Vault 7系列“阴影”项目曝光：雷神公司暗中为CIA提供恶意程序分析

本周三（7 月 19 日），维基解密照例披露了 CIA Vault 7 系列文件，不过与以往直接披露的工具有所不同，这次主要披露的是 CIA 的“阴影”（UMBRAGE）项目以及 在项目中 CIA 承包商 Raytheon Blackbird Technologies 作出的详细恶意程序分析报告。

Raytheon Blackbird Technologies 的前身是美国大型国防合约商 Raytheon（雷神公司）。Raytheon 于 2014 年 11 月收购了网络安全公司 Blackbird Technologies，并成立Raytheon Blackbird Technologies，专注于分析高级恶意软件和 TTPs（即 Tactics、Techniques、Procedures，主要指网络攻击的策略、技术与过程） 。根据约定，这家公司向 CIA 提供已经发现的一些的恶意软件分析报告。文档显示，2014 年 11 月到 2015 年 9 月期间，Raytheon Blackbird Technologies 至少向 CIA 提交了五份报告，这些分析报告都是 CIA UMBRAGE（阴影）项目的一部分。

之前维基解密所泄露的 Vault 7 相关数据表明，CIA 的 UMBRAGE 小组专门执行 false flag 行动 （假旗行动：是隐蔽行动的一种，指通过使用其他组织的旗帜、制服等手段误导公众以为该行动由其他组织所执行的行动），进而隐藏攻击手段，对抗调查取证。CIA 有个远程设备组( Remote Devices Branch )，这个小组维护一个网络攻击模式库，该模式库搜集、总结了之前使用过的攻击方式和技术，例如 Hacking Team 事件中泄露的代码和俄罗斯使用的技术。拥有了庞大数量的模式库之后，新发起网络攻击时，就可以采取模仿，混淆等多种战术，达到迷惑敌人，隐藏自己的目的。

UMBRAGE 项目就由该小组进行维护，项目中收录了多种恶意软件攻击技术，例如：键盘记录、密码收集、网络摄像头捕获与控制、数据销毁、持久性感染、提权、隐蔽攻击、反杀毒软件等等。

2017 年 7 月 19 日，维基解密公布 CIA 关于“阴影恶意软件功能模块库”项目的文档，文档来自 CIA 承包商 Raytheon Blackbird Technologies ，从 2014 年 11 月 21 日（就在Raytheon Blackbird Technologies 公司成立后的第三周）起开始提交并更新，到 2015 年 9 月 11 日才停止。这些文档主要涉及 PoC 验证、恶意软件攻击向量评估等，其中一部分参考资料来自一些安全公司或安全研究员所发布的关于网络攻击的公开分析文档。 Raytheon Blackbird Technologies 在 CIA 的远程设备组中充当“技术侦查员”，分析已被发现的恶意攻击，并就 CIA 自身恶意软件的进一步利用和 PoC 开发提供建议。

当然，该公司的专家也会向自家公司提供 PoC 想法和恶意软件攻击向量。这些专家认为，CIA 委托承包商搜集恶意软件信息并提交给远程设备小组，主要是为了协助该小组开发、提升 CIA 自己的网络攻击技术。

Raytheon 提交给 CIA 的五份报告简介：

报告 1

在这份报告中， Raytheon 的研究员详细分析并记录了 HTTPBrowser RAT 变种，黑客组织“熊猫使者”（PANDA EMISSARY） 曾利用这个 RAT 工具发起攻击。新的变种出现于 2015 年 3 月，通过未知的初始攻击向量展开攻击，主要目的是捕捉、搜集击键记录。

报告 2

这份报告详细说明了SAMURAI PANDA APT 组织所利用的 NfLog RAT（也叫 IsSpace ） 的新变种。这个变种使用了 Hacking Team 的 Flash 0-day exploit，该 exploit 利用 CVE-2015-5122 漏洞，并结合 UAC 绕过技术，可以嗅探或枚举代理凭证，进而绕过 Windows 防火墙。同时，这个变种还利用 Google App Engine 进行 C2 服务器代理通信。

报告 3

这份报告是针对间谍工具 “Regin” 的深度分析。Regin 最初于 2013 年发现，主要用于监控和数据搜集，据说比 Stuxnet 和 Duqu 更加复杂。有人认为，Regin 是 NSA 情报机构自己开发的间谍工具。

研究人员最早于 2013 年检测到 Regin 的活动，但数据显示，早在 2008 年 Regin 就已经很活跃了。不过，大多数人默认目前版本的 Regin 起源于 2013 年。Regin 的模块架构很有特色，具有高度灵活性，让操作者进行针对特定个人的监控（定制化特点）。此外，Regin 隐蔽性好，时间持久，有一部分攻击功能仅通过常驻内存（memory resident）实现。

报告 4

这份报告详细分析了 2015 年年初发现的一款 “HammerToss” 恶意软件。据称，“HammerToss” 是俄罗斯政府支持的黑客所开发的恶意程序，自 2014 年年末就开始活动。

“HammerToss” 的有趣之处在于它的架构。它可以利用 Twitter 账号、Github 账号、被入侵的网站、基本隐写术以及云储存功能等实现 C2 通讯，进而在被攻击的目标系统中执行命令。

报告 5

这份报告详细分析了信息窃取木马 “Gamker”。

“Gamker” 利用自我编码注入和 API hooking 的方式实现攻击。2015 年 8 月，Virus Bulletin 公司针对 “Gamker” 给出了长达三页的详细技术分析，与其他厂商给出的 30 多页的分析相比，这三页的分析反而更有技术含量。可推荐继续关注 Virus Bulletin，关注他们的更多报告。

以下是维基解密披露 Vault 7 系列文档的时间线，详细报道可以点击关键词超链接进行阅读：

ᗙ HighRise - 拦截 SMS 消息并重定向至远程 CIA 服务器的安卓恶意程序（2017.7.13） ᗙ BothanSpy & Gyrfalcon - 窃取 SSH 登录凭证的工具（2017.7.6） ᗙ OutlawCountry - 入侵 Linux 系统的工具（2017.6.30） ᗙ ELSA - 可以对 Windows 用户实施定位的恶意软件（2017.6.28） ᗙ Brutal Kangaroo - 入侵隔离网络的工具（2017.6.22） ᗙ CherryBlossom - 入侵 SOHO 无线路由器的工具（2017.6.15） ᗙ Pandemic - 用恶意程序代替合法文件的工具（2017.6.1） ᗙ Athena - 与某美国公司共同开发的恶意软件框架（2017.5.19） ᗙ AfterMidnight and Assassin —— Windows 恶意软件框架（2017.5.12） ᗙ Archimedes —— 实施中间人攻击的工具（2017.5.5） ᗙ Scribble —— Office 文档追踪工具（2017.4.28） ᗙ Weeping Angel ——入侵 Samsung 智能电视的工具（2017.4.21） ᗙ HIVE—— 多平台入侵植入和管理控制工具（2017.4.14） ᗙ Grasshopper —— Windows 恶意软件生成器(2017.4.7) ᗙ Marble Framework —— 秘密反监识框架（2017.3.31） ᗙ Dark Matter —— 入侵 iPhone 和 Mac 的工具（2017.3.23）