Krypta 7 - Vault 7

Krypta 7 to seria dokumentów, które WikiLeaks zaczęła publikować 7 marca 2017 r., szczegółowo opisujących działania i możliwości Centralnej Agencji Wywiadowczej Stanów Zjednoczonych w zakresie prowadzenia elektronicznego nadzoru i cyberwojny . Pliki, datowane na lata 2013-2016, zawierają szczegółowe informacje na temat możliwości oprogramowania agencji, takich jak możliwość włamywania się do samochodów , telewizorów smart , przeglądarek internetowych (w tym Google Chrome , Microsoft Edge , Mozilla Firefox i Opera ) oraz systemów operacyjnych Większość smartfonów (w tym firmy Apple 's iOS i Google ' s Androida ), jak również inne systemy operacyjne , takie jak Microsoft Windows , MacOS i Linux . Wewnętrzny audyt CIA wykrył 91 złośliwych narzędzi z ponad 500 używanych w 2016 r., które zostały naruszone przez wydanie.

Historia

W styczniu i lutym 2017 r. Departament Sprawiedliwości Stanów Zjednoczonych negocjował za pośrednictwem adwokata Juliana Assange'a Adama Waldmana w sprawie immunitetu i bezpiecznego przejścia dla Assange'a w celu opuszczenia ambasady Ekwadoru w Londynie i wyjazdu do Stanów Zjednoczonych w celu omówienia minimalizacji ryzyka przyszłych WikiLeaks publikacje, w tym redakcje, oraz zeznania, że ​​Rosja nie była źródłem publikacji WikiLeaks w 2016 roku . W połowie lutego 2017 r. Waldman, który działał pro bono, zapytał senatora Marka Warnera, który był współprzewodniczącym Senackiej Komisji ds. Wywiadu, czy ma jakieś pytania, które mógłby zadać Assange'owi. Warner nagle skontaktował się z dyrektorem FBI Jamesem Comey i powiedział Waldmanowi „ustąp i zakończ negocjacje z Assange”, co Waldman zastosował. Jednak David Laufman, który był odpowiednikiem Waldmana w Departamencie Sprawiedliwości, odpowiedział: „To BS Nie odstawiasz i ja też nie”. Według Raya McGovern z 28 marca 2017 r. Waldman i Laufman byli bardzo blisko porozumienia między Departamentem Sprawiedliwości a Assange w sprawie „podejścia do ograniczania ryzyka związanego z dokumentami CIA będącymi w posiadaniu lub pod kontrolą WikiLeaks, takich jak redakcja personelu Agencji we wrogich jurysdykcjach, ” w zamian za „akceptowalny immunitet i porozumienie o bezpiecznym przejściu”, ale formalne porozumienie nigdy nie zostało osiągnięte, a bardzo szkodliwe ujawnienie dotyczące „Marble Framework” zostało opublikowane przez WikiLeaks w dniu 31 marca 2017 r.

Według doniesień medialnych, w lutym 2017 r. WikiLeaks zaczął drażnić się z wydaniem „Vault 7” serią tajemniczych wiadomości na Twitterze. Później, w lutym, WikiLeaks opublikowała tajne dokumenty opisujące, jak CIA monitorowała francuskie wybory prezydenckie w 2012 roku . Komunikat prasowy do przecieku stwierdzał, że został opublikowany „jako kontekst dla nadchodzącej serii CIA Vault 7”.

W marcu 2017 r. urzędnicy amerykańskiego wywiadu i organów ścigania powiedzieli międzynarodowej agencji informacyjnej Reuters , że są świadomi naruszenia bezpieczeństwa CIA, które doprowadziło do powstania Krypty 7, od końca 2016 r. Dwóch urzędników powiedziało, że koncentruje się na „wykonawcach” jako możliwym źródle przecieków.

W 2017 r. federalne organy ścigania zidentyfikowały inżyniera oprogramowania CIA Joshuę Adama Schulte jako podejrzane źródło Krypty 7.

13 kwietnia 2017 r. dyrektor CIA Mike Pompeo ogłosił, że WikiLeaks jest „wrogą służbą wywiadowczą”. We wrześniu 2021 r. Yahoo! Wiadomości podały, że w 2017 r., po wyciekach z Krypty 7, CIA planowało zamordować Assange'a, szpiegować współpracowników WikiLeaks, siać niezgodę wśród jej członków i ukraść ich urządzenia elektroniczne.

Publikacje

Część 1 - „Rok Zero”

Pierwsza partia dokumentów o nazwie „Rok Zero” została opublikowana przez WikiLeaks 7 marca 2017 r. i składała się z 7818 stron internetowych z 943 załącznikami, rzekomo pochodzących z Centrum Cyberwywiadu, które zawiera już więcej stron niż były kontrahent i przeciek z NSA , Edward Snowden komunikat NSA . WikiLeaks nie podało źródła, ale stwierdziło, że pliki „krążyły wśród byłych hakerów i kontrahentów rządowych USA w nieautoryzowany sposób, z których jeden dostarczył WikiLeaks fragmenty archiwum”. Według WikiLeaks, źródło „chce zainicjować publiczną debatę na temat bezpieczeństwa, tworzenia, używania, proliferacji i demokratycznej kontroli cyberbroni ”, ponieważ narzędzia te rodzą pytania, które „pilnie muszą zostać omówione publicznie, w tym, czy możliwości hakerskie CIA przekraczają jej mandatowe uprawnienia oraz problem publicznego nadzoru nad agencją”.

WikiLeaks zredagowało nazwiska i inne informacje identyfikujące z dokumentów przed ich opublikowaniem, jednocześnie próbując umożliwić narysowanie połączeń między ludźmi za pomocą unikalnych identyfikatorów generowanych przez WikiLeaks. Powiedział również, że odłoży wydanie kodu źródłowego cyberbroni, który ma podobno kilkaset milionów linijek, „do czasu, gdy pojawi się konsensus co do technicznego i politycznego charakteru programu CIA oraz sposobu analizy takiej „broni”. rozbrojony i opublikowany." Założyciel WikiLeaks, Julian Assange, twierdził, że to tylko część większej serii.

CIA wydała oświadczenie mówiące: „Amerykańska opinia publiczna powinna być głęboko zaniepokojona jakimkolwiek ujawnieniem WikiLeaks, które ma zaszkodzić zdolności Wspólnoty Wywiadowczej do ochrony Ameryki przed terrorystami lub innymi przeciwnikami. Takie ujawnienia nie tylko zagrażają amerykańskiemu personelowi i operacjom, ale także wyposażają naszych przeciwników z narzędziami i informacjami, które mogą nam wyrządzić krzywdę”.

W oświadczeniu wydanym 19 marca 2017 r. Assange powiedział, że firmy technologiczne, z którymi się skontaktowano, nie zgodziły się, nie zgodziły lub zakwestionowały to, co nazwał standardowym planem ujawniania informacji w branży WikiLeaks. Standardowy czas ujawnienia luki to 90 dni po tym, jak firma odpowiedzialna za łatanie oprogramowania otrzyma pełne szczegóły usterki. Według WikiLeaks tylko Mozilla otrzymała informacje o lukach, podczas gdy "Google i kilka innych firm" potwierdziło jedynie otrzymanie wstępnego powiadomienia. WikiLeaks stwierdził: „Większość z tych zapóźnionych firm ma konflikt interesów ze względu na ich niejawną pracę z agencjami rządowymi USA. W praktyce takie stowarzyszenia ograniczają personel przemysłowy posiadający amerykańskie poświadczenia bezpieczeństwa przed naprawianiem dziur w oparciu o ujawnione informacje z CIA. nie zabezpieczać swoich użytkowników przed atakami CIA lub NSA, użytkownicy mogą preferować organizacje takie jak Mozilla lub firmy europejskie, które traktują swoich użytkowników priorytetowo niż kontrakty rządowe”.

Część 2 - "Ciemna materia"

23 marca 2017 r. WikiLeaks opublikowało Vault 7 część 2 „Ciemna materia”. Publikacja zawierała dokumentację kilku działań CIA mających na celu zhakowanie iPhone'ów i komputerów Mac firmy Apple. Należą do nich złośliwe oprogramowanie „Sonic Screwdriver”, które może wykorzystywać interfejs Thunderbolt do ominięcia ochrony oprogramowania sprzętowego Apple hasłem.

Część 3 - „Marmur”

31 marca 2017 r. WikiLeaks opublikowało Vault 7 część 3 „Marmur”. Zawierała 676 plików z kodem źródłowym dla Marble Framework CIA. Służy do zaciemniania lub zaszyfrowania kodu złośliwego oprogramowania w taki sposób, aby firmy antywirusowe lub badacze nie mogli zrozumieć kodu ani przypisać jego źródła. Według WikiLeaks kod zawierał również de-zaciemnianie, aby odwrócić efekty zaciemniania.

Część 4 - "Konik polny"

7 kwietnia 2017 r. WikiLeaks opublikowało część 4 Krypty 7 nazwaną „Grasshopper”. Publikacja zawiera 27 dokumentów z platformy Grasshopper CIA, która jest wykorzystywana przez CIA do tworzenia dostosowanych i trwałych ładunków złośliwego oprogramowania dla systemów operacyjnych Microsoft Windows. Grasshopper skupił się na unikaniu produktów ochrony osobistej (PSP). PSP to oprogramowanie antywirusowe, takie jak MS Security Essentials , Symantec Endpoint lub Kaspersky IS .

Część 5 - „ULA”

14 kwietnia 2017 r. WikiLeaks opublikowało Vault 7 część 5, zatytułowaną „HIVE”. Na podstawie ściśle tajnego programu wirusowego CIA stworzonego przez jego „Embedded Development Branch” (EDB). Sześć dokumentów opublikowanych przez WikiLeaks dotyczy wieloplatformowego pakietu złośliwego oprogramowania CIA HIVE. Infrastruktura zaplecza CIA z publicznie dostępnym interfejsem HTTPS wykorzystywana przez CIA do przesyłania informacji z docelowych komputerów stacjonarnych i smartfonów do CIA oraz otwierania tych urządzeń w celu otrzymywania dalszych poleceń od operatorów CIA w celu wykonania określonych zadań, przy jednoczesnym ukryciu ich obecność za niepozornie wyglądającymi domenami publicznymi dzięki maskującemu interfejsowi znanemu jako „Switchblade”. Nazywany również posterunkiem nasłuchowym (LP) oraz dowodzenia i kontroli (C2).

Część 6 - "Płaczący anioł"

21 kwietnia 2017 r. WikiLeaks opublikowało Vault 7 część 6, o kryptonimie „Weeping Angel”, narzędzie hakerskie opracowane wspólnie przez CIA i MI5, wykorzystywane do wykorzystywania serii inteligentnych telewizorów w celu tajnego zbierania danych wywiadowczych . Po zainstalowaniu w odpowiednich telewizorach z pamięcią USB narzędzie do hakowania umożliwia wbudowanym mikrofonom telewizorów i ewentualnie kamerom wideo nagrywanie otoczenia, podczas gdy telewizory fałszywie wydają się wyłączone. Zarejestrowane dane są następnie albo przechowywane lokalnie w pamięci telewizora, albo przesyłane przez Internet do CIA. Podobno zarówno agencje CIA, jak i MI5 współpracowały w celu opracowania tego złośliwego oprogramowania i koordynowały swoją pracę w ramach wspólnych warsztatów rozwojowych. W tej części szóstej publikacji „Weeping Angel” jest drugim głównym narzędziem hakerskim CIA, które w szczególności odnosi się do brytyjskiego programu telewizyjnego Doctor Who , obok „Sonic Screwdriver” w „Dark Matter”.

Część 7 - "Bazaliki"

28 kwietnia 2017 r. WikiLeaks opublikowało Vault 7 część 7 „Scribbles”. Wyciek obejmuje dokumentację i kod źródłowy narzędzia przeznaczonego do śledzenia dokumentów, które wyciekły do sygnalistów i dziennikarzy poprzez osadzenie znaczników web beacon w tajnych dokumentach w celu śledzenia, kto je przeciekł. Narzędzie wpływa na dokumenty Microsoft Office, w szczególności „Microsoft Office 2013 (w systemie Windows 8.1 x64), dokumenty z wersji pakietu Office 97-2016 (dokumenty pakietu Office 95 nie będą działać!) oraz dokumenty, które nie są zablokowane, zaszyfrowane ani chronione hasłem”. Po otwarciu dokumentu ze znakiem wodnym CIA ładowany jest niewidoczny obraz w dokumencie przechowywanym na serwerze agencji, co generuje żądanie HTTP . Żądanie jest następnie rejestrowane na serwerze, dając agencji wywiadowczej informacje o tym, kto je otwiera i gdzie jest otwierane. Jeśli jednak dokument ze znakiem wodnym zostanie otwarty w alternatywnym edytorze tekstu, obraz może być widoczny dla przeglądającego. Dokumentacja stwierdza również, że jeśli dokument jest wyświetlany w trybie offline lub w widoku chronionym, obraz ze znakiem wodnym nie będzie mógł skontaktować się z serwerem macierzystym. Jest to nadpisywane tylko wtedy, gdy użytkownik zezwoli na edycję.

Część 8 - "Archimedes"

5 maja 2017 r. WikiLeaks opublikowało Vault 7 część 8 „Archimedes”. Według instruktora US SANS Institute Jake'a Williamsa, który przeanalizował opublikowane dokumenty, Archimedes jest wirusem o kryptonimie „Fulcrum”. Według eksperta ds. bezpieczeństwa cybernetycznego i członka ENISA, Pierluigiego Paganiniego, operatorzy CIA używają Archimedesa do przekierowywania sesji przeglądarki internetowej w sieci lokalnej (LAN) z docelowego komputera przez komputer kontrolowany przez CIA, zanim sesje zostaną przekierowane do użytkowników. Ten typ ataku jest znany jako man-in-the-middle (MitM). W swojej publikacji WikiLeaks zawiera szereg skrótów, które, jak twierdzą, mogą być wykorzystane do potencjalnej identyfikacji wirusa Archimedes i ochrony przed nim w przyszłości. Paganini stwierdził, że potencjalne docelowe komputery mogą wyszukiwać te skróty w swoich systemach, aby sprawdzić, czy ich systemy zostały zaatakowane przez CIA.

Część 9 - "Po północy" i "Zabójca"

12 maja 2017 r. WikiLeaks opublikowało Vault 7 część 9 „After Midnight” i „Assassin”. AfterMidnight to złośliwe oprogramowanie instalowane na docelowym komputerze osobistym , które podszywa się pod plik DLL , który jest uruchamiany podczas ponownego uruchamiania komputera użytkownika. Następnie inicjuje połączenie z komputerem dowodzenia i kontroli (C2) CIA, z którego pobiera różne moduły do ​​uruchomienia. Jeśli chodzi o Assassin, jest bardzo podobny do swojego odpowiednika AfterMidnight, ale zwodniczo działa w ramach procesu serwisowego Windows . Operatorzy CIA podobno używają Assassina jako C2 do wykonywania szeregu zadań, zbierania, a następnie okresowego wysyłania danych użytkownika do stacji nasłuchowych CIA (LP). Podobne do zachowania trojana typu backdoor . Zarówno AfterMidnight, jak i Assassin działają w systemie operacyjnym Windows , są trwałe i okresowo sygnalizują skonfigurowane LP, aby albo żądać zadań, albo wysyłać prywatne informacje do CIA, a także automatycznie odinstalowywać się w określonym dniu i czasie.

Część 10 - "Atena"

19 maja 2017 r. WikiLeaks opublikowało Vault 7 część 10 „Athena”. Opublikowany podręcznik użytkownika, demo i powiązane dokumenty zostały utworzone między wrześniem 2015 r. a lutym 2016 r. Wszystkie dotyczą złośliwego oprogramowania rzekomo opracowanego dla CIA w sierpniu 2015 r., mniej więcej miesiąc po wydaniu przez Microsoft systemu Windows 10 z ich stanowczymi oświadczeniami o tym, jak trudne jest to było kompromis. Zarówno główne złośliwe oprogramowanie „Athena”, jak i jego drugorzędne złośliwe oprogramowanie o nazwie „Hera” są teoretycznie podobne do złośliwego oprogramowania Grasshopper i AfterMidnight, ale z pewnymi istotnymi różnicami. Jedną z tych różnic jest to, że Athena i Hera zostały opracowane przez CIA we współpracy z prywatną korporacją z New Hampshire o nazwie Siege Technologies. Podczas wywiadu przeprowadzonego przez Bloomberg 2014 założyciel Siege Technologies potwierdził i uzasadnił rozwój takiego złośliwego oprogramowania. Złośliwe oprogramowanie Athena całkowicie porywa usługi zdalnego dostępu systemu Windows , podczas gdy Hera przechwytuje usługę Windows Dnscache . Zarówno Athena, jak i Hera mają wpływ na wszystkie obecne wersje systemu Windows, w tym między innymi na Windows Server 2012 i Windows 10. Kolejna różnica dotyczy typów szyfrowania używanych między zainfekowanymi komputerami a punktami nasłuchiwania CIA (LP). Jeśli chodzi o podobieństwa, wykorzystują trwałe pliki DLL do tworzenia backdoora do komunikacji z LP CIA, kradzieży prywatnych danych , a następnie wysyłania ich na serwery CIA lub usuwania prywatnych danych na komputerze docelowym, a także do dowodzenia i kontroli (C2) dla agenci CIA wysyłali dodatkowe złośliwe oprogramowanie w celu dalszego wykonywania określonych zadań na zaatakowanym komputerze. Wszystkie powyższe mają na celu oszukać oprogramowanie zabezpieczające komputer . Poza opublikowanymi szczegółowymi dokumentami WikiLeaks nie dostarczyło żadnych dowodów sugerujących, że CIA wykorzystała Atenę, czy nie.

Część 11 - „Pandemia”

1 czerwca 2017 r. WikiLeaks opublikowało Vault 7 część 11 „Pandemia”. To narzędzie służy jako trwały implant działający na komputery z systemem Windows z udostępnionymi folderami. Działa jako sterownik filtrowania systemu plików na zainfekowanym komputerze i nasłuchuje ruchu bloku komunikatów serwera, jednocześnie wykrywając próby pobrania z innych komputerów w sieci lokalnej. „Pandemia” odpowie na żądanie pobrania w imieniu zainfekowanego komputera. Zastąpi jednak legalny plik złośliwym oprogramowaniem. Aby zaciemnić swoje działania, „Pandemic” jedynie modyfikuje lub zastępuje legalny plik w trakcie przesyłania, pozostawiając oryginalny plik na serwerze bez zmian. Implant umożliwia jednoczesną modyfikację 20 plików, przy maksymalnym rozmiarze pojedynczego pliku 800 MB. Chociaż nie stwierdzono tego w ujawnionej dokumentacji, możliwe jest, że nowo zainfekowane komputery same mogą stać się „pandemicznymi” serwerami plików, umożliwiając implantowi dotarcie do nowych celów w sieci lokalnej.

Część 12 - "Kwiat wiśni"

15 czerwca 2017 r. WikiLeaks opublikowało Vault 7 część 12 „Kwiat wiśni”.

Część 13 - "Brutalny kangur"

22 czerwca 2017 r. WikiLeaks opublikowało Vault 7 część 13 „Brutal Kangaroo”.

Część 14 - "Elsa"

28 czerwca 2017 r. WikiLeaks opublikowało Vault 7 część 14 „Elsa”.

Część 15 - „Kraj wyjęty spod prawa”

29 czerwca 2017 r. WikiLeaks opublikowało Vault 7 część 15 „OutlawCountry”.

Część 16 - "BothanSpy"

6 lipca 2017 r. WikiLeaks opublikowało Vault 7 część 16 „BothanSpy”.

Część 17 - "Wieżowiec"

13 lipca 2017 r. WikiLeaks opublikowało Vault 7 część 17 „Highrise”.

Część 18 - „UCL / Raytheon”

UCL / Raytheon - 19 lipca 2017

Część 19 - „Cesarstwo”

Imperial - 27 lipca 2017

Część 20 - "Dumbo"

Dumbo - 3 sierpnia 2017

Część 21 - „CouchZiemniak”

CouchPotato - 10 sierpnia 2017

Część 22 - "ExpressLane"

WikiLeaks publikuje tajne dokumenty z projektu „ExpressLane” CIA. Dokumenty te pokazują jedną z operacji cybernetycznych, jakie CIA przeprowadza przeciwko służbom łącznikowym – do których należą m.in. Agencja Bezpieczeństwa Narodowego (NSA), Departament Bezpieczeństwa Wewnętrznego (DHS) i Federalne Biuro Śledcze (FBI).

OTS (Office of Technical Services), oddział w ramach CIA, posiada system zbierania danych biometrycznych, który jest dostarczany służbom łącznikowym na całym świecie – z oczekiwaniem na udostępnianie danych biometrycznych zebranych w systemach. Ale to „dobrowolne udostępnianie” oczywiście nie działa lub jest uważane przez CIA za niewystarczające, ponieważ ExpressLane jest narzędziem do tajnego gromadzenia informacji, które jest wykorzystywane przez CIA do potajemnej eksfiltracji zbiorów danych z takich systemów dostarczanych usługom łącznikowym.

ExpressLane jest instalowany i uruchamiany wraz z aktualizacją oprogramowania biometrycznego przez agentów OTS, którzy odwiedzają punkty kontaktowe. Oficerowie łącznikowi nadzorujący tę procedurę pozostaną niepodejrzani, ponieważ eksfiltracja danych kryje się za ekranem powitalnym instalacji systemu Windows.

Podstawowe komponenty systemu OTS oparte są na produktach Cross Match, amerykańskiej firmy specjalizującej się w oprogramowaniu biometrycznym dla organów ścigania i Intelligence Community. Firma trafiła na pierwsze strony gazet w 2011 r., kiedy doniesiono, że wojsko amerykańskie użyło produktu Cross Match do zidentyfikowania Osamy bin Ladena podczas operacji zamachu w Pakistanie. - 24 sierpnia 2017 r.

Część 23 - "Anioł Ogień"

Angelfire - 31 sierpnia 2017

Część 24 - "Protego"

Protego - 7 września 2017

Autentyczność

Zapytany o ich autentyczność były dyrektor Centralnej Agencji Wywiadowczej Michael Hayden odpowiedział, że organizacja „nie komentuje autentyczności ani treści rzekomych dokumentów wywiadowczych”. Jednak obecni i byli urzędnicy wywiadu, wypowiadając się pod warunkiem zachowania anonimowości, stwierdzili, że dokumenty wydają się być autentyczne. Edward Snowden napisał na Twitterze krótko po opublikowaniu dokumentów, że wyglądają autentycznie. Robert M. Chesney , profesor prawa na Uniwersytecie Teksańskim i dyrektor Programu Technologii i Polityki Publicznej w Centrum Studiów Strategicznych i Międzynarodowych (CSIS), porównał Kryptę 7 do narzędzi hakerskich NSA ujawnionych w 2016 roku przez grupę nazywającą siebie Handlarze Cieni .

15 marca 2017 r. prezydent Donald Trump stwierdził podczas wywiadu, że „CIA zostało zhakowane i wiele rzeczy zostało zabranych”. Następnego dnia w oświadczeniu demokratyczny kongresman Adam Schiff , członek Komisji ds. Wywiadu Izby Reprezentantów , napisał w komunikacie prasowym: „W swoich wysiłkach, aby ponownie obwinić Obamę, prezydent wydawał się omówić coś, co, jeśli jest prawdziwe i dokładne , w przeciwnym razie byłyby uważane za informacje niejawne." Schiff powiedział też, że prezydent ma prawo odtajniać wszystko, czego chce.

Organizacja wojny cybernetycznej

WikiLeaks powiedział, że dokumenty pochodziły z „odizolowanej, wysoce zabezpieczonej sieci znajdującej się wewnątrz Centrum Cyberwywiadu (CCI) CIA w Langley w stanie Wirginia ”. Dokumenty pozwoliły WikiLeaks częściowo określić strukturę i organizację CCI. CCI podobno ma całą jednostkę poświęconą kompromitowaniu produktów Apple.

Firma Symantec zajmująca się cyberbezpieczeństwem przeanalizowała dokumenty z Krypty 7 i stwierdziła, że ​​niektóre z opisanych programów ściśle pasują do cyberataków przeprowadzanych przez „Longhorn”, które monitoruje od 2014 roku. Symantec podejrzewał wcześniej, że „Longhorn” jest sponsorowany przez rząd i śledził jego użycie w odniesieniu do 40 celów w 16 krajach.

Baza we Frankfurcie

Pierwsza część dokumentów upublicznionych 7 marca 2017 r., Krypta 7 „Rok Zero”, ujawniła, że ​​ściśle tajna jednostka CIA wykorzystała niemiecki Frankfurt jako punkt wyjścia do ataków hakerskich na Europę , Chiny i Bliski Wschód . Według dokumentów, rząd USA wykorzystuje swój Konsulat Generalny we Frankfurcie jako bazę hakerów do operacji cybernetycznych . Dokumenty WikiLeaks ujawniają, że hakerzy z Frankfurtu, będący częścią Centre for Cyber ​​Intelligence Europe (CCIE), otrzymali przykrywkę tożsamości i paszporty dyplomatyczne, aby zaciemnić funkcjonariuszy celnych w celu uzyskania wjazdu do Niemiec.

Naczelny Prokurator Generalny Federalnego Trybunału Sprawiedliwości w Karlsruhe Peter Frank ogłosił 8 marca 2017 r., że rząd prowadzi wstępne śledztwo, aby sprawdzić, czy wszczęcie poważne śledztwo w sprawie prowadzonej poza konsulatem, a także szerzej czy ludzie w Niemczech byli atakowani przez CIA. Minister spraw zagranicznych Niemiec Sigmar Gabriel z Partii Socjaldemokratycznej odpowiedział na dokumenty z Krypty 7 „Rok Zero”, że CIA wykorzystała Frankfurt jako bazę dla swoich cyfrowych operacji szpiegowskich, mówiąc, że Niemcy nie mają żadnych informacji o cyberatakach.

OBRAZA

Dokumenty podobno ujawniły, że agencja zgromadziła dużą kolekcję technik cyberataków i złośliwego oprogramowania stworzonego przez innych hakerów. Ta biblioteka była podobno utrzymywana przez grupę UMBRAGE z oddziału urządzeń zdalnych CIA, z przykładami użycia tych technik i kodu źródłowego zawartymi w repozytorium git „Umbrage Component Library” . Według WikiLeaks, poprzez recykling technik stron trzecich za pośrednictwem UMBRAGE, CIA może nie tylko zwiększyć całkowitą liczbę ataków, ale może również wprowadzić w błąd śledczych, ukrywając te ataki jako dzieło innych grup i narodów. Wśród technik zapożyczonych przez UMBRAGE była implementacja wymazywania plików używana przez Shamoona . Według PC World niektóre techniki i fragmenty kodu zostały wykorzystane przez CIA w swoich wewnętrznych projektach, których wyniku końcowego nie można wywnioskować z przecieków. PC World skomentował, że praktyka umieszczania „ fałszywych flag ” w celu powstrzymania atrybucji nie była nowym zjawiskiem w cyberatakach: wśród podejrzanych o używanie fałszywych flag znajdują się rosyjskie, północnokoreańskie i izraelskie grupy hakerów.

Według badania przeprowadzonego przez Kim Zetter w The Intercept , UMBRAGE był prawdopodobnie znacznie bardziej skoncentrowany na przyspieszeniu rozwoju poprzez zmianę przeznaczenia istniejących narzędzi, niż na umieszczaniu fałszywych flag. Robert Graham, dyrektor generalny Errata Security, powiedział The Intercept, że kod źródłowy, do którego odwołują się dokumenty UMBRAGE, jest „ekstremalnie publiczny” i prawdopodobnie jest używany przez wiele grup i podmiotów państwowych. Graham dodał: „Możemy jednoznacznie stwierdzić na podstawie dowodów zawartych w dokumentach, że tworzą fragmenty kodu do wykorzystania w innych projektach i ponownie wykorzystują metody w kodzie, które znajdują w Internecie. ... W innym miejscu rozmawiają o ukrywaniu ataków, aby nie można było zobaczyć, skąd one pochodzą, ale nie ma konkretnego planu przeprowadzenia operacji fałszywej flagi . Nie próbują powiedzieć „zamierzamy sprawić, by to wyglądało jak Rosja”.

Teorie fałszywych flag

W dniu, w którym dokumenty z Krypty 7 zostały po raz pierwszy opublikowane, WikiLeaks opisało UMBRAGE jako „znaczną bibliotekę technik ataku ukradzioną ze złośliwego oprogramowania wyprodukowanego w innych stanach, w tym w Federacji Rosyjskiej”, i tweetowała: „CIA kradnie wirusy innych grup i złośliwe oprogramowanie ułatwiające fałszywe ataki flagowe ”. Teoria spiskowa wkrótce pojawiły się twierdząc, że CIA ramkach rosyjski rząd do ingerowania w 2016 amerykańskich wyborach . Konserwatywni komentatorzy, tacy jak Sean Hannity i Ann Coulter, spekulowali na temat tej możliwości na Twitterze, a Rush Limbaugh omówił to w swoim programie radiowym. Rosyjski minister spraw zagranicznych Siergiej Ławrow powiedział, że Krypta 7 pokazuje, że „CIA może uzyskać dostęp do takich „odcisków palców”, a następnie ich użyć”.

Twórcy cyberbezpieczeństwa, tacy jak Ben Buchanan i Kevin Poulsen , byli sceptyczni wobec tych teorii. Poulsen napisał: „Katalog, który wyciekł, nie jest uporządkowany według kraju pochodzenia, a konkretnego złośliwego oprogramowania wykorzystywanego przez rosyjskich hakerów DNC nie ma na liście”.

Marmurowe ramy

Dokumenty opisują strukturę Marble, zaciemniacz ciągów znaków używany do ukrywania fragmentów tekstu w złośliwym oprogramowaniu przed inspekcją wizualną. W ramach programu używano języków obcych do ukrywania źródła włamań CIA. Według WikiLeaks osiągnął 1.0 w 2015 roku i był używany przez CIA w 2016 roku.

W swoim wydaniu WikiLeaks opisał główny cel „Marmuru”: umieszczanie tekstu w języku obcym do złośliwego oprogramowania w celu zamaskowania wirusów, trojanów i ataków hakerskich, co utrudni ich śledzenie do CIA i skłonienie śledczych do fałszywego kod atrybutu do niewłaściwego narodu. Kod źródłowy ujawnił, że marmur zawierał przykłady w języku chińskim, rosyjskim, koreańskim, arabskim i perskim . Były to języki głównych cyberprzeciwników USA – Chin, Rosji, Korei Północnej i Iranu.

Analitycy uznali opis WikiLeaks dotyczący głównego celu Marble za niedokładny, mówiąc The Hill, że jego głównym celem było prawdopodobnie uniknięcie wykrycia przez programy antywirusowe.

Marble zawierał również narzędzie do dezaciemniania tekstu, za pomocą którego CIA mogła odwrócić zaciemnianie tekstu.

Badacz ds. bezpieczeństwa Nicholas Weaver z Międzynarodowego Instytutu Informatyki w Berkeley powiedział Washington Post: „Wydaje się, że jest to jeden z najbardziej szkodliwych technicznie przecieków, jakie kiedykolwiek zrobił WikiLeaks, ponieważ wydaje się, że ma na celu bezpośrednie zakłócenie trwających operacji CIA”.

Kompromisowa technologia i oprogramowanie

Płyty CD/DVD

HammerDrill to narzędzie do gromadzenia płyt CD/DVD, które gromadzi spacery po katalogach i pliki do skonfigurowanego wzorca katalogów i nazw plików, a także rejestruje zdarzenia wkładania i usuwania płyt CD/DVD. v2.0 dodaje możliwość przeskakiwania luk, która wstrzykuje trojana do 32-bitowych plików wykonywalnych podczas ich nagrywania na płytę przez Nero. Ponadto w wersji 2.0 dodano status, zakończenie i funkcję zbierania danych na żądanie sterowaną przez HammerDrillStatus.dll, HammerDrillKiller.dll i HammerDrillCollector.dll. Rejestrowanie umożliwia teraz także odciski palców na dyskach poprzez mieszanie pierwszych dwóch bloków obrazu ISO, co umożliwia unikalną identyfikację dysków z wieloma sesjami, nawet w przypadku dodawania i usuwania danych. Dziennik rejestruje również za każdym razem, gdy na dysku pojawi się trojanowy plik binarny HammerDrill.

Produkty Apple

Po wydaniu przez WikiLeaks pierwszej części Vault 7, „Roku Zero”, Apple stwierdził, że „wiele z ujawnionych dzisiaj problemów zostało już załatanych w najnowszym systemie iOS” i że firma „będzie kontynuować prace nad szybkim rozwiązaniem wszelkich zidentyfikowanych luk w zabezpieczeniach”.

23 marca 2017 r. WikiLeaks opublikowała „Dark Matter”, drugą partię dokumentów z serii Vault 7, w której szczegółowo opisano techniki i narzędzia hakerskie, które skupiają się na produktach Apple opracowanych przez Embedded Development Branch (EDB) CIA. Wyciek ujawnił również, że CIA atakuje iPhone'a od 2008 roku, rok po wydaniu urządzenia. Te projekty EDB zaatakowały oprogramowanie sprzętowe Apple, co oznacza, że ​​kod ataku nie zniknął nawet po ponownym uruchomieniu urządzenia. Archiwum „Dark Matter” zawierało dokumenty z lat 2009 i 2013. Apple wydał drugie oświadczenie, w którym zapewniło, że na podstawie „wstępnej analizy, domniemana luka w zabezpieczeniach iPhone'a dotyczyła tylko iPhone'a 3G i została naprawiona w 2009 roku, kiedy iPhone 3GS został wydany”. Ponadto wstępna ocena wykazała, że ​​„domniemane luki w zabezpieczeniach komputerów Mac zostały wcześniej naprawione we wszystkich komputerach Mac uruchomionych po 2013 roku”.

Cisco

WikiLeaks poinformowało 19 marca 2017 r. na Twitterze, że „CIA potajemnie wykorzystywało” lukę w ogromnej gamie modeli routerów Cisco wykrytych dzięki dokumentom Vault 7. CIA ponad rok temu nauczyła się wykorzystywać luki w szeroko stosowanych przełącznikach internetowych Cisco , które kierują ruchem elektronicznym, aby umożliwić podsłuchiwanie. Cisco szybko przeniosło pracowników z innych projektów, aby skupili się wyłącznie na analizie ataku i ustaleniu, jak działa hakerstwo CIA, aby mogli pomagać klientom w łataniu ich systemów i zapobiegać stosowaniu podobnych metod przez hakerów lub szpiegów.

20 marca badacze Cisco potwierdzili, że ich badanie dokumentów z Krypty 7 wykazało, że CIA opracowało złośliwe oprogramowanie, które może wykorzystać lukę znalezioną w 318 modelach przełączników Cisco i zmienić lub przejąć kontrolę nad siecią.

Cisco wydał ostrzeżenie o zagrożeniach bezpieczeństwa, łatki nie były dostępne, ale Cisco zapewniło porady dotyczące łagodzenia skutków.

Smartfony/tablety

Narzędzia elektroniczne mogą podobno kompromis zarówno z Apple „s iOS i Google ” s Android systemów operacyjnych. Dodając złośliwe oprogramowanie do systemu operacyjnego Android, narzędzia mogą uzyskać dostęp do bezpiecznej komunikacji realizowanej na urządzeniu.

Usługi przesyłania wiadomości

Według WikiLeaks, po spenetrowaniu smartfona z Androidem agencja może gromadzić „ruch audio i wiadomości przed zastosowaniem szyfrowania”. Podobno część oprogramowania agencji jest w stanie uzyskać dostęp do wiadomości wysyłanych przez komunikatory internetowe. Ta metoda dostępu do wiadomości różni się od uzyskiwania dostępu przez odszyfrowanie już zaszyfrowanej wiadomości. Chociaż nie zgłoszono złamania szyfrowania komunikatorów oferujących szyfrowanie typu end-to-end , takich jak Telegram , WhatsApp i Signal , ich szyfrowanie można ominąć, przechwytując dane wejściowe przed ich zastosowaniem za pomocą metod takich jak keylogger i rejestrowanie wejścia dotykowego od użytkownika. Komentatorzy, w tym Snowden, kryptograf i ekspert ds. bezpieczeństwa Bruce Schneier , zauważyli, że Wikileaks błędnie sugerował, że same aplikacje do przesyłania wiadomości i ich szyfrowanie zostały naruszone – implikację, o której z kolei informował przez pewien czas New York Times i inni. główne punkty sprzedaży .

Systemy kontroli pojazdów

Jeden z dokumentów podobno wykazał, że CIA badała sposoby infekowania systemów kontroli pojazdów. WikiLeaks stwierdził: „Cel takiej kontroli nie jest określony, ale pozwoliłoby to CIA na angażowanie się w prawie niewykrywalne zabójstwa”. To stwierdzenie przyniósł odnowiony uwagi do teorii spiskowych otaczających śmierć Michael Hastings .

Okna

Dokumenty odnoszą się do exploita „Windows FAX DLL injection ” w systemach operacyjnych Windows XP , Windows Vista i Windows 7 . Umożliwiłoby to użytkownikowi o złych zamiarach ukrycie własnego złośliwego oprogramowania w bibliotece DLL innej aplikacji. Jednak komputer musiał już zostać naruszony inną metodą, aby wstrzyknięcie mogło nastąpić.

Komentarz

7 marca 2017 r. Edward Snowden skomentował znaczenie tego wydania, stwierdzając, że ujawnia ono, że rząd Stanów Zjednoczonych „rozwija luki w produktach amerykańskich”, a następnie „celowo utrzymuje otwarte dziury”, co uważa za wysoce nierozważne.

7 marca 2017 r. Nathan White, Senior Legislative Manager w internetowej grupie rzecznictwa Access Now , pisze:

Dzisiaj nasze bezpieczeństwo cyfrowe zostało naruszone, ponieważ CIA gromadzi luki w zabezpieczeniach, zamiast współpracować z firmami, aby je załatać. Stany Zjednoczone mają mieć proces, który pomaga zabezpieczyć nasze urządzenia i usługi cyfrowe — „ Proces dotyczący luk w zabezpieczeniach ”. Wiele z tych luk można było odpowiedzialnie ujawnić i załatać. Ten przeciek dowodzi nieodłącznego cyfrowego ryzyka gromadzenia luk w zabezpieczeniach zamiast ich naprawiania.

8 marca 2017 r. Lee Mathews, współtwórca Forbes , napisał, że większość technik hakerskich opisanych w Vault 7 była już znana wielu ekspertom ds. cyberbezpieczeństwa.

W dniu 8 marca 2017 r. niektórzy zauważają, że ujawnione techniki i narzędzia najprawdopodobniej zostaną wykorzystane do bardziej ukierunkowanego nadzoru ujawnionego przez Edwarda Snowdena.

8 kwietnia 2017 r. Ashley Gorski, prawniczka z American Civil Liberties Union, nazwała „krytycznym” zrozumienie, że „te luki mogą być wykorzystywane nie tylko przez nasz rząd, ale także przez obce rządy i cyberprzestępców na całym świecie”. Justin Cappos , profesor na wydziale informatyki i inżynierii na Uniwersytecie Nowojorskim, pyta „jeśli rząd wie o problemie z twoim telefonem, który źli ludzie mogą wykorzystać do zhakowania twojego telefonu i mają możliwość szpiegowania ciebie, czy jest to słabość, która sami powinni wykorzystać do walki z terroryzmem lub do własnych zdolności szpiegowskich, czy jest to problem, który powinni rozwiązać dla wszystkich?”.

8 kwietnia 2017 r. Cindy Cohn , dyrektor wykonawcza międzynarodowej organizacji non-profit zajmującej się prawami cyfrowymi Electronic Frontier Foundation z siedzibą w San Francisco , powiedziała: „Jeśli CIA przechodziła obok twoich drzwi wejściowych i zobaczyła, że ​​twój zamek jest zepsuty, powinni przynajmniej powiedzieć ty, a może nawet pomożesz to naprawić”. „A co gorsza, stracili wtedy z oczu informacje, które ukryli przed tobą, tak że teraz przestępcy i wrogie obce rządy wiedzą o twoim złamanym zamku”. Ponadto stwierdziła, że ​​CIA „nie udało się dokładnie ocenić ryzyka nieujawnienia luk w zabezpieczeniach. Nawet agencje szpiegowskie, takie jak CIA, mają obowiązek chronić bezpieczeństwo i prywatność Amerykanów”. „Wolność prowadzenia prywatnej rozmowy – bez obawy, że podsłuchuje wrogi rząd, nieuczciwy agent rządowy, konkurent lub przestępca – ma kluczowe znaczenie dla wolnego społeczeństwa”. Chociaż nie tak rygorystyczne jak przepisy dotyczące prywatności w Europie, Czwarta Poprawka do konstytucji Stanów Zjednoczonych gwarantuje prawo do wolności od nieuzasadnionych przeszukań i konfiskat.

W dniu 12 maja 2017 r. prezes i główny prawnik Microsoftu, Brad Smith, napisał: „Jest to nowy wzorzec w 2017 r. Widzieliśmy luki przechowywane przez CIA pojawiające się na WikiLeaks”. Innymi słowy, Smith wyraził zaniepokojenie faktem, że CIA zgromadzili takie luki w zabezpieczeniach komputerów, które z kolei zostały im skradzione, podczas gdy nie powiadomili na czas firmy Microsoft o ich naruszeniu bezpieczeństwa, w wyniku czego prywatność i bezpieczeństwo ich klientów na całym świecie zostały potencjalnie negatywnie naruszone przez dłuższy czas i spowodował rozległe szkody.

Zobacz też

Uwagi

Bibliografia

Zewnętrzne linki

• Krypta 7 w WikiLeaks
• Konferencja prasowa Juliana Assange'a oraz pytania i odpowiedzi na temat CIA/Vault7/YearZero , czwartek 9 marca 2017 r., oficjalny kanał WikiLeaks na YouTube