛顿特区举办的一场安全会议上对美国国家安全局（ NSA ）工作予以肯定的同时表示：“ 信息革命从根本上改变了我们的作战环境。在未来五年内，世界将会出现两类情报机构。第一类：了解这一事实、成功存活的情报机构；第二类：不了解这一事实、被时代淘汰的情报机构。我断定 MI6 属于前者。” 原作者：Jason Murdock，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，维基解密（ Wikileaks ）近期最新曝光一批 Vault7 文档，旨在揭露美国中央情报局（ CIA ）任命雷神黑鸟（ Raytheon Blackbird ）科技公司为远程开发部门（ RDB ）提供情报，即分析黑客所使用的高级恶意软件与 TTP 通信协议等机密信息。 维基解密泄露文件显示，在 2014 年 11 月至 2015 年 9 月期间，雷声黑鸟科技公司向 CIA 共计提交至少 5 份报告，作为 CIA UMBRAGE Component Library（ UCL ）项目的其中一部分。UMBRAGE 项目主要包含恶意软件功能模块（例如：键盘记录仪、密码收集器、销毁数据仪、控制权限，以及反杀毒软件等），其目的是为隐藏攻击手段，规避安全软件检测。 2017 年 7 月 19 日，维基解密在线公布雷神黑鸟科技公司为 CIA UCL 项目提供的情报文件，其文件多数包含恶意软件攻击载体的概念验证 PoC 与评估，部分成果基于安全研究人员与计算机安全领域的私营企业公开发布的文档。据悉，雷神黑鸟科技公司作为 CIA 远程开发部门的 “ 技术侦察员 ” 分析黑客使用的恶意软件并提出进一步调查与 PoC 开发建议，用于研发更为高级的恶意软件项目。以下是雷神黑鸟科技公司提供的报告信息。 报告 1：HTTPBrowser 远程访问工具新变种 雷神黑鸟科技公司研究人员详细介绍了一款由 APT 组织 Emissary Panda 使用的 HTTPBrowser 远程访问工具新变种。据悉，这一新变种于 2015 年 3 月建立，并通过未知初始攻击载体进行部署。 报告 2：NfLog 远程访问工具新变种 报告详细介绍了 NfLog 远程访问工具新变种，也被称为 “ IsSpace ”，由 APT 组织 SAMURAI PANDA 用于网络间谍活动。此外，报告不仅指出 IsSpace 利用 Hacking Team 开发的 Adobe Flash 漏洞（ CVE-2015-5122 ）开展攻击活动，还表明该变体通过 Google App Engine （GAE）托管并与 C2 服务器进行代理通信。 报告3：Regin 间谍工具 这份报告是对 2014 年首次发现的间谍工具 Regin 进行高级分析。据称，Regin 网络间谍工具由美国国家安全局情报机构开发，是一款极其复杂的恶意软件样本。迹象表明，该恶意软件早在 2008 年就已开始使用，但多数人认为，当前的 Regin 迭代可追溯到 2013 年。Regin 似乎专注于目标监视与数据收集。其模块化体系结构提供了高度灵活性的攻击能力。而隐蔽性则是 Regin 另一个令人印象深刻的特性，能够规避检测。 报告 4：HammerToss 恶意软件 这份报告详细描述了 2015 年初发现的恶意软件 HammerToss。研究人员表示，这是俄罗斯黑客开发的恶意代码，自 2014 年底以来一直运行。HammerToss 还是一款极其有趣的恶意软件，因为它的架构可以利用 Twitter 账户、GitHub 账户、受攻击的网站与云存储攻击指挥与控制（C2）服务器。 报告 5：Gamker 木马 这个文档详细描述了自编码的注入与 API 连接方法，以致窃取敏感信息。2015 年 8 月，Virus Bulletin 发布三页报告，其中包含 Gamker 木马技术详细信息。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 6 日报道，维基解密（ Wikileaks ）最新曝光一批 Vault7 文档，揭露了美国中央情报局（ CIA ）恶意植入工具 BothanSpy 与 Gyrfalcon 如何通过多种攻击向量窃取 Windows 和 Linux 操作系统 SSH 凭据。 两款恶意植入均可窃取所有活跃 SSH 会话登录凭据并发送回 CIA 网络间谍系统，但区别在于： 第一款恶意植入工具 BothanSpy 主要针对 Microsoft Windows Xshell 客户端。而作为目标机器上的 Shellterm 3.x 扩展安装，只有当 Xshell 以有效活跃会话运行在目标机器的情况下才会起到作用。此外，为了将 BothanSpy 用于运行 x64 版本的 Windows 目标系统，加载程序必须支持 Wow64 注入。与此同时，Xshell 只能作为 x86 二进制文件，因此 BothanSpy 仅被编译为 x86 版本。 Xshell 是支持 SSH、SFTP、TELNET、RLOGIN 与 SERIAL 的终端仿真器，用于提供业界领先功能，包括标签环境、动态端口转发、自定义键映射、用户定义按钮、VB 脚本以及用于显示 2 个字符与国际语言支持的 UNICODE 终端。 第二款恶意植入工具 Gyrfalcon 针对包括 CentOS、Debian、RHEL（Red Hat）、openSUSE 与 Ubuntu 在内各种 Linux 版本的 OpenSSH 客户端。一旦成功植入 Linux 系统（ 32 或 64 位内核 ），CIA 黑客即可使用自定义恶意软件 JQC / KitV rootkit 进行持久访问。Gyrfalcon 收集完整或部分 OpenSSH 会话流量，并将被盗信息存储至本地加密文件用于后续渗透。 Gyrfalcon 还是一款 SSH 会话 “共享” 工具，可在运行目标主机的出站 OpenSSH 会话中进行操控，以记录 SSH 会话（包括登录凭据）并代表远程主机合法用户执行命令。获悉，该工具以自动化方式运行，需提前配置。一段时间后，黑客会返回并要求 Gyrfalcon 将所收集的全部信息复制到磁盘中，以便日后对数据进行检索、解密与分析。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 1 日消息，维基解密最新发布了一批秘密文档，详细介绍了 CIA 黑客工具 “OutlawCountry”，可被用于远程监控运行 Linux 操作系统的计算机，能够将目标计算机上的所有出站网络流量重定向到 CIA 控制系统以进行渗透。 消息显示， OutlawCountry 黑客工具由 Linux 2.6 内核模块组成，CIA 黑客可通过 shell 访问目标系统进行加载。这一工具的主要限制在于内核模块只与兼容的 Linux 内核一起工作： （S // NF）目标必须运行兼容的 64 位版本的 CentOS / RHEL 6.x （内核版本2.6.32）。 （S // NF）操作员必须具有对目标的 shell 访问权限。 （S // NF）目标必须有一个 “nat” Netfilter表 该模块允许在目标 Linux 用户上创建一个隐藏名称的隐藏 Netfilter 表。 如下图，CIA 操作员在目标设备（TARG_1）上加载 OutlawCountry，然后他可以添加隐藏的 iptables 规则来修改 WEST 和 EAST 之间的网络流量。例如，本该从 WEST_2 路由到 EAST_3 的数据包可能被重定向到 EAST_4 。 本次泄露内容不包括攻击者在目标 Linux 操作系统中注入内核模块方式的相关信息。网络间谍组织为达到目的很有可能会利用多种黑客工具、漏洞，或其他网络武器库达到破坏目标 Linux 操作系统的目的。 更多详细信息可访问 维基解密 官网。  原作者：Pierluigi Paganini，译者：FOX。封面源自网络。

维基解密网站最新报告揭示了 CIA 自 2013 年以来针对 Windows 电脑使用的一种新形式的恶意软件，这一次这种软件不会危及系统，而是在几秒钟内确定用户的位置。该工具被称为 ELSA，它主要是为 Windows 7 开发的，但它可以被用于任何版本的 Windows，包括 Windows 10，尽管在这种情况下，因为微软的安全性改进，需要进行一些额外的调整。 ELSA 做的是感染 Wi-Fi 功能的网络，然后使用无线模块来寻找可用范围内的公共 Wi-Fi 点。恶意软件记录每个网络的 MAC 地址，然后在 Microsoft 和 Google 维护的公共数据库中查找信息。这些数据库主要让用户的许多设备可以访问互联网，但是中情局查找这些数据库的目的显然不同。 一旦确定了公共 Wi-Fi 的位置，恶意软件分析用户信号的强度，然后计算用户的可能坐标。信息被加密并发送到 FBI，存储在服务器上，相关特工可以将其提取并将其保存在特定文件中。 最重要的是，ELSA 要求中情局已经控制目标系统，但这不应该是一个问题，因为该机构据报道有其他形式的恶意软件可以利用 Windows 中的未知漏洞控制目标系统。因此，由于中情局已经完全控制了 Windows 系统，确定位置并不是最糟糕的事情，因为该机构也可以窃取目前电脑上的文件，并且可以作许多其它事情。 就像过去发生的一样，ELSA 有可能在某些时候泄漏，并可供黑客使用，再次让 Windows 用户遭遇额外威胁。我们已经向 Microsoft 了解他们如何计划解决这个漏洞。 稿源：cnBeta，封面源自网络

据外媒 6 月 22 日报道，维基解密（ Wikileaks ）近期再度曝光一批新 Vault7 文档，旨在揭示美国中央情报局（ CIA ）使用勒索软件工具 “野蛮袋鼠” （Brutal Kangaroo ）监控 Microsoft Windows 操作系统、远程访问处于安全隔离状态的网络设备。 Brutal Kangaroo 是一款用于监控 Windows 系统的工具组件，其主要通过使用闪存盘的 Air-Gapped 侵入封闭网络。此外，Brutal Kangaroo 组件在封闭目标网络中将会创建一个自定义私密网络空间，并提供执行调查、目录列表与任意可执行文件的功能。而 Air-Gapped 主要是在高安全性的环境与关键基础设施中实现网络隔离。 据悉，维基解密在线发布了 2012 年 Brutal Kangaroo v1.2.1 版本文档。调查显示，旧版本的 Brutal Kangaroo 代号为 EZCheese。目前，它正利用 2015 年 3 月发现的漏洞展开攻击活动。 分析显示，CIA 可利用该工具组件渗透组织或企业内部的封闭网络，即无需直接访问，就可开始感染组织内的联网机器。当用户将 U 盘插入受感染机器时，闪存盘本身会感染一种单独的恶意软件 Drifting Deadline，并允许在封闭网络内肆意传播至其他受害设备中。如果该储存装置用于封闭网络或 LAN / WAN 之间复制数据，用户迟早会将拔下的 USB 插入封闭网络上的计算机中。随后，通过使用 Windows 资源管理器浏览 USB 驱动器的网络隔离计算机设备，终将会感染该恶意软件。 此外，当恶意软件在封闭网络中传播时，多台受感染计算机将处于 CIA 的操控下，组成 一个可协调攻击者活动与数据交换的私密网络。尽管该份文档中并未明确说明具体细节，但这种破坏封闭网络的方法与黑客组织 Stuxnet 的攻击方式极其相似。 Brutal Kangaroo 工具组件由以下几部分组成： Drifting Deadline：用于感染闪存盘的恶意工具 Shattered Assurance：一款处理闪存盘自动感染的服务器工具 Broken Promise：Brutal Kangaroo 后置处理器，用于分析收集到的信息 Shadow：主要存留机制（第二阶段工具，分布在封闭网络中，充当隐蔽指挥控制网络;一旦安装多个 Shadow 并共享驱动器、任务与负载将可以来回互相发送信息）   原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，路由器几乎是每一个网络的前门，除了提供访问入口，它还能为阻止远程网络攻击提供一定的安全保护作用。所以，如果路由器沦陷，那么也就意味着攻击者可以看到用户在网上做的每一个动作。根据维基解密最新曝光的文件显示，CIA 就拥有能够做到这点的工具。 根据文件描述了解到，CIA 一个叫做 Cherry Blossom 的项目可以通过一个修改过的给定路由器固件将路由器变成一个监控工具。一旦部署成功，Cherry Blossom 就能让在被攻击者的网络上展开远程代理监控、扫描诸如密码的实用信息甚至还能重定向被攻击者想要访问的网站。 获悉，维基解密曝光的文件来源于 2012 年 8 月，所以现在并不清楚 CIA 在这 5 年间是否有升级过 Cherry Blossom ，或许它已经停止使用。另外，从曝光的文件了解到，Cherry Blossom 对来自华硕、贝尔金、Buffalo、戴尔、DLink、Linksys、摩托罗拉、Negear、Senao、US Robotics 这 10 家厂商的近 25 种不同的设备都有效。 此外，文件还提到，CIA 通过 Claymore 工具或一个供应链操作将 Cherry Blossom 固件植入到无线设备中。“ 供应链操作 ” 很有可能指的是在工厂和用户之间拦截设备，这是间谍活动的常用手段。目前并不清楚该固件植入的使用范围有多广，不过文件指出该类型攻击只针对特定目标发起，而非大规模监控。 稿源：cnBeta，封面源自网络

美国《 纽约时报 》20 日爆出惊人消息：自 2010 年起，中国捣毁了美国中央情报局（ CIA ）一个在华间谍网，令其遭受数十年来最大损失之一。 《 纽约时报 》称，从 2010 年末起，CIA 隐藏在中国政府内部的多名线人逐步失联。报道称，美国情报系统不能断定失败原因是 CIA 内部有人 “ 背叛了美国 ” ，还是中国成功 “ 黑 ” 入 CIA 与外国线人的联络系统。调查者对失败原因的看法分歧严重，至今也未能最终确定。 《 纽约时报 》的猛料迅速在西方媒体流传，英国广播公司（ BBC ）、《 卫报 》等纷纷对 “ 中美谍战 ” 跟进报道。《 纽约时报 》称，大量线人消失破坏了美国花数年建立起的情报网络，也损害了之后的相关行动，甚至还引发当时奥巴马政府对于情报工作放缓原因的质疑。美国官员表示，这一事件是美国近年来最糟糕的安全漏洞。 稿源：新闻中心，封面源自网络

据外媒报道，继美国中央情报局（ CIA ） 勒索软件工具 AfterMidnight 与 Assassin 在线曝光后，维基解密再度泄露其间谍软件 Athena 文档，旨在揭示  CIA 可感染并远程监控所有 Windows 版本用户系统。 微软于 2015 年 7 月发布 Windows 10 系统，而间谍软件 Athena 最早可追溯至 2015 年 8 月，由开发人员采用 Python 程序编写。 间谍软件 Athena 是 CIA 开发人员与网络安全公司 Siege Technologies 共同合作的结果，具备实时修改目标系统配置并可制定特殊操作的功能。维基解密声称，用户一旦下载安装恶意软件 Athena 后，系统将自动加载执行特定任务的恶意 payloads、传送和检索指定目录的文件内容。 目前，虽然维基解密并未提供有关 CIA 使用间谍软件 Athena 开展监控活动的任何细节，但不难想象 CIA 会如何使用此程序监视目标系统。 原作者： Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 15 日报道，维基解密再度曝光两份 Vault7 文档，揭示美国中央情报局（ CIA ）使用恶意软件 AfterMidnight 、 Assassin 后门功能操控与监视 Microsoft Windows 系统设备。 恶意软件 AfterMidnight 允许黑客在目标系统中动态加载与执行恶意 payload。其主要 payload 被伪装成系统自身的动态链接库 ( DLL ) 文件并进行 “ Gremlins ”操作，以便黑客摧毁目标软件、收集信息或为其他 “ Gremlins ” 提供内部服务。此外，恶意软件 AfterMidnight 基于 HTTPS 的 Listening Post（ LP ）服务会检查所有预设计划和执行情况，每次接收新任务后，AfterMidnight 都会下载系统组件并存储于内存之中。 Assassin 则是一个自动化植入软件，为远程运行 Microsoft Windows 操作系统的计算机提供简单的数据收集平台。一旦工具安装在目标系统中，Assassin 将在 Windows 服务过程中运行并定期返回数据。此外，Assassin C2（指挥与控制）和 LP （听力后勤）子系统能够相互配合以便 CIA 通过受感染系统执行特定任务。 原作者： Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接