Informacja prasowa
Dziś, we wtorek 7 marca 2017, WikiLeaks rozpoczyna nową serię przecieków na temat amerykańskiej Centralnej Agencji Wywiadowczej.
Pod nazwą kodową „Vault 7”
WikiLeaks jest to największa w historii publikacja poufnych dokumentów w agencji.
Pierwsza pełna część serii, „Year Zero”, obejmuje 8 761 dokumentów i plików z odizolowanej sieci o wysokim poziomie bezpieczeństwa, znajdującej się w Centrum CIA ds. Cyber Wywiadu w Langley w stanie Wirginia.
Jest to następstwem wstępnego ujawnienia w zeszłym miesiącu ataku CIA skierowanego przeciwko francuskim partiom politycznym i kandydatom prowadzącym do wyborów prezydenckich w 2012 roku .
Niedawno CIA straciła kontrolę nad większością swojego arsenału hakerskiego, w tym nad złośliwym oprogramowaniem, wirusami, trojanami, uzbrojonymi exploitami „dnia zerowego”, złośliwymi systemami zdalnego sterowania i związaną z nimi dokumentacją.
Ta niezwykła kolekcja, licząca ponad kilkaset milionów wierszy kodu, daje jej posiadaczowi pełną zdolność hakerską CIA.
Wydaje się, że archiwum zostało rozpowszechnione wśród hakerów i kontrahentów byłego rządu USA w nieautoryzowany sposób, z których jeden dostarczył WikiLeaks fragmenty archiwum.
„Year Zero” przedstawia zakres i kierunek globalnego tajnego programu hakerskiego CIA, jej arsenał złośliwego oprogramowania i dziesiątki uzbrojonych exploitów „zero day” przeciwko szerokiej gamie produktów firm amerykańskich i europejskich, w tym iPhone'a Apple'a, Androida firmy Google i systemu Windows firmy Microsoft oraz nawet telewizory Samsunga, które zamieniają się w ukryte mikrofony.
Od 2001 roku CIA uzyskała polityczną i budżetową przewagę nad Narodową Agencją Bezpieczeństwa Stanów Zjednoczonych (NSA).
CIA zbudowała nie tylko swoją niesławną flotę dronów, ale zupełnie inny rodzaj tajnych sił obejmujących cały świat - własną znaczną flotę hakerów.
Dział hakerski agencji uwolnił ją od konieczności ujawniania jej często kontrowersyjnych operacji NSA (jej głównemu biurokratycznemu rywalowi) w celu wykorzystania jej możliwości hakerskich.
Do końca 2016 roku dział hakerski CIA, który formalnie podlega agencji Center for Cyber Intelligence (CCI), miał ponad 5000 zarejestrowanych użytkowników i wyprodukował ponad tysiąc systemów hakerskich, trojanów, wirusów i innego „uzbrojonego” złośliwego oprogramowania .
Skala przedsięwzięcia CIA jest taka, że do 2016 roku hakerzy wykorzystali więcej kodu niż ten, który działał na Facebooku.
W efekcie CIA stworzyła swoją „własną NSA” z jeszcze mniejszą odpowiedzialnością i bez publicznej odpowiedzi na pytanie, czy tak ogromne wydatki budżetowe na dublowanie zdolności konkurencyjnej agencji mogą być uzasadnione.
W oświadczeniu dla WikiLeaks źródło wyszczególnia kwestie dotyczące polityki, które, jak twierdzą, pilnie wymagają publicznej debaty, w tym, czy możliwości hakerskie CIA przekraczają jej uprawnienia oraz problem publicznego nadzoru nad agencją.
Źródło chce zainicjować publiczną debatę na temat bezpieczeństwa, tworzenia, używania, proliferacji i demokratycznej kontroli cyberbroni.
Gdy pojedyncza „broń” cybernetyczna zostanie „luźna”, może rozprzestrzenić się po całym świecie w ciągu kilku sekund i zostać wykorzystana przez rywalizujące państwa, cybermafię i nastoletnich hakerów.
Julian Assange, redaktor WikiLeaks stwierdził, że „Istnieje ogromne ryzyko proliferacji w rozwoju cyber-broni”.
Można dokonać porównań między niekontrolowanym rozprzestrzenianiem się takiej „broni”, która wynika z niemożności jej powstrzymania w połączeniu z ich wysokim rynkiem wartości i światowego handlu bronią.
Jednak znaczenie „Roku zerowego” wykracza daleko poza wybór między cyberwojną a cyberpokojem.
Ujawnienie jest również wyjątkowe z politycznego, prawnego i kryminalistycznego punktu widzenia ”.
Wikileaks dokładnie przeanalizowała ujawnienie „Roku Zerowego” i opublikowała merytoryczną dokumentację CIA, unikając dystrybucji „uzbrojonej” cyberbroni, dopóki nie wyłoni się konsensusu co do technicznego i politycznego charakteru programu CIA oraz tego, jak taka „broń” powinna być analizowana, rozbrajana i publikowana .
Wikileaks postanowiła również zredagować i zanonimizować niektóre informacje identyfikacyjne w „Roku Zero” w celu dogłębnej analizy.
Te redakcje obejmują dziesięć z tysięcy celów CIA i maszyn atakujących w Ameryce Łacińskiej, Europie i Stanach Zjednoczonych.
Chociaż jesteśmy świadomi niedoskonałych wyników każdego wybranego podejścia, pozostajemy wierni naszemu modelowi publikowania i zauważamy, że liczba opublikowanych stron w części pierwszej „Krypty 7” („Rok Zero”) już przyćmiewa całkowitą liczbę opublikowanych stron przecieki z pierwszych trzech lat istnienia Edwarda Snowdena NSA.
Analiza
Szkodliwe oprogramowanie CIA atakuje iPhone'a, Androida i telewizory smart
Szkodliwe oprogramowanie CIA i narzędzia hakerskie są tworzone przez EDG (Engineering Development Group), grupę programistyczną w ramach CCI (Center for Cyber Intelligence), departamentu należącego do CIA DDI (Directorate for Digital Innovation).
DDI jest jedną z pięciu głównych dyrekcji CIA ( więcej szczegółów w tym schemacie organizacyjnym CIA).
EDG jest odpowiedzialna za rozwój, testowanie i wsparcie operacyjne wszystkich backdoorów, exploitów, złośliwych ładunków, trojanów, wirusów i wszelkiego innego rodzaju złośliwego oprogramowania wykorzystywanego przez CIA w jej tajnych operacjach na całym świecie.
Rosnące wyrafinowanie technik inwigilacji doprowadziło do porównań z rokiem 1984 George'a Orwella, ale „Weeping Angel”, opracowany przez oddział CIA Embedded Devices Branch (EDB) , który atakuje inteligentne telewizory, przekształcając je w ukryte mikrofony, jest z pewnością jego najbardziej charakterystyczną realizacją.
Atak na telewizory Samsung Smart TV powstał we współpracy z brytyjskim MI5 / BTSS.
Po zarażeniu, Weeping Angel ustawia docelowy telewizor w tryb „Fake-Off”, tak że właściciel fałszywie uważa, że telewizor jest wyłączony, gdy jest włączony. W trybie „Fake-Off” telewizor działa jak w błędzie, nagrywając rozmowy w pokoju i wysyłając je przez Internet na ukryty serwer CIA.
Od października 2014 r. CIA zajmowała się również infekowaniem systemów kontroli pojazdów używanych w nowoczesnych samochodach osobowych i ciężarowych .
Cel takiej kontroli nie jest określony, ale pozwoliłaby CIA na dokonywanie prawie niewykrywalnych zabójstw.
Oddział urządzeń mobilnych (MDB) CIA opracował liczne ataki mające na celu zdalne hakowanie i kontrolowanie popularnych smartfonów .
Zainfekowane telefony mogą otrzymać polecenie wysłania do CIA informacji o geolokalizacji użytkownika, komunikacji głosowej i tekstowej, a także potajemnego aktywowania aparatu i mikrofonu w telefonie.
Pomimo mniejszościowego udziału iPhone'a (14,5%) w globalnym rynku smartfonów w 2016 r., wyspecjalizowana jednostka w dziale rozwoju urządzeń mobilnych CIA produkuje złośliwe oprogramowanie w celu infekowania, kontrolowania i eksfiltracji danych z iPhone'ów i innych produktów Apple z systemem iOS, takich jak iPady .
Arsenał CIA obejmuje wiele lokalnych i zdalnych „dni zerowych” opracowanych przez CIA lub uzyskanych od GCHQ, NSA, FBI lub zakupionych od kontrahentów cyberbroni, takich jak Baitshop.
Nieproporcjonalne skupienie się na iOS można wytłumaczyć popularnością iPhone'a wśród elit społecznych, politycznych, dyplomatycznych i biznesowych.
A podobne cele jednostkowe Google Android, który jest używany do uruchamiania większości smartfonów na świecie (~ 85%), w tym Samsung, HTC i Sony .
W zeszłym roku sprzedano 1,15 miliarda telefonów z systemem Android. „Rok zerowy” pokazuje, że od 2016 r . CIA miała 24 „uzbrojone„ dni zerowe ”Androida, które sama opracowała i uzyskała od kontrahentów GCHQ, NSA i cyber broni.
Techniki te pozwalają CIA na ominięcie szyfrowania WhatsApp, Signal, Telegram, Wiebo, Confide i Cloackman poprzez hakowanie „inteligentnych” telefonów, na których działają i gromadzenie ruchu audio i wiadomości przed zastosowaniem szyfrowania.
Szkodliwe oprogramowanie CIA atakuje routery w systemach Windows, OSx, Linux
CIA podejmuje również bardzo duże wysiłki, aby zainfekować i kontrolować użytkowników systemu Microsoft Windows swoim złośliwym oprogramowaniem.
Obejmuje to wiele lokalnych i zdalnie uzbrojonych „dni zerowych”, wirusów skaczących w powietrze, takich jak „wiertarka młotkowa”, które infekują oprogramowanie rozprowadzane na dyskach CD / DVD, infekatory nośników wymiennych, takich jak USB , systemy do ukrywania danych w obrazach lub ukrytych obszarach dysków ( „Brutal Kangaroo” ) i utrzymać infestacje złośliwym oprogramowaniem .
Wiele z tych wysiłków związanych z infekcjami jest połączonych przez oddział CIA Automated Implant Branch (AIB) , który opracował kilka systemów ataku do automatycznego infestowania i kontroli złośliwego oprogramowania CIA, takich jak „Assassin” i „Medusa”.
Ataki na infrastrukturę internetową i serwery sieciowe są opracowywane przez oddział urządzeń sieciowych CIA (NDB) .
CIA opracowała zautomatyzowane wieloplatformowe systemy ataku i kontroli szkodliwego oprogramowania, obejmujące systemy Windows, Mac OS X, Solaris, Linux i inne, takie jak „HIVE” EDB i powiązane narzędzia „Cutthroat” i „Swindle”, które opisano w przykładach sekcja poniżej .
„Gromadzone” luki w zabezpieczeniach CIA („zero dni”)
W następstwie przecieków Edwarda Snowdena na temat NSA, amerykański przemysł technologiczny złożył administracji Obamy zobowiązanie, że dyrektor będzie na bieżąco ujawniał - zamiast gromadzić - poważne luki w zabezpieczeniach, exploity, błędy lub „zero dni” firmie Apple, Google, Microsoft i innym producentom z siedzibą w USA.
Poważne luki, które nie zostały ujawnione producentom, stanowią zagrożenie wykorzystywane przez obce wywiady i cyberprzestępców, którzy niezależnie odkrywają lub słyszą pogłoski o luce w populacji i krytycznej infrastrukturze.
Jeśli CIA może wykryć takie luki, to inni też.
Zaangażowanie rządu Stanów Zjednoczonych w proces dotyczący podatności na akcje hakerskie pojawiło się po znacznym lobbingu amerykańskich firm technologicznych, które ryzykują utratę udziału w globalnym rynku z powodu rzeczywistych i domniemanych ukrytych słabości.
Rząd oświadczył, że będzie na bieżąco ujawniał wszystkie wszechobecne luki wykryte po 2010 roku.
Dokumenty „Roku Zero” pokazują, że CIA naruszyła zobowiązania wobec administracji Obamy.
Wiele luk wykorzystywanych w cyber arsenale CIA jest wszechobecnych, a niektóre mogły już zostać wykryte przez konkurencyjne agencje wywiadowcze lub cyberprzestępców.
Na przykład określone złośliwe oprogramowanie CIA ujawnione w „Year Zero” jest w stanie przeniknąć, zainfekować i kontrolować zarówno oprogramowanie telefonu z systemem Android, jak i iPhone'a, które działa lub prowadziło prezydenckie konta na Twitterze.
CIA atakuje to oprogramowanie, wykorzystując nieujawnione luki w zabezpieczeniach („zero dni”) posiadane przez CIA, ale jeśli CIA może włamać się na te telefony, mogą to zrobić wszyscy, którzy uzyskali lub odkryli lukę.
Dopóki CIA ukrywa te luki przed Apple i Google (którzy produkują telefony), nie zostaną one naprawione, a telefony pozostaną możliwe do zhakowania.
Te same luki występują w całej populacji, w tym w rządzie USA, Kongresie, najwyższych prezesach, administratorach systemów, oficerach ds. bezpieczeństwa i inżynierach.
Ukrywając te luki w zabezpieczeniach przed producentami takimi jak Apple i Google, CIA zapewnia, że może zhakować każdego & mdsh; kosztem pozostawienia wszystkich do zhakowania.
Programy „cyberwojny” stanowią poważne ryzyko proliferacji
Nie da się skutecznie kontrolować „broni” cybernetycznej.
Podczas gdy rozprzestrzenianie broni jądrowej zostało ograniczone przez olbrzymie koszty i widoczną infrastrukturę związaną z zebraniem wystarczającej ilości materiału rozszczepialnego, aby wyprodukować krytyczną masę jądrową, „broń” cybernetyczna, raz opracowana, jest bardzo trudna do utrzymania.
„Broń” cybernetyczna to w rzeczywistości programy komputerowe, które można piracić jak każdy inny.
Ponieważ w całości składają się z informacji, można je szybko skopiować bez dodatkowych kosztów.
Zabezpieczenie takiej „broni” jest szczególnie trudne, ponieważ ci sami ludzie, którzy ją opracowują i używają, mają umiejętności eksfiltracji kopii bez pozostawiania śladów - czasami używając tej samej „broni” przeciwko organizacjom, które ją zawierają.
Rządowi hakerzy i konsultanci mają znaczne zachęty cenowe do uzyskiwania kopii, ponieważ istnieje globalny „rynek podatności”, który zapłaci setki tysięcy do milionów dolarów za kopie takiej „broni”.
Podobnie wykonawcy i firmy, które uzyskują taką „broń”, czasami używają jej do własnych celów, uzyskując przewagę nad konkurentami w sprzedaży usług „hakerskich”.
W ciągu ostatnich trzech lat amerykański sektor wywiadowczy, który składa się z agencji rządowych, takich jak CIA i NSA oraz ich kontrahentów, takich jak Booz Allan Hamilton, był obiektem bezprecedensowej serii eksfiltracji danych przez własnych pracowników.
Wielu członków wspólnoty wywiadowczej, których jeszcze nie wymieniono publicznie, zostało aresztowanych lub poddanych federalnym dochodzeniom karnym w ramach oddzielnych incydentów.
Najwyraźniej 8 lutego 2017 r. Amerykańskie federalne wielkie jury oskarżyło Harolda T. Martina III o 20 zarzutów niewłaściwego obchodzenia się z tajnymi informacjami.
Departament Sprawiedliwości zarzucił, że przechwycił około 50 000 gigabajtów informacji od Harolda T. Martina III, które uzyskał z tajnych programów w NSA i CIA, w tym kod źródłowy wielu narzędzi hakerskich.
Gdy pojedyncza „broń” cybernetyczna zostanie „luźna”, może rozprzestrzenić się na całym świecie w ciągu kilku sekund i zostać wykorzystana przez państwa rówieśnicze, cybermafię i nastoletnich hakerów.
Konsulat USA we Frankfurcie jest tajną bazą hakerów CIA
Oprócz operacji w Langley w Wirginii CIA wykorzystuje również konsulat USA we Frankfurcie jako tajną bazę dla swoich hakerów zajmujących się Europą, Bliskim Wschodem i Afryką.
Hakerzy CIA działający poza konsulatem we Frankfurcie ( „Center for Cyber Intelligence Europe” lub CCIE) otrzymują dyplomatyczne („czarne”) paszporty i ochronę Departamentu Stanu.
Instrukcje dla nadchodzących hakerów CIA sprawiają, że wysiłki niemieckiego kontrwywiadu wydają się bezowocne: „przebij się przez niemiecką służbę celną, ponieważ masz swoją historię z przykrywki akcji, a oni tylko podbiją twój paszport”
Twoja historia z okładki (z tej podróży)
P: Dlaczego tu jesteś?
Odp .: Wspieranie konsultacji technicznych w konsulacie.
Dwie wcześniejsze publikacje WikiLeaks podają dalsze szczegóły dotyczące podejść CIA do procedur celnych i wtórnych procedur kontrolnych .
Po przybyciu do Frankfurtu hakerzy CIA mogą podróżować bez dalszych odpraw granicznych do 25 krajów europejskich, które są częścią otwartego obszaru przygranicznego Shengen - w tym Francji, Włoch i Szwajcarii.
Szereg elektronicznych metod ataku CIA zaprojektowano z myślą o fizycznej bliskości.
Te metody ataku są w stanie przeniknąć do sieci o wysokim poziomie bezpieczeństwa, które są odłączone od Internetu, takich jak policyjne bazy danych.
W takich przypadkach oficer CIA, agent lub sojuszniczy oficer wywiadu działający zgodnie z instrukcjami fizycznie infiltruje docelowe miejsce pracy.
Atakujący otrzymuje USB zawierające złośliwe oprogramowanie opracowane w tym celu dla CIA, które jest umieszczane na docelowym komputerze.
Atakujący następnie infekuje i eksfiltruje dane na nośniki wymienne.
Na przykład, system ataku CIA Fine Dining zapewnia szpiegom CIA 24 aplikacje wabiące.
Świadkom wydaje się, że szpieg uruchamia program wyświetlający filmy (np. VLC), prezentujący slajdy (Prezi), grający w grę komputerową (Breakout2, 2048) lub nawet uruchamiający fałszywy skaner antywirusowy (Kaspersky, McAfee, Sophos).
Ale gdy aplikacja wabika jest na ekranie, system podkładowy jest automatycznie infekowany i splądrowany.
Jak CIA ogromnie zwiększyła ryzyko proliferacji
Z pewnością jednym z najbardziej zdumiewających własnych celów wywiadowczych w żywej pamięci, CIA ustrukturyzowała swój system klasyfikacji w taki sposób, że dla najcenniejszej rynkowo części „Krypty 7” - uzbrojonego szkodliwego oprogramowania CIA (implanty + zero dni), Listening Posts ( LP) oraz dowodzenia i kontroli (C2) - agencja ma niewielkie środki prawne.
CIA uczyniła te systemy niesklasyfikowanymi.
Dlaczego CIA zdecydowała się uczynić swoje narzędzia cyber-arsenal niesklasyfikowanymi, ujawnia, w jaki sposób koncepcje opracowane do celów wojskowych niełatwo przechodzą na „pole bitwy” cyber „wojny”.
Aby zaatakować swoje cele, CIA zwykle wymaga, aby jej szpiegowskie implanty komunikowały się z programami kontrolnymi przez Internet.
Gdyby implanty CIA, oprogramowanie Command & Control oraz Listening Post zostały sklasyfikowane, wówczas funkcjonariusze CIA mogliby zostać postawieni przed sądem lub zwolnieni za naruszenie przepisów zabraniających umieszczania tajnych informacji w Internecie.
W konsekwencji CIA potajemnie uczyniła większość swojego kodu szpiegowskiego / wojennego niesklasyfikowanymi.
Rząd Stanów Zjednoczonych również nie może dochodzić praw autorskich ze względu na ograniczenia w konstytucji Stanów Zjednoczonych.
Oznacza to, że producenci „broni” cybernetycznej i hakerzy komputerowi mogą swobodnie „piratować” tę „broń”, jeśli zostanie stworzona.
CIA musiała przede wszystkim polegać na zaciemnianiu, aby chronić swoje sekrety złośliwego oprogramowania.
Konwencjonalna broń, taka jak pociski, może zostać wystrzelona we wroga (tj. w niezabezpieczony obszar).
Bliskość celu lub uderzenie w cel powoduje detonację amunicji, w tym jej tajnych części.
Dlatego personel wojskowy nie narusza zasad klasyfikacyjnych, strzelając z amunicji z części niejawnych.
Ordnance (artyleria) prawdopodobnie wystrzeli.
Jeśli tak się nie stanie, nie jest to intencją operatora.
W ciągu ostatniej dekady amerykańskie operacje hakerskie były coraz częściej ubrane w wojskowy żargon, aby wykorzystać źródła finansowania Departamentu Obrony.
Na przykład próby „wstrzyknięcia złośliwego oprogramowania” (żargon komercyjny) lub „upuszczenia implantu” (żargon NSA) są nazywane „ogniem”, tak jakby wystrzelono z broni.
Jednak analogia jest wątpliwa.
W przeciwieństwie do pocisków, bomb czy pocisków, większość złośliwego oprogramowania CIA jest zaprojektowana tak, aby istnieć przez wiele dni, a nawet lat po osiągnięciu celu.
Szkodliwe oprogramowanie CIA nie „eksploduje przy uderzeniu”, ale raczej trwale infekuje swój cel.
Aby zainfekować urządzenie celu, kopie złośliwego oprogramowania muszą zostać umieszczone na urządzeniach celu, dając celowi fizyczne posiadanie złośliwego oprogramowania.
Aby wyprowadzić dane z powrotem do CIA lub czekać na dalsze instrukcje, szkodliwe oprogramowanie musi komunikować się z systemami CIA Command & Control (C2) umieszczonymi na serwerach podłączonych do Internetu.
Jednak takie serwery zazwyczaj nie są dopuszczone do przechowywania informacji niejawnych, więc systemy dowodzenia i kontroli CIA również są jawne.
Udany „atak” na system komputerowy celu przypomina raczej serię złożonych manewrów w ramach wrogiego przejęcia lub ostrożne podsadzanie plotek w celu uzyskania kontroli nad przywództwem organizacji, a nie odpalanie systemu uzbrojenia.
Jeśli trzeba dokonać analogii wojskowej, zarażenie celu jest prawdopodobnie podobna do wykonania całej serii manewrów wojskowych na terytorium celu, w tym obserwacji, infiltracji, okupacji i eksploatacji.
Unikanie kryminalistyki i antywirusów
Szereg standardów określa wzorce infekcji złośliwym oprogramowaniem CIA, które mogą pomóc śledczym zajmującym się przestępstwami sądowymi, a także firmom Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens i antywirusowym, przypisując ataki i chroniąc je przed atakami.
„Tradecraft, czego nie wolno, a czego nie wolno” zawiera zasady CIA dotyczące tego, jak należy pisać złośliwe oprogramowanie, aby uniknąć odcisków palców sugerujących udział „CIA, rządu USA lub jego inteligentnych firm partnerskich” w „przeglądzie kryminalistycznym”.
Podobne tajne standardy obejmują wykorzystanie szyfrowania do ukrywania komunikacji hakerów CIA i złośliwego oprogramowania (pdf), opisywania celów i wydostanych danych (pdf), a także wykonywania ładunków (pdf) i utrzymywania się (pdf) na maszynach celu w dłuższym czasie.Hakerzy CIA przeprowadzili skuteczne ataki na większość znanych programów antywirusowych.
Są one udokumentowane w porażkach AV , produktach bezpieczeństwa osobistego , wykrywaniu i pokonywaniu dostawców usług płatniczych oraz unikaniu PSP / debugera / RE .
Na przykład Comodo został pokonany przez złośliwe oprogramowanie CIA, które umieściło się w „Koszu” systemu Windows .
Podczas gdy Comodo 6.x ma „Gaping Hole of DOOM” .
Hakerzy CIA dyskutowali o tym, co zrobili hakerzy z „Equation Group” NSA i w jaki sposób twórcy złośliwego oprogramowania CIA mogą uniknąć podobnego narażenia .
Przykłady
System zarządzania CIA Engineering Development Group (EDG) obejmuje około 500 różnych projektów (tylko niektóre z nich są udokumentowane przez „Rok Zero”), każdy z własnymi podprojektami, złośliwym oprogramowaniem i narzędziami hakerskimi.
Większość z tych projektów dotyczy narzędzi używanych do penetracji, infestacji („implantacji”), kontroli i eksfiltracji.
Inna gałąź rozwoju koncentruje się na rozwoju i obsłudze systemów Listening Posts (LP) oraz Command and Control (C2) używanych do komunikacji i kontroli implantów CIA; Specjalne projekty służą do kierowania na określony sprzęt, od routerów po telewizory Smart TV.
Niektóre przykładowe projekty zostały opisane poniżej, ale w spisie treści znajdziesz pełną listę projektów opisanych w „Year Zero” WikiLeaks.
OBRAZA
Ręcznie wykonane techniki hakerskie CIA stanowią problem dla agencji.
Każda stworzona przez nią technika tworzy „odcisk palca”, który może być użyty przez śledczych do przypisania wielu różnych ataków tej samej jednostce.
Jest to analogiczne do znalezienia tej samej charakterystycznej rany od noża na wielu osobnych ofiarach morderstwa.
Unikalny styl ranienia wzbudza podejrzenie, że winny jest pojedynczy morderca.
Jak tylko jedno morderstwo w zestawie zostanie rozwiązane, inne morderstwa również zostaną przypisane temu samemu sprawcy.
CIA Oddział zdalnych urządzeń „s group umbrage zbiera i utrzymuje znaczną bibliotekę technik ataku «skradzionych» przez złośliwe oprogramowanie - wyprodukowane w innych krajach, w tym Federacji Rosyjskiej.
Dzięki UMBRAGE i pokrewnym projektom CIA nie tylko zwiększa całkowitą liczbę typów ataków, ale także fałszywie nakierowuje na innych sprawców, pozostawiając „odciski palców” grup, którym skradziono techniki ataku.
Komponenty UMBRAGE obejmują keyloggery, zbieranie haseł, przechwytywanie przez kamerę internetową, niszczenie danych, utrwalanie, eskalację uprawnień, ukrywanie się, unikanie wirusów (PSP) i techniki ankiet.
Dobra jadalnia
Fine Dining zawiera standardowy kwestionariusz, tj. Menu, które wypełniają funkcjonariusze CIA.
Kwestionariusz jest używany przez OSB ( Oddział Wsparcia Operacyjnego ) agencji do przekształcania żądań oficerów prowadzących postępowanie w techniczne na wymagania dotyczące ataków hakerskich (zazwyczaj „wyprowadzania” informacji z systemów komputerowych) dla określonych operacji.
Kwestionariusz pozwala OSB określić, w jaki sposób dostosować istniejące narzędzia do operacji i przekazać to personelowi CIA zajmując się konfiguracją szkodliwego oprogramowania.
OSB funkcjonuje jako interfejs między personelem operacyjnym CIA a odpowiednim personelem wsparcia technicznego.
Wśród możliwych celów kolekcji znajdują się „Zasób”, „Zasób Liason”, „Administrator systemu”, „Zagraniczne operacje informacyjne”, „Zagraniczne agencje wywiadowcze” i „Zagraniczne jednostki rządowe”.
W szczególności brak jest jakichkolwiek odniesień do ekstremistów lub transnarodowych przestępców.
„Sprawujący” jest również proszony o określenie środowiska celu, takiego jak typ komputera, używany system operacyjny, łączność z Internetem i zainstalowane narzędzia antywirusowe (PSP), a także listę typów plików, które mają być eksfiltrowane, np. Dokumenty pakietu Office. , audio, wideo, obrazy lub niestandardowe typy plików. „Menu”.
Prosi również o informacje, czy powtarzający się dostęp do celu jest możliwy i jak długo można utrzymać niezauważalny dostęp do komputera.
Informacje te są wykorzystywane przez oprogramowanie CIA „JQJIMPROVISE” (patrz poniżej) do konfigurowania zestawu złośliwego oprogramowania CIA dostosowanego do określonych potrzeb operacji.
Improwizuj (JQJIMPROVISE)
„Improvise” to zestaw narzędzi do konfiguracji, przetwarzania końcowego, ustawiania ładunku i wyboru wektora wykonania dla narzędzi ankietowych / eksfiltracyjnych obsługujących wszystkie główne systemy operacyjne, takie jak Windows (Bartender), MacOS (JukeBox) i Linux (DanceFloor).
Jego narzędzia konfiguracyjne, takie jak Margarita, umożliwiają NOC (Network Operation Center) dostosowywanie narzędzi w oparciu o wymagania z kwestionariuszy „Fine Dining”.
UL
HIVE to wieloplatformowy pakiet złośliwego oprogramowania CIA i powiązane z nim oprogramowanie kontrolne.
Projekt zapewnia konfigurowalne implanty dla platform Windows, Solaris, MikroTik (używane w routerach internetowych) i Linux oraz infrastrukturę Listening Post (LP) / Command and Control (C2) do komunikacji z tymi implantami.
Implanty są skonfigurowane do komunikacji przez HTTPS z serwerem sieciowym domeny głównej; każda operacja wykorzystująca te implanty ma oddzielną domenę osłonową, a infrastruktura może obsługiwać dowolną liczbę domen osłonowych.
Każda domena domowa jest rozpoznawana jako adres IP, który znajduje się u komercyjnego dostawcy VPS (wirtualnego serwera prywatnego).
Publiczny serwer przekazuje cały ruch przychodzący przez VPN do serwera „Blot”, który obsługuje rzeczywiste żądania połączeń od klientów.
Jest skonfigurowany do opcjonalnego uwierzytelniania klienta SSL: jeśli klient wysyła ważny certyfikat klienta (tylko implanty mogą to zrobić), połączenie jest przekazywane do serwera narzędzi „Honeycomb”, który komunikuje się z implantem; jeśli brakuje ważnego certyfikatu (co ma miejsce w przypadku, gdy ktoś próbuje otworzyć witrynę domeny tytułowej przez przypadek), ruch jest przekierowywany na serwer zewnętrzny, który dostarcza niespodziewanie wyglądającą witrynę.
Serwer narzędzi Honeycomb odbiera wyfiltrowane informacje z implantu; Operator może również zlecić implantowi wykonywanie zadań na komputerze docelowym, tak więc serwer narzędzi działa jako serwer C2 (dowodzenia i kontroli) dla implantu.
Podobną funkcjonalność (choć ograniczoną do systemu Windows) zapewnia projekt RickBobby.
Zobacz sklasyfikowane podręczniki użytkowników i programistów dotyczące HIVE.
Często Zadawane Pytania
Dlaczego teraz?
WikiLeaks opublikowano te informacje, gdy tylko ich weryfikacja i analiza były gotowe.
W lutym administracja Trumpa wydała rozkaz wykonawczy wzywający do przygotowania przeglądu „Cyberwojny” w ciągu 30 dni.
Przegląd zwiększa aktualność i trafność publikacji, ale nie odegrał żadnej roli w ustaleniu daty publikacji.
Redakcje
Nazwy, adresy e-mail i zewnętrzne adresy IP zostały zredagowane na opublikowanych stronach (łącznie 70 875 redakcji) do czasu zakończenia dalszej analizy.
1. Nadmierna redakcja: niektóre pozycje mogły zostać zredagowane, które nie są pracownikami, wykonawcami, celami lub w inny sposób związane z agencją, ale są na przykład autorami dokumentacji dla innych projektów publicznych, które są wykorzystywane przez agencję.2. Tożsamość a osoba: zredagowane nazwiska są zastępowane identyfikatorami użytkowników (numerami), aby umożliwić czytelnikom przypisanie wielu stron do jednego autora. Biorąc pod uwagę zastosowany proces redakcji, jedna osoba może być reprezentowana przez więcej niż jeden przypisany identyfikator, ale żaden identyfikator nie odnosi się do więcej niż jednej rzeczywistej osoby.3. Załączniki z archiwum (zip, tar.gz, ...) są zastępowane plikiem PDF z listą wszystkich nazw plików w archiwum. W miarę oceny zawartości archiwum może zostać udostępnione; do tego czasu archiwum jest redagowane.4. Załączniki z inną zawartością binarną są zastępowane zrzutem szesnastkowym zawartości, aby zapobiec przypadkowemu wywołaniu plików binarnych, które mogły zostać zainfekowane uzbrojonym złośliwym oprogramowaniem CIA. W miarę oceny treści może zostać udostępniona; do tego czasu treść jest redagowana.5. Te dziesiątki tysięcy routingu adresów IP odniesienia (w tym ponad 22 tysięcy w Stanach Zjednoczonych), które odpowiadają możliwych celów, serwerów pocztowych słuchania tajnych CIA, układów pośredniczących i testów, są zredagowane do dalszej wyłącznej dochodzenia.6. Pliki binarne niepublicznego pochodzenia są dostępne tylko jako zrzuty, aby zapobiec przypadkowemu wywołaniu plików binarnych zainfekowanych złośliwym oprogramowaniem CIA.
Schemat organizacyjny
Schemat organizacyjny odpowiada materiałowi opublikowanemu do tej pory przez WikiLeaks.
Ponieważ struktura organizacyjna CIA poniżej poziomu dyrekcji nie jest jawna, umieszczenie EDG i jej oddziałów w schemacie organizacyjnym agencji jest rekonstruowane na podstawie informacji zawartych w dotychczas ujawnionych dokumentach.
Ma służyć jako ogólny zarys organizacji wewnętrznej; należy pamiętać, że zrekonstruowany schemat organizacyjny jest niekompletny i często dochodzi tam do wewnętrznych reorganizacji.
Strony Wiki
„Year Zero” zawiera 7818 stron internetowych z 943 załącznikami z wewnętrznego oprogramowania do pracy grupowej. Oprogramowanie używane w tym celu nosi nazwę Confluence i jest zastrzeżonym oprogramowaniem firmy Atlassian.
Strony internetowe w tym systemie (podobnie jak w Wikipedii) mają historię wersji, która może dostarczyć interesujących informacji na temat ewolucji dokumentu w czasie; Dokumenty 7818 zawierają te historie stron dla 1136 najnowszych wersji.
Kolejność nazwanych stron na każdym poziomie jest określana na podstawie daty (od najstarszych).
Zawartość strony nie jest obecna, jeśli została pierwotnie utworzona dynamicznie przez oprogramowanie Confluence (jak wskazano na przebudowanej stronie).
Jaki okres obejmuje?
Lata 2013 do 2016.
Porządek sortowania stron na każdym poziomie jest określany według daty (od najstarszych).
WikiLeaks uzyskało datę utworzenia / ostatniej modyfikacji CIA dla każdej strony, ale z przyczyn technicznych nie pojawiają się one jeszcze.
Zwykle datę można rozpoznać lub określić w przybliżeniu na podstawie treści i kolejności stron.
Jeśli ważne jest, aby znać dokładną godzinę / datę, skontaktuj się z WikiLeaks.
Co to jest „Krypta 7”
„Krypta 7” to pokaźny zbiór materiałów o działalności CIA uzyskanych przez WikiLeaks.
Kiedy uzyskano każdą część „Krypty 7”?
Część pierwsza została pozyskana niedawno i obejmuje cały rok 2016.
Szczegóły dotyczące pozostałych części będą dostępne w momencie publikacji.
Czy każda część „Krypty 7” pochodzi z innego źródła?
Szczegóły dotyczące pozostałych części będą dostępne w momencie publikacji.
Jaki jest całkowity rozmiar „Krypty 7”?
Seria jest największą publikacją wywiadowczą w historii.
W jaki sposób WikiLeaks zdobyło każdą część „Krypty 7”?
Źródła ufają, że WikiLeaks nie ujawnia informacji, które mogłyby pomóc w ich identyfikacji.
Czy WikiLeaks nie obawia się, że CIA będzie działać przeciwko swoim pracownikom, aby zatrzymać serię?
Nie.
To z pewnością przyniosłoby skutki odwrotne do zamierzonych.
Czy WikiLeaks już „wydobyło” wszystkie najlepsze historie?
Nie.
WikiLeaks celowo nie napisało setek wpływowych historii, aby zachęcić innych do ich znalezienia, a tym samym stworzyć ekspertyzę w tej dziedzinie do kolejnych części serii.
Są tam Osoby, które wykazują się dziennikarską doskonałością, mogą zostać wykorzystane do przyszłych części publikacji.
Czy inni dziennikarze nie znajdą przede mną wszystkich najlepszych historii?
Mało prawdopodobne. Historii jest znacznie więcej niż dziennikarzy czy naukowców, którzy są w stanie je napisać.
Źródło:
https://wikileaks.org/ciav7p1/
