E安全7月15日訊 維琪解密美國時間7月13日發佈第16批“Vault”CIA文檔, 詳細介紹了CIA的一款攔截短資訊, 並將其重定向到遠端Web伺服器的一款Android惡意程式, 名為“摩天大樓”(HighRise)。
維琪解密公開的HighRise使用者手冊顯示, 其只在Android 4.0至4.3(Android Ice Cream Sandwich和Jelly Bean)上運作, 這份手冊製作時間為2013年12月, 時隔近4年, CIA應該已經更新升級了這款工具, 以適應較新版本的Android作業系統。
HighRise及其特徵一般來說, 惡意軟體通過內部連接把從被入侵設備中盜取的資訊發送給攻擊者控制的伺服器(監聽站), 但就智慧手機而言, 惡意軟體可以通過短信等途徑將竊取的資料發送給攻擊者。
至於通過短信收集竊取的資料, 攻擊者必須處理一個主要問題, 即分類並分析從多台目標設備接收的大批量資訊。
為了解決這個問題, CIA創建了一款簡單的Android應用“HighRise”, 作為被感染設備和監聽伺服器之間的短信代理。
HighRise 來源於一個名為 TideCheck 的 APP (tidecheck-2.0.apk, MD5: 05ed39b0f1e578986b1169537f0a66fe), 用於從被入侵設備中通過短信接收所有的被盜資料。
CIA必須將TideCheck安裝到目標設備上, 之後手動運行至少一次才能讓該工具獲得持久運行。 這看起來就很不方便, 因此這款工具並不是用來實施社會工程學攻擊。 但首次運行該工具時, CIA必須輸入阿拉伯單詞“inshallah”(“上帝的意願”)。
特徵HighRise使用者手冊顯示其主要特徵包括:
將所有接收的短資訊發送到CIA控制的網路服務器。
通過 HighRise 主機從被入侵的手機端發送短信。
在HighRise現場操作員與監聽站之間提供通信通道。
利用TLS/SSL互聯網安全通信。
從後兩項特徵看出, HighRise這款APP並非必須要安裝在目標手機上, 而是可以將TideCheck安裝到CIA操作人員的手機上, 可以為操作人員與監聽人員之間提供二級加密通信通道。
HighRise如何運作?HighRise是一個短信代理,
一旦安裝成功, 這款應用程式會提示輸入密碼, 其預設密碼為“inshallah”, 登錄之後, 會出現以下三個選項:
初始化——運行 HighRise 工具。
顯示/編輯配置——顯示並編輯 HighRise 的設定檔, 包括必須使用 HTTPS 的監聽站伺服器URL。
發送短信——允許操作者從手機端向 CIA 控制的遠端伺服器發送短信。
下面是E安全整理的維琪解密自今年3月以來披露發佈的CIA工具, 點擊即可查看:
OutlawCountry(“法外之地”, 入侵運行有Linux作業系統的電腦);
Elsa(“艾爾莎”, 利用WiFi追蹤電腦地理位置);
Brutal Kangaroo(“野蠻袋鼠”, 攻擊網閘設備和封閉網路);
Emotional Simian(“情感猿猴”, 針對網閘設備的病毒)
Cherry Blossom (“櫻花”, 攻擊無線設備的框架);
Pandemic(“流行病”, 檔案伺服器轉換為惡意軟體感染源);
Athena(“雅典娜”, 惡意間諜軟體, 能威脅所有Windows版本);
AfterMidnight (“午夜之後”, Winodws平臺上的惡意軟體框架);
Archimedes(“阿基米德”, 中間人攻擊工具) ;
Scribbles(CIA追蹤涉嫌告密者的程式);
Weeping Angel (“哭泣天使”, 將智慧電視的麥克風轉變為監控工具);
Hive (“蜂巢”, 多平臺入侵植入和管理控制工具);
Grasshopper(“蝗蟲”, 針對Windows系統的一個高度可配置木馬遠控植入工具);
Marble Framework (“大理石框架”, 用來對駭客軟體的開發代碼進行混淆處理、防止被歸因調查取證);
Dark Matter(“暗物質”, CIA入侵蘋果Mac和iOS設備的技術與工具)
E安全注: