Vault 7 CIAハッキングツール

Wiki

以下 WikiLeaks 記事抜粋



Google翻訳

今日、2017年3月7日火曜日、WikiLeaksは、米国中央情報局(CIA)の新しい一連のリークを開始する。WikiLeaksのコードネーム「Vault 7」は、代理店に関する機密文書の最大の出版物です。

一連の最初の完全版「Year Zero」は、VirginaのLangley にあるCIAのサイバー・インテリジェンス・センター内にある、隔離された高セキュリティ・ネットワークからの8,761の文書とファイルで構成されてい ます。これは先月、 CIAが2012年の大統領選挙までのフランス政党と候補者を対象としたものである。

最近、CIAは、マルウェア、ウィルス、トロイの木馬、武器化された「ゼロデイ」攻撃、マルウェアのリモートコントロールシステム、および関連する文書を含む、ハッキングの大部分のコントロールを失った。数千億行以上に及ぶこの特別コレクションは、その所有者にCIAの全ハッキング容量を与えます。このアーカイブは、米国政府のハッカーや請負業者に無許可で配布されたようで、そのうちの1人はアーカイブの一部をWikiLeaksに提供していたようだ。

CIAの世界的な隠密ハッキングプログラムのスコープと方向性、マルウェアの脅威、数多くの米国やヨーロッパの企業製品に対する「ゼロデイ」の武器による攻撃を紹介しています.AppleのiPhone、GoogleのAndroid、MicrosoftのWindows、サムスンのテレビでさえ、秘密のマイクに変わります。

2001年以来、CIAは米国家安全保障局(NSA)に対して政治的かつ予算上の優位性を得ている。CIAは、現在知られていない無人機だけでなく、非常に異なる種類の秘密の世界的勢力 - それ自身の実質的なハッカーの艦隊を構築しています。政府機関のハッキング部門は、NSAのハッキング能力を引き出すために、しばしば論争の多い業務をNSA(主要官僚的ライバル)に開示しなくて済むようにした。

2016年末までに、サイバーインテリジェンスセンター (CCI)に正式に認定されたCIAのハッキング部門は5000人を超える登録ユーザーを抱え、1,000を超えるハッキングシステム、トロイの木馬、ウイルス、その他の「武器を利用した」マルウェア。これは、CIAが2016年までにFacebookの運営に使用されているコードよりも多くのコードを利用していたということです。事実上、CIAは「独自のNSA」を作り出した

WikiLeaksの声明では、CIAのハッキング能力が委任された権限を超えているかどうか、また代理店の一般的な監督の問題を含む、緊急に一般に議論される必要がある、情報源は、サイバー武器の安全、創造、使用、拡散、民主的統制についての公開討論を開始したい。

1つのサイバー「武器」が「緩んでいる」と、ライバル国、サイバーマフィア、10代のハッカーの両方に使用されるように、世界中に広がることがあります。

Julian Assange氏は、WikiLeaksの編集者は、「サイバー兵器の開発には非常に大きな増殖リスクがある」と述べ、そのような「武器」の無制限の拡散と、世界の武器市場は取引されていますが、「年次ゼロ」の意義は、サイバーウォールとサイバーピースの選択をはるかに超えています。

Wikileaksは、CIAのプログラムの技術的および政治的性質と、そのような「兵器」の分析、武装解除、公開方法についてコンセンサスが出てくるまで、「武装した」サイバーウェポンの配布を避けながら、「Year Zero」の開示を慎重にレビューし、 。

また、Wikileaksは深度分析のために「Year Zero」に識別情報を書き直し、匿名化することを決めました。これらの改革には、ラテンアメリカ、ヨーロッパ、米国のCIAの標的と攻撃機が数十万個含まれています。選択したアプローチの不完全な結果を認識していますが、私たちは引き続きパブリッシュモデルを念頭に置いており、「Vault 7」パート1(「Year Zero」)で公開されたページの数は既に公開されたページの総数エドワード・スノーデンNSAの最初の3年間は漏れています。

分析

CIAのマルウェアはiPhone、Android、スマートテレビをターゲットにしています

CIAマルウェアやハッキングツールは、CIAのDDI(デジタルイノベーション部)所属部門であるCCI(サイバーインテリジェンスセンター)のソフトウェア開発グループであるEDG(エンジニアリング開発グループ)によって構築されています。DDIは、CIAの5つの主要な取締役の1つです(詳細は、CIAのこの 組織図を参照してください)。

EDGは、CIAが世界中の隠密業務で使用しているすべてのバックドア、悪用、悪質なペイロード、トロイの木馬、ウイルス、その他の種類のマルウェアの開発、テスト、運用サポートを担当しています。

監視技法の高度化はジョージ・オーウェルの1984年と比較しているが、スマートTVに感染したCIAのエンベデッド・デバイス・ブランチ(EDB)によって開発されたウィーピング・エンジェルは、 それを秘密のマイクに変えている。

サムスンのスマートテレビに対する攻撃は、英国のMI5 / BTSSと共同で開発されました。侵入後、Weeping AngelはターゲットTVを「フェイクオフ」モードにして、所有者がテレビがオンになっていると誤って信じるようにします。「フェイクオフ」モードでは、テレビはバグとして動作し、部屋の会話を録音し、インターネット経由で秘密のCIAサーバに送信します。

2014年10月現在、CIAは 近代的な自動車やトラックで使用される車両制御システムに感染することも検討していました。このような管理の目的は明記されていないが、CIAがほとんど検出不能な暗殺に関与することを許可する。

CIAのモバイルデバイス支店(MDB) は、一般的なスマートフォンをリモートからハッキングして制御するための多数の攻撃を開発しました。感染した電話は、CIAにユーザーの地理的位置、音声、テキスト通信を送信し、電話のカメラとマイクを秘密裏に起動するよう指示することができます。

2016年世界のスマートフォン市場でのiPhoneの少数シェア(14.5%)にも関わらず、CIAのモバイル開発ブランチの専門的なユニットは、はびこる制御およびデータexfiltrateするマルウェア作成するなどのiPadなどのiOSを実行しているiPhoneや他のアップル製品を、。CIAの兵器庫には、CIA によって開発された、あるいはGCHQ、NSA、FBIから入手された、またはBaitshopなどのサイバー武器請負業者から購入された、 数多くのローカルで遠隔の「ゼロデイ」が含まれています。iOSへの不本意な焦点は、社会的、政治的、外交的、ビジネス的なエリートの間でiPhoneの人気によって説明されるかもしれません。

同様のユニットは、サムスン、HTC、ソニーなど、世界のスマートフォン(〜85%)の大部分を実行するために使用されるGoogleのAndroidをターゲットに。昨年、11億5000万枚のAndroid搭載携帯電話が販売された。「Year Zero」は、2016年にCIAが開発した「武器を搭載した」Android「ゼロデイ」24台をGCHQ、NSA、サイバー武器請負業者から入手したことを示しています。

これらの技術により、CIAはWhatsApp、Signal、Telegram、Wiebo、Confide、Cloackmanの暗号化をバイパスし、暗号化が適用される前にオーディオとメッセージのトラフィックを収集することでスマートフォンをハッキングします。

CIAマルウェアは、Windows、OSx、Linux、ルータを対象としています

また、CIAは、マルウェアをMicrosoft Windowsユーザーに感染させ、制御するために多大な努力を払っ ています。これには、複数のローカルおよびリモートの兵器化された「ゼロデイ」、 CD / DVDに配布されたソフトウェアに感染する「ハンマードリル」 、USBなどのリムーバブルメディアの感染源などのエアギャップジャンプウイルス 、画像や秘密のディスク領域にデータを隠すシステム( "残忍なカンガルー")、マルウェアの侵入を阻止するためです。

これらの感染の多くは、CIAの 自動インプラントブランチ(AIB)によって集められています。自動インプラントブランチ(AIB)は、CIAマルウェアの自動侵入と制御のためのいくつかの攻撃システムを開発しています(AssassinやMedusaなど)。

インターネットインフラストラクチャとWebサーバに対する攻撃は、CIAのNetwork Devices Branch(NDB)によって開発されています。

CIAは、EDBの「HIVE」や関連する「Cutthroat」や「Swindle」ツールなど、Windows、Mac OS X、Solaris、Linuxなどのマルチプラットフォームマルウェア攻撃および制御システムを自動化して開発しています。 以下のセクション。

CIAの「保有」脆弱性(「ゼロデイ」)

エバートン・スノーデン氏がNSAについて漏洩した結果、米国のテクノロジー業界は、オバマ政権から、重大な脆弱性、悪用、バグ、または「ゼロデイ」を保有するのではなく、 Google、Microsoft、および他の米国に拠点を置くメーカーです。

製造業者に公開されていない深刻な脆弱性は、脆弱性の噂を個別に発見したり聞いたりする外国人情報機関やサイバー犯罪者に対して、人口や重要インフラストラクチャのリスクを払拭します。CIAがこのような脆弱性を発見できれば、他の人もそうすることができます。

米国政府の脆弱 性株式プロセスへのコミットメントは、現実の、そして認識されている隠された脆弱性よりも、政府は、2010年以降に発見されたすべての蔓延している脆弱性を継続的に開示すると述べた。

「年次報告書」は、CIAがオバマ政権の約束を破ったことを示している。CIAのサイバーアーサーで使われている脆弱性の多くは、普及しており、ライバルの情報機関やサイバー犯罪者によってすでに発見されているものもあります。

一例として、「Year Zero」で明らかにされた特定のCIAマルウェアは、Androidの電話と大統領のTwitterアカウントを運営している、または実行しているiPhoneソフトウェアの両方に侵入し、侵入し、制御することができます。CIAは、CIAが保有している未公開のセキュリティ脆弱性(「ゼロデイ」)を使用してこのソフトウェアを攻撃しますが、CIAがこれらの電話をハッキングする可能性がある場合、この脆弱性を取得または発見した他の人も同様です。CIAがこれらの脆弱性をAppleとGoogle(携帯電話を作った人)に隠している限り、それらは修正されず、電話はハッキング可能なままです。

米国内閣、議会、最高経営者(CEO)、システム管理者、セキュリティ担当者、エンジニアなど、同じ脆弱性が人口全体に存在します。AppleやGoogleのようなメーカーからこれらのセキュリティー欠陥を隠すことで、CIAは誰もがハックする可能性があることを保証します。誰もがハック可能になるという犠牲を払っている。

サイバーウォールプログラムは深刻な増殖リスク

サイバー「武器」は効果的な管理を続けることができません。

重要な核物質を生産するのに十分な核分裂性物質を組み立てるための膨大なコストと目に見えるインフラが核拡散を抑制されている一方、サイバー兵器は一度開発すれば維持することが非常に難しい。

サイバーの「武器」は実際には他のどのようなものと同様に海賊版できるコンピュータプログラムです。それらは完全に情報で構成されているため、わずかなコストで迅速にコピーすることができます。

そのような「武器」を確保することは、同じ人間が痕跡を残すことなく、時には同じ武器を使用することによってコピーを追放するスキルを持っているため、特に困難です。政府のハッカーやコンサルタントには、そのような「武器」のコピーに対して何十万ドルから何百万ドルも払うグローバルな「脆弱性市場」が存在するため、コピーを入手するための大きなインセンティブがある。同様に、請負業者やそのような「武器」を手に入れた企業は、時にはそれを自分の目的のために使用します。

過去3年間で、CIAやNSAなどの政府機関とBooz Allan Hamiltonなどの請負業者で構成される米国の情報部門は、それまでにないほどのデータ漏洩の被害を受けています。

まだ公開されていない多くの諜報機関のコミュニティメンバーは、別々の事件で逮捕されたり、連邦犯罪捜査の対象となっています。

最も目立つように、2017年2月8日、米連邦大陪審はHarold T. Martin IIIに20件の誤った機密情報を告発した。司法省は、多数のハッキングツールのソースコードを含む、NSAとCIAの機密プログラムから得たHarold T. Martin IIIからの約5万ギガバイトの情報を押収したと主張している。

ひとつのサイバー「武器」が「緩やか」になると、それは仲間、サイバー・マフィア、十代のハッカーの両方に使用されるように、世界中に広がることがあります。

フランクフルトの米国領事館は隠密CIAハッカー基地です

バージニア州ラングレーでの運営に加えて、CIAは、フランクフルトの米国領事館を、ヨーロッパ、中東、アフリカをカバーするハッカーの秘密基地としても使用しています。

フランクフルト領事館( 「サイバー・インテリジェンス・ヨーロッパ・センター」またはCCIE)の外に運営されているCIAのハッカーには、外交(「黒」)パスポートと国務省の領収書が与えられます。 CIAのハッカーのための指示は、ドイツのカウンター・インテリジェンスの取り組みを重要視していません。「ドイツ税関を通じたブリーズ・アクション・ストーリーがあります。

あなたのカバーストーリー(この旅行のため)

Q:なぜここにいますか?

A:領事館での技術相談を支援します。

2つの以前のWikiLeaksの出版物は、習慣と二次スクリーニング手続きに対するCIAのアプローチの詳細を提供している 。

かつて、フランクフルトにあるCIAのハッカーは、フランス、イタリア、スイスなど、シェンゲンの国境地域の一部である25のヨーロッパ諸国に、さらに国境確認をすることなく旅行することができます。

多くのCIAの電子攻撃方法は、物理的近接性を考慮して設計されています。これらの攻撃方法は、警察記録データベースなど、インターネットから切断された高度なセキュリティネットワークに侵入することができます。このような場合、指示に従って行動するCIAの役人、代理人または同盟情報諜報官が、対象となる職場に物理的に侵入します。攻撃者には、この目的のためにCIA用に開発されたマルウェアを含むUSBが提供され、ターゲットコンピュータに挿入されます。その後、攻撃者はリムーバブルメディアにデータを感染させ、そのデータを抽出します。たとえば、CIAの攻撃システムFine Dining、CIAのスパイに24のデコイアプリケーションを提供しています。目撃者には、ビデオ(VLCなど)、プレゼンテーション(Prezi)、コンピュータゲーム(Breakout2,2048)、偽のウイルススキャナ(Kaspersky、McAfee、Sophos)を実行するプログラムが実行されているようだ。デコイアプリケーションが画面に表示されている間、アンダーレイシステムは自動的に感染し、ransackされます。2048)、または偽のウイルススキャナ(Kaspersky、McAfee、Sophos)を実行することさえできます。デコイアプリケーションが画面に表示されている間、アンダーレイシステムは自動的に感染し、ransackされます。2048)、または偽のウイルススキャナ(Kaspersky、McAfee、Sophos)を実行することさえできます。デコイアプリケーションが画面に表示されている間、アンダーレイシステムは自動的に感染し、ransackされます。

CIAがいかにして拡散リスクを劇的に高めたか

確かに最も驚異的なインテリジェンスが生きている記憶の目標の1つであるCIAは、CIAの武器化されたマルウェア(インプラント+ゼロデイ)、リスニングポストLP)、および指揮統制(C2)システムでは、法的手段はほとんどありません。

CIAはこれらのシステムを機密扱いにしました。

なぜCIAが機密扱いにすることを選択したのか軍事利用のために開発された概念がサイバー戦争の「戦場」にいかに容易に乗り越えないかを明らかにする。

その標的を攻撃するために、CIAは、通常、そのインプラントがインターネット上の制御プログラムと通信することを要求する。CIAインプラントであるCommand&ControlとListening Postソフトウェアが分類された場合、機密情報をインターネットに掲載することを禁じている規則違反でCIA職員を起訴または却下する可能性があります。その結果、CIAは秘密裏にサイバースパイ/戦争コードのほとんどを機密扱いにしています。米国憲法の制限のため、米国政府は著作権も主張できません。これは、サイバーの「武器」製造業者とコンピュータのハッカーが、これらの「武器」を自由に「海賊」できることを意味します。それらが得られれば。CIAは、マルウェアの秘密を保護するために、主に難読化に依存しなければなりませんでした。

ミサイルのような従来の兵器は、敵(すなわち、安全でない地域)に発射される可能性がある。標的への近接性または衝突は、その分類された部分を含む武器を爆発させる。軍事要員は、武器を分類された部分で発砲することによって分類規則に違反しない。兵器が爆発する可能性が高い。そうでない場合、それはオペレータの意図ではありません。

過去10年にわたり、米国のハッキング活動は、国防総省の資金調達の流れに乗り出すために、軍事用語でますます衣装を着ています。例えば、武器が発射されたかのように、「マルウェア注入」(商業専門用語)や「インプラント滴」(NSA専門用語)が「火災」と呼ばれています。しかし、その類推は疑わしい。

弾丸、爆弾、ミサイルと違って、ほとんどのCIAマルウェアは「標的」に達してから数日から数年間生存するように設計されています。CIAマルウェアは「影響を受けて爆発する」というわけではなく、むしろ恒久的にその標的に感染しています。ターゲットのデバイスに感染させるには、マルウェアのコピーをターゲットのデバイスに配置し、マルウェアをターゲットに物理的に保持する必要があります。データをCIAに戻すため、またはさらなる指示を待つために、マルウェアは、インターネットに接続されたサーバーに配置されたCIA Command&Control(C2)システムと通信する必要があります。しかし、そのようなサーバーは通常、機密情報を保持することは認められていませんが、

ターゲットのコンピュータシステム上での成功した攻撃は、敵対的なテイクオーバーの入札での一連の複雑な在庫操作や、武器システムの発射ではなく組織のリーダーシップをコントロールするための慎重な噂の植え付けのようなものです。軍事的な類推が行われる場合、標的の侵攻は、おそらく、観測、侵入、占領、搾取を含むターゲットの領土に対する一連の軍事作戦の実行に似ています。

フォレンジックとアンチウイルスの回避

Apple、Microsoft、Google、Samsung、Nokia、Blackberry、Siemens、Anti-Virusなどの法医学犯罪捜査官を支援する可能性のあるCIAのマルウェア侵入パターンが一連の基準を定めている。

「Tradecraft DOとDON'Ts」には、「CIA、米国政府、またはその狙いを定めているパートナー企業」を「法医学的レビュー」に含める指紋を避ける​​ためにマルウェアをどのように記述するべきかに関するCIA規則が含まれています。同様の秘密の基準は、 CIAのハッカーとマルウェアの通信(pdf)を隠すための暗号化の使用、 ターゲットと除外されたデータの記述(pdf)、 ペイロードの実行(pdf)、ターゲットマシンの 永続化(pdf)

CIAのハッカーは、よく知られたアンチウイルスプログラムに対する攻撃を成功させました。これらは、AVの敗北、 個人向けセキュリティ製品、 PSPの検出と破棄、 PSP /デバッガ/ RE回避などで文書化されています。たとえば、ComodoはCIAマルウェアがWindowsの「ごみ箱」に入ってしまった。Comodo 6.xには DOOMのGaping Holeがあります。

CIAのハッカーたちは、NSAの「数式群」ハッカーが間違っていたことや、CIAのマルウェアメーカーが同様の被害を避ける方法について話し合った。

CIAのエンジニアリング開発グループ(EDG)管理システムには、独自のサブプロジェクト、マルウェア、ハッカーツールを備えた約500種類のプロジェクト(そのうちの一部のみが「年次報告書」に記載されています)が含まれています。

これらのプロジェクトの大部分は、浸透、侵入(「移植」)、制御、および浸出に使用されるツールに関する。

開発の別の分野は、CIAインプラントと通信して制御するために使用されるリスニングポスト(LP)およびコマンド/コントロール(C2)システムの開発と運用に焦点を当てています。特別なプロジェクトを使用して、特定のハードウェアをルータからスマートTVに向けることができます。

いくつかのプロジェクトの例を以下に説明しますが、WikiLeaksの "Year Zero"で説明されているプロジェクトの完全なリストについて は目次を参照してください。

UMBRAGE

CIAの手作りのハッキング技術は、代理店に問題を提起している。それが作成した各手法は、フォレンジック調査者が複数の異なる攻撃を同じエンティティに帰属させるために使用できる「フィンガープリント」を形成します。

これは、複数の別々の殺人犠牲者に同じ独特のナイフを見つけることに類似しています。ユニークな創傷様式は、単一の殺人犯が責任を負う疑いを生む。すぐに1組の殺人事件が解決されると、他の殺人事件も帰属する可能性があると考えられる。

CIAのリモートデバイス支店の UMBRAGEグループは、ロシア連邦を含む他の州で製造されたマルウェアから「盗まれた」攻撃技術の実質的なライブラリを収集し、管理し ています。

UMBRAGEや関連するプロジェクトでは、CIAは攻撃の種類を増やせるだけでなく、攻撃手法が盗まれたグループの「指紋」を残して誤った属性を付けることもできます。

UMBRAGEコンポーネントは、キーロガー、パスワードの収集、Webカメラのキャプチャ、データの破壊、永続性、特権の昇格、ステルス、アンチウイルス(PSP)の回避と調査技術をカバーします。

高級料理

Fine Diningには、CIAの事務官が記入した標準的なアンケート、すなわちメニューが付属しています。アンケートは、事務官の要請を特定の操作のためのハッキング攻撃(通常はコンピュータシステムからの情報の流出)の技術要件に変換するために、代理店のOSB(Operational Support Branch)によって使用されます。このアンケートにより、OSBは運用のために既存のツールをどのように適合させるかを特定し、これをCIAマルウェア構成担当者に伝えることができます。OSBは、CIA運用スタッフと関連する技術サポートスタッフとの間のインターフェイスとして機能します。

収集対象のリストには、「資産」、「Liason Asset」、「System Administrator」、「Foreign Information Operations」、「Foreign Intelligence Agencies」および「Foreign Government Entities」があります。特に過激派や超国家犯罪者への言及はない。「ケースオフィサー」には、コンピュータの種類、使用されているオペレーティングシステム、インターネット接続、インストールされているウイルス対策ユーティリティ(PSP)、Officeドキュメントのように抽出されるファイルタイプのリストなど、ターゲットの環境を指定するよう求められます、オーディオ、ビデオ、画像、またはカスタムファイルの種類。メニュー' また、ターゲットへの定期的なアクセスが可能であるかどうか、およびコンピュータへの観察されないアクセスがどのくらい長く維持されるかについての情報も求められます。この情報は、CIAの「JQJIMPROVISE」ソフトウェア(以下を参照)によって、操作の特定のニーズに適した一連のCIAマルウェアを構成するために使用されます。

即興(JQJIMPROVISE)

'Improvise'は、Windows(Bartender)、MacOS(JukeBox)、Linux(DanceFloor)などの主要なオペレーティングシステムをサポートする調査/除外ツールの設定、後処理、ペイロード設定、実行ベクトル選択用のツールセットです。Margaritaのような設定ユーティリティは、NOC(ネットワークオペレーションセンター)が「ファインダイニング」questionairiesの要件に基づいてツールをカスタマイズすることを可能にします。

HIVE

HIVEは、マルチプラットフォームのCIAマルウェアスイートとそれに関連する制御ソフトウェアです。このプロジェクトでは、Windows、Solaris、MikroTik(インターネットルータで使用される)、Linuxプラットフォーム、およびこれらのインプラントと通信するリスニングポスト(LP)/コマンド/コントロール(C2)インフラストラクチャのカスタマイズ可能なインプラントを提供しています。

インプラントは、HTTPSを介してカバードメインのウェブサーバと通信するように構成されている。これらのインプラントを利用する各操作は、別個のカバー領域を有し、インフラストラクチャは、任意の数のカバー領域を扱うことができる。

各カバードメインは、商用VPS(Virtual Private Server)プロバイダに配置されたIPアドレスに解決されます。公衆対向サーバは、VPNを介してすべての着信トラフィックを、クライアントからの実際の接続要求を処理する「ブロット」サーバに転送します。オプションのSSLクライアント認証用にセットアップされています。クライアントが有効なクライアント証明書を送信した場合(インプラントでのみ可能)、接続はインプラントと通信する 'Honeycomb'ツールサーバーに転送されます。有効な証明書がない場合(誰かがカバードメインのWebサイトを偶然開こうとした場合)

ハニカムツールサーバは、インプラントから抽出された情報を受け取ります。オペレータはインプラントを処理してターゲットコンピュータ上のジョブを実行することもできるので、ツールサーバはインプラントのC2(コマンドおよび制御)サーバとして機能します。

同様の機能(Windowsに限られます)は、RickBobbyプロジェクトによって提供されています。

HIVEの 分類されたユーザーと 開発者のガイドを参照してください。


0コメント

  • 1000 / 1000