揭秘 | 美国中央情报局大规模数据泄露，附典型作案兵器

雷峰网 · 公众号 · 科技媒体 · 2017-03-10 17:38

正文

请到「今天看啥」查看全文

操作系统资料，包括 iOS、MacOS、Android、Linux、虚拟机等系统的信息和知识。

工具和开发资料，包括 CIA 内部用到的 Git 等开发工具。

员工资料，包括员工的个人信息，以及员工自己创建的一些内容。

知识库，这里面分门别类地存放了大量技术知识以及攻击手段。其中比较重要的是关于 Windows 操作系统的技术细节和各种漏洞，以及对于常见的个人安全产品（Personal Security Products）的绕过手段，包括诺顿、卡巴斯基、赛门铁克、微软杀毒以及瑞星等安全产品。

总的来看，这些数据虽然有组织关系，但是作为工作平台而言，并没有形成严格的规范，很多文件都是随意放置的，甚至还包括 asdf 这样的测试文件，更像是一个内部的知识共享平台。

典型兵器

在这次公布的数据中，一些比较值得注意的兵器项目如下：

Weeping Angel

Weeping Angel(哭泣的天使) 是一款由 CIA Embedded Devices Branch(嵌入式设备组) 和英国 MI5 共同开发的针对三星智能电视的窃听软件。 三星智能电视使用的是 Android 操作系统，该窃听软件感染智能电视后，会劫持电视的关机操作，保持程序的后台运行，让用户误以为已经关机了。

它会启动麦克风，开启录音功能，然后将录音内容回传到 CIA 的后台服务器中。 考虑到三星智能电视使用的是 Android 操作系统，推测该恶意软件具备感染 Android 手机的能力。韩国和美国是三星智能电视的最主要消费国家。

HIVE

HIVE(蜂巢) 是 CIA 开发的远程控制后台项目，该项目负责多个平台的后台控制工作。 从泄漏的文件来看，HIVE 系统在 2010 年 10 月 26 日发布了第一版，直到 2014 年 1 月 13 日一共更新到 2.6.2 版本。作为间谍软件最重要的部分，Command & Control Server 就由该项目负责。整体上，植入目标机器中的间谍软件，通过 HTTPS 协议同后台 C&C 服务器进行交互，整个通信过程使用了，数据加密，身份鉴权等诸多信息安全高级技术。同时在异常处理和服务器隐藏等关键模块的设计上，也体现出国家队的技术水平。

从架构设计上分析，HIVE 分为两层，第一层直接与间谍软件连接，部署在商用的 VPS(Vritual Private Server) 上。第一层将所有流量通过 VPN 加密转发到第二层。转发策略是如果流量经过身份鉴权，确认是目标机器，就会向代号为”Honeycomb” 的服务器集群转发，这里会对收集到的信息进行存贮和分析，如果鉴权失败，就会向一个无害的网站转发，达到重要服务器不被暴露的目的。