Dette er den mest fantastiske åbenbaring af mørke CIA-hemmeligheder i historien, der overstiger endda Edward Snowdens dump af NSA-hemmeligheder. Begge disse afslører tankegangen for teknokrater, der mener, at ingen data er uden grænser for dem, og at alle data i det væsentlige tilhører dem til optagelsen. De ønsker fuld synlighed over alt og alt, hvad de vælger at sætte deres øjne på. Dette er en must-read historie. ⁃ TN Editor
I dag, tirsdag den 7. marts 2017, begynder WikiLeaks sin nye række lækager til US Central Intelligence Agency. Kodenavnet “Vault 7” af WikiLeaks er det den største nogensinde offentliggørelse af fortrolige dokumenter på agenturet.
Den første fulde del af serien, ”Year Zero”, omfatter 8,761 dokumenter og filer fra et isoleret højsikkerhedsnetværk inde i CIAs Center for Cyber Intelligence i Langley, Virgina. Det følger efter en indledende offentliggørelse i sidste måned af CIA rettet mod franske politiske partier og kandidater i spidsen op til præsidentvalget i 2012.
For nylig mistede CIA kontrollen over størstedelen af sit hackingarsenal, herunder malware, vira, trojanske heste, våbenvåben "zero day" -udnyttelse, malware-fjernstyringssystemer og tilhørende dokumentation. Denne ekstraordinære samling, der udgør mere end flere hundrede millioner linjer kode, giver sin besidder hele CIA's kapacitet til hacking. Arkivet ser ud til at være blevet cirkuleret blandt tidligere amerikanske regeringshackere og entreprenører på en uautoriseret måde, hvoraf den ene har forsynet WikiLeaks med dele af arkivet.
"Year Zero" introducerer rækkevidden og retningen for CIA's globale skjulte hackingprogram, dets malware-arsenal og snesevis af "zero day" -våbenudnyttelser mod en bred vifte af amerikanske og europæiske virksomhedsprodukter, herunder Apples iPhone, Googles Android og Microsofts Windows og endda Samsung-tv, som bliver til skjulte mikrofoner.
Siden 2001 har CIA opnået politisk og budgetmæssig fremherskelse over US National Security Agency (NSA). CIA befandt sig i at bygge ikke kun sin nu berygtede droneflåde, men en meget anden type skjult, verdensomspændende styrke - sin egen betydelige flåde af hackere. Agenturets hackedivision befri det fra at skulle afsløre sine ofte kontroversielle operationer til NSA (dens primære bureaukratiske rival) for at trække på NSA's hackingkapacitet.
Ved udgangen af 2016 havde CIA's hackingafdeling, der formelt falder ind under agenturets Center for Cyber Intelligence (CCI), over 5000 registrerede brugere og havde produceret mere end tusind hackingsystemer, trojanske heste, vira og anden "våbenmæssig" malware. . Sådan er omfanget af CIAs forpligtelse, at hackere i 2016 havde brugt mere kode end den, der bruges til at køre Facebook. CIA havde faktisk oprettet sin ”egen NSA” med endnu mindre ansvarlighed og uden offentligt at besvare spørgsmålet om, hvorvidt et så stort budgetudgifter til at duplikere et konkurrerende agenturs kapacitet kunne være berettiget.
I en erklæring til WikiLeaks beskriver kilden de politiske spørgsmål, som de siger, at de hurtigst muligt skal debatteres offentligt, herunder om CIA's hackingfunktioner overstiger dens mandater og problemet med offentlig tilsyn med agenturet. Kilden ønsker at indlede en offentlig debat om sikkerhed, oprettelse, brug, spredning og demokratisk kontrol af cybervåben.
Når et enkelt cyber 'våben' er 'løst', kan det sprede sig rundt om i verden på få sekunder og bruges af rivaliserende stater, cybermafia og teenage-hackere.
Julian Assange, WikiLeaks-redaktør sagde, at ”Der er en ekstrem spredningsrisiko i udviklingen af cybervåben. Der kan drages sammenligninger mellem den ukontrollerede spredning af sådanne 'våben', hvilket skyldes manglende evne til at indeholde dem kombineret med deres høje markedsværdi og den globale våbenhandel. Men betydningen af "Year Zero" går langt ud over valget mellem cyberkrig og cyberpeace. Oplysningen er også usædvanlig set fra et politisk, juridisk og retsmedicinsk perspektiv. ”
Wikileaks har nøje gennemgået afsløringen af "Year Zero" og offentliggjort materiel CIA-dokumentation, samtidig med at man undgår distribution af 'bevæbnede' cybervåben, indtil der opnås enighed om den tekniske og politiske karakter af CIA's program, og hvordan sådanne 'våben' skal analyseres, afvæbnes og offentliggøres. .
Wikileaks har også besluttet at redigere og anonymisere nogle identificerende oplysninger i "Year Zero" til dybdegående analyse. Disse redaktioner inkluderer ti tusinder af CIA-mål og angrebsmaskiner i hele Latinamerika, Europa og USA. Mens vi er opmærksomme på de ufuldkomne resultater af enhver valgt fremgangsmåde, forbliver vi forpligtet til vores udgivelsesmodel og bemærker, at mængden af offentliggjorte sider i "Vault 7" første del ("Year Zero") allerede formørker det samlede antal sider, der er offentliggjort over de første tre år af Edward Snowden NSA lækker.
Analyse
CIA-malware er målrettet mod iPhone, Android, smarte tv'er
CIA-malware og hackingsværktøjer er bygget af EDG (Engineering Development Group), en softwareudviklingsgruppe inden for CCI (Center for Cyber Intelligence), en afdeling, der tilhører CIA's DDI (Directorate for Digital Innovation). DDI er et af CIAs fem største direktorater (se dette organisationsplan af CIA for flere detaljer).
EDG er ansvarlig for udvikling, test og operationel support af alle bagdøre, udnyttelse, ondsindet nyttelast, trojanere, vira og enhver anden form for malware, der bruges af CIA i dens skjulte operationer over hele verden.
Den stigende sofistikering af overvågningsteknikker har trukket sammenligninger med George Orwells 1984, men "Weeping Angel", udviklet af CIAs Embedded Devices Branch (EDB), som infesterer smarte tv'er og omdanner dem til skjulte mikrofoner, er det bestemt den mest symbolsk erkendelse.
Angrebet mod Samsung smart-tv'er blev udviklet i samarbejde med Det Forenede Kongeriges MI5 / BTSS. Efter angreb placerer Weeping Angel mål-tv'et i en 'Fake-Off' -tilstand, så ejeren fejlagtigt mener, at tv'et er slukket, når det er tændt. I 'Fake-Off' -tilstand fungerer tv'et som en fejl, optager samtaler i rummet og sender dem over internettet til en skjult CIA-server.
På trods af iPhones mindretalsandel (14.5%) af det globale smartphonemarked i 2016 producerer en specialenhed i CIA's Mobile Development Branch malware til infest, kontrol og exfiltrering af data fra iPhones og andre Apple-produkter, der kører iOS, såsom iPads. CIAs arsenal inkluderer mange lokale og fjerntliggende "nul dage" udviklet af CIA eller fået fra GCHQ, NSA, FBI eller købt fra cybervåbenentreprenører som Baitshop. Det uforholdsmæssige fokus på iOS kan muligvis forklares med populariteten af iPhone blandt sociale, politiske, diplomatiske og forretningsmæssige eliter.
Disse teknikker tillader CIA at omgå krypteringen af WhatsApp, Signal, Telegram, Wiebo, Confide og Cloackman ved at hacke de "smarte" telefoner, som de kører på, og indsamle lyd- og meddelelsestrafik, før kryptering anvendes.
CIA-malware er målrettet mod Windows, OSx, Linux, routere
Mange af disse infektionsindsatser trækkes sammen af CIA'erneAutomated Implant Branch (AIB), som har udviklet adskillige angrebssystemer til automatiseret angreb og kontrol af CIA-malware, såsom “Assassin” og “Medusa”.
CIA har udviklet automatiserede multi-platform-angrebs- og kontrolsystemer til malware, der dækker Windows, Mac OS X, Solaris, Linux og mere, såsom EDBs “HIVE” og de relaterede “Cutthroat” og “Swindle” værktøjer, som er beskrevet i eksemplet nedenfor.
CIA 'hamstrede' sårbarheder ("nul dage")
I kølvandet på Edward Snowdens lækager om NSA sikrede den amerikanske teknologiindustri et tilsagn fra Obama-administrationen om, at den udøvende myndighed løbende ville afsløre - snarere end hamstring - alvorlige sårbarheder, udnyttelser, fejl eller "nul dage" til Apple, Google, Microsoft og andre amerikanske baserede producenter.
Alvorlige sårbarheder, der ikke er videregivet til producenterne, udgør store skår af befolkningen og kritisk infrastruktur i fare for udenlandsk efterretnings- eller cyberkriminelle, der uafhængigt opdager eller hører rygter om sårbarheden. Hvis CIA kan opdage sådanne sårbarheder, så kan andre også.
Den amerikanske regerings forpligtelse over for Proces med sårbarhedsaktier kom efter betydelig lobbyvirksomhed fra amerikanske teknologiselskaber, der risikerer at miste deres andel af det globale marked over reelle og opfattede skjulte sårbarheder. Regeringen oplyste, at den løbende ville afsløre alle gennemgribende sårbarheder, der blev opdaget efter 2010.
"Year Zero" -dokumenter viser, at CIA overtrådte Obama-administrationens forpligtelser. Mange af de sårbarheder, der bruges i CIA's cyberarsenal, er gennemgribende, og nogle er måske allerede fundet af rivaliserende efterretningsbureauer eller cyberkriminelle.
Som et eksempel er specifik CIA-malware afsløret i "Year Zero" i stand til at trænge igennem, angribe og kontrollere både Android-telefonen og iPhone-softwaren, der kører eller har kørt præsidentens Twitter-konti. CIA angriber denne software ved hjælp af ikke-afsløret sikkerhedssårbarhed ("nul dage"), som CIA besidder, men hvis CIA kan hacke disse telefoner, så kan alle andre, der har opnået eller opdaget sårbarheden, også. Så længe CIA holder disse sårbarheder skjult for Apple og Google (der fremstiller telefoner), bliver de ikke rettet, og telefonerne forbliver hackbare.
De samme sårbarheder findes for befolkningen som helhed, herunder det amerikanske kabinet, kongressen, top-administrerende direktører, systemadministratorer, sikkerhedsofficerer og ingeniører. Ved at skjule disse sikkerhedsfejl fra producenter som Apple og Google sikrer CIA, at det kan hacke alle & mdsh; på bekostning af at lade alle hackes.
'Cyberwar' -programmer er en alvorlig spredningsrisiko
Cyber 'våben' er ikke muligt at holde under effektiv kontrol.
Mens nuklear spredning er begrænset af de enorme omkostninger og den synlige infrastruktur, der er involveret i at samle nok fissilt materiale til at producere en kritisk nuklear masse, er cybervåben, når de først er udviklet, meget svære at fastholde.
Cyber 'våben' er faktisk bare computerprogrammer, som kan pirateres som alle andre. Da de udelukkende består af information, kan de kopieres hurtigt uden marginale omkostninger.
Det er især vanskeligt at sikre sådanne 'våben', da de samme mennesker, der udvikler og bruger dem, har færdighederne til at exfiltrere kopier uden at efterlade spor - nogle gange ved at bruge de samme 'våben' mod de organisationer, der indeholder dem. Der er betydelige prisincitamenter for regeringshackere og konsulenter til at få kopier, da der er et globalt “sårbarhedsmarked”, der vil betale hundreder af tusinder til millioner af dollars for kopier af sådanne 'våben'. Tilsvarende bruger entreprenører og virksomheder, der får sådanne 'våben' nogle gange til deres egne formål og opnår fordel over deres konkurrenter ved salg af 'hacking' -tjenester.
I løbet af de sidste tre år har den amerikanske efterretningssektor, der består af regeringsorganer som CIA og NSA og deres entreprenører, såsom Booze Allan Hamilton, været udsat for en hidtil uset række dataeksfiltrationer af sine egne arbejdere.
Et antal efterretningsfællesskabsmedlemmer, der endnu ikke er offentlig navngivet, er blevet arresteret eller udsat for føderale kriminelle efterforskninger i separate hændelser.
Mest synligt 8, 2017, 20, anklagede en amerikansk føderal grand jury Harold T. Martin III med 50,000-tællinger for ukorrekte klassificerede oplysninger. Justitsministeriet hævdede, at det beslaglagde nogle XNUMX gigabyte med information fra Harold T. Martin III, som han havde opnået fra klassificerede programmer på NSA og CIA, herunder kildekoden til adskillige hackingværktøjer.
Når et enkelt cyber 'våben' er 'løst', kan det sprede sig rundt om i verden på få sekunder og bruges af jævnaldrende, cybermafia og teenage-hackere.
Det amerikanske konsulat i Frankfurt er en skjult CIA-hackerbase
Ud over sine operationer i Langley, Virginia bruger CIA også det amerikanske konsulat i Frankfurt som en skjult base for sine hackere, der dækker Europa, Mellemøsten og Afrika.
CIA-hackere, der opererer fra Frankfurt-konsulatet ( “Center for Cyber Intelligence Europe” eller CCIE) får diplomatiske (“sorte”) pas og dækning af udenrigsministeriet. Instruktionerne for indgående CIA-hackere få Tysklands indsats mod efterretning til at virke ubetydelig: "Brise gennem tysk told, fordi du har din cover-for-action-historie nede, og alt hvad de gjorde var at stemple dit pas"
Din Cover Story (til denne rejse) Q: Hvorfor er du her? A: Understøttelse af tekniske konsultationer på konsulatet.
En gang i Frankfurt kan CIA rejse uden yderligere grænsekontrol til de europæiske 25-lande, der er en del af det åbne grænseområde Shengen - inklusive Frankrig, Italien og Schweiz.
En række af CIAs elektroniske angrebsmetoder er designet til fysisk nærhed. Disse angrebsmetoder er i stand til at trænge ind i højsikkerhedsnetværk, der er afbrudt fra internettet, såsom politiets journaldatabase. I disse tilfælde infiltrerer en CIA-officer, agent eller allieret efterretningsofficer, der handler under instruktioner, fysisk den målrettede arbejdsplads. Angriberen er forsynet med en USB, der indeholder malware udviklet til CIA til dette formål, som indsættes i den målrettede computer. Angriberen inficerer derefter og exfiltrerer data til flytbare medier. For eksempel CIA-angrebssystemet Spise fint, leverer 24-lokkeapplikationer til CIA-spioner at bruge. For vidner ser det ud til, at spionen kører et program, der viser videoer (f.eks. VLC), præsenterer lysbilleder (Prezi), spiller et computerspil (Breakout2, 2048) eller endda kører en falsk virusscanner (Kaspersky, McAfee, Sophos). Men mens lokkefugle-applikationen er på skærmen, inficeres og pakkes underlagssystemet automatisk.
Hvordan CIA dramatisk øgede spredningsrisikoen
I det, der helt sikkert er et af de mest forbløffende intelligente egne mål i levende hukommelse, strukturerede CIA sin klassificeringsordning således, at for den mest markedsværdige del af “Vault 7” - CIAs våbenbeskyttede malware (implantater + nul dage), Listening Posts ( LP) og C2-systemer (Command and Control) - agenturet har lidt juridisk anvendelse.
CIA gjorde disse systemer uklassificerede.
Hvorfor CIA valgte at gøre sin cyberarsenal uklassificeret afslører, hvordan koncepter udviklet til militær brug ikke let overgår til 'slagmarken' for cyber 'krig'.
For at angribe sine mål kræver CIA normalt, at dets implantater kommunikerer med deres kontrolprogrammer over internettet. Hvis CIA-implantater, Command & Control og Listening Post-software blev klassificeret, kunne CIA-officerer retsforfølges eller afskediges for at overtræde regler, der forbyder placering af klassificerede oplysninger på Internettet. Derfor har CIA i hemmelighed gjort det meste af sin cyberspionage / krigskode uklassificeret. Den amerikanske regering er heller ikke i stand til at hævde ophavsret på grund af begrænsninger i den amerikanske forfatning. Dette betyder, at cybervåbenproducenter og computerhackere frit kan "piratkopiere" disse "våben", hvis de fås. CIA har primært været nødt til at stole på tilsløring for at beskytte sine malwarehemmeligheder.
Konventionelle våben såsom missiler kan affyres mod fjenden (dvs. i et usikret område). Nærhed til eller indvirkning på målet detonerer anlægget inklusive dets klassificerede dele. Derfor overtræder militært personel ikke klassificeringsregler ved at skyde ordnance med klassificerede dele. Ordnance vil sandsynligvis eksplodere. Hvis den ikke gør det, er det ikke operatørens hensigt.
I løbet af det sidste årti har amerikanske hackingoperationer i stigende grad været klædt ud i militærjargon for at få adgang til finansieringsstrømme fra Forsvarsministeriet. For eksempel kaldes forsøg på "malware-injektioner" (kommercielt jargon) eller "implantatdråber" (NSA-jargon) "brande", som om et våben blev fyret. Imidlertid er analogien tvivlsom.
I modsætning til kugler, bomber eller missiler er de fleste CIA-malware designet til at leve i dage eller endda år efter, at det har nået sit 'mål'. CIA-malware "eksploderer ikke ved påvirkning", men angriber snarere permanent sit mål. For at inficere målets enhed skal kopier af malware placeres på målets enheder, hvilket giver fysisk besiddelse af malware til målet. For at exfiltrere data tilbage til CIA eller afvente yderligere instruktioner skal malware kommunikere med CIA Command & Control (C2) -systemer placeret på internetforbundne servere. Men sådanne servere er typisk ikke godkendt til at indeholde klassificerede oplysninger, så CIAs kommando- og kontrolsystemer gøres også uklassificerede.
Et vellykket 'angreb' på et måls computersystem ligner mere en række komplekse lagermanøvrer i et fjendtligt overtagelsesbud eller omhyggelig plantning af rygter for at få kontrol over en organisations ledelse snarere end affyringen af et våbensystem. Hvis der skal foretages en militær analogi, er angreb af et mål måske beslægtet med udførelsen af en hel række militære manøvrer mod målets territorium inklusive observation, infiltration, besættelse og udnyttelse.
Undgå retsmedicin og antivirus
En række standarder opstiller angrebsmønstre mod malware i CIA, som sandsynligvis hjælper retsmedicinske efterforskere med kriminelle scener samt Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens og antivirusfirmaer tilskriver og forsvarer mod angreb.
CIA's Engineering Development Group (EDG) ledelsessystem indeholder omkring 500 forskellige projekter (hvoraf kun nogle er dokumenteret af "Year Zero"), hver med deres egne underprojekter, malware og hacker-værktøjer.
Størstedelen af disse projekter vedrører værktøjer, der bruges til penetration, angreb ("implantering"), kontrol og exfiltrering.
En anden udviklingsgren fokuserer på udvikling og drift af LP-poster (LP) og kommando og kontrol (C2) -systemer, der bruges til at kommunikere med og kontrollere CIA-implantater; specielle projekter bruges til at målrette specifikt hardware fra routere til smart TV.
Nogle eksempler på projekter er beskrevet nedenfor, men se indholdsfortegnelsen for den fulde liste over projekter, der er beskrevet af WikiLeaks '"Year Zero".
anstød
CIA's håndlavede hacketeknikker udgør et problem for agenturet. Hver teknik, den har skabt, danner et ”fingeraftryk”, der kan bruges af retsmedicinske efterforskere til at tilskrive flere forskellige angreb til den samme enhed.
Dette er analogt med at finde det samme markante knivsår på flere separate mordofre. Den unikke sårstil skaber mistanke om, at en enkelt morder er ansvarlig. Så snart et mord i sættet er løst, finder de andre mord også sandsynligvis tilskrivning.
Med UMBRAGE og relaterede projekter kan CIA ikke kun øge sit samlede antal angrebstyper, men også misvise tilskrivning ved at efterlade "fingeraftryk" fra de grupper, som angrebsteknikkerne blev stjålet fra.
UMBRAGE-komponenter dækker keyloggers, indsamling af adgangskoder, indfangning af webcam, destruktion af data, udholdenhed, eskalering af privilegier, stealth, anti-virus (PSP) undgåelse og undersøgelsesteknikker.
Spise fint
Fine Dining leveres med et standardiseret spørgeskema, dvs. menu, som CIA-sagsbehandlere udfylder. Spørgeskemaet bruges af agenturets OSB (Operationel supportfilial) at omdanne sagsbehandlers anmodninger til tekniske krav til hackeangreb (typisk “exfiltrere” oplysninger fra computersystemer) til specifikke operationer. Spørgeskemaet giver OSB mulighed for at identificere, hvordan de tilpasser eksisterende værktøjer til operationen, og kommunikere dette til CIA-malware-konfigurationsmedarbejdere. OSB fungerer som grænsefladen mellem CIA's operationelle personale og det relevante tekniske supportpersonale.
Blandt listen over mulige mål for samlingen er 'Asset', 'Liason Asset', 'Systemadministrator', 'Foreign Information Operations', 'Foreign Intelligence Agencies' og 'Foreign Government Entities'. Navnlig fraværende er der ingen henvisning til ekstremister eller tværnationale kriminelle. 'Sagsbehandler' bliver også bedt om at specificere miljøet for målet såsom typen af computer, det anvendte operativsystem, internetforbindelse og installerede antivirusværktøjer (PSP'er) samt en liste over filtyper, der skal exfiltreres som Office-dokumenter. , lyd, video, billeder eller brugerdefinerede filtyper. 'Menuen' beder også om oplysninger, hvis det er muligt med tilbagevendende adgang til målet, og hvor længe ikke-observeret adgang til computeren kan opretholdes. Disse oplysninger bruges af CIA's 'JQJIMPROVISE' software (se nedenfor) til at konfigurere et sæt CIA-malware, der passer til de specifikke behov for en operation.
Improvise (JQJIMPROVISE)
'Improvise' er et værktøjssæt til konfiguration, efterbehandling, opsætning af nyttelast og udførelse af vektorvalg til undersøgelses- / exfiltreringsværktøjer, der understøtter alle større operativsystemer som Windows (Bartender), MacOS (JukeBox) og Linux (DanceFloor). Dens konfigurationsværktøjer som Margarita giver NOC (Network Operation Center) mulighed for at tilpasse værktøjer baseret på krav fra 'Fine Dining' spørgeskemaer.
HIVE
HIVE er en multi-platform CIA malware-pakke og den tilhørende kontrolsoftware. Projektet tilvejebringer tilpassbare implantater til Windows, Solaris, MikroTik (brugt i internet routere) og Linux platforme og en Listing Post (LP) / Command and Control (C2) infrastruktur til at kommunikere med disse implantater.
Implantaterne er konfigureret til at kommunikere via HTTPS med webserveren til et dækningsdomæne; hver operation, der anvender disse implantater, har et separat dækningsdomæne, og infrastrukturen kan håndtere et hvilket som helst antal dækningsdomæner.
Hvert dækningsdomæne løses til en IP-adresse, der er placeret hos en kommerciel VPS-udbyder (Virtual Private Server). Den offentligt vendte server videresender al indgående trafik via en VPN til en 'Blot' -server, der håndterer faktiske forbindelsesanmodninger fra klienter. Det er opsat til valgfri SSL-klientgodkendelse: Hvis en klient sender et gyldigt klientcertifikat (kun implantater kan gøre det), sendes forbindelsen til værktøjsserveren 'Honeycomb', der kommunikerer med implantatet; hvis et gyldigt certifikat mangler (hvilket er tilfældet, hvis nogen ved en fejltagelse forsøger at åbne dækningsdomæne-webstedet), videresendes trafikken til en dækningsserver, der leverer et intetanende websted.
Honeycomb-værktøjsserveren modtager udfiltreret information fra implantatet; en operatør kan også opgive implantatet at udføre job på målcomputeren, så værktøjsserveren fungerer som en C2 (kommando og kontrol) server for implantatet.
Lignende funktionalitet (skønt begrænset til Windows) leveres af RickBobby-projektet.
Signal-app er produceret af Open Whisper Systems, som er finansieret af Open Technology Fund (Største finansierer af Open Whisper Systems), som er et amerikansk regeringsprojekt (som også har arbejdet med TOR og TAILS, krypteret adgang og operativsystem).
"Open Technology Fund (OTF) er en Amerikanske regering finansieret program oprettet i 2012 at Radio Free Asia at støtte globalt Internet frihed teknologier. Dets mission er at ”[udnytte] disponible midler til at støtte projekter, der udvikler åbne og tilgængelige teknologier til at omgå censurovervågningog dermed fremme menneskerettigheder og åbne samfund ”.[1]
wpDiscuz