Vault 7 - Vault 7

Oficiální vydavatelské logo pro dokumenty souhrnně označené Vault 7.

Vault 7 je série dokumentů, které WikiLeaks začaly zveřejňovat 7. března 2017, podrobně popisující činnosti a schopnosti Ústřední zpravodajské služby Spojených států provádět elektronické sledování a kybernetickou válku . Soubory z let 2013 až 2016 obsahují podrobnosti o softwarových možnostech agentury, jako je například schopnost kompromitovat automobily , chytré televize , webové prohlížeče (včetně Google Chrome , Microsoft Edge , Mozilla Firefox a Opera ) a operační systémy většina chytrých telefonů (včetně společnosti Apple 's iOS a Google ' s Android ), stejně jako jiné operační systémy , jako je Microsoft Windows , MacOS a Linux . Interní audit CIA identifikoval 91 malwarových nástrojů z více než 500 nástrojů používaných v roce 2016, které byly vydáním kompromitovány.

Dějiny

Během ledna a února 2017 vyjednávalo ministerstvo spravedlnosti Spojených států prostřednictvím zmocněnce Juliana Assangeho Adama Waldmana o imunitě a bezpečném průchodu, aby Assange opustil ekvádorské velvyslanectví v Londýně a odcestoval do USA, aby diskutovali o minimalizaci rizik budoucích WikiLeaks. vydání včetně redigování a svědčit o tom, že Rusko nebylo zdrojem vydání WikiLeaks v roce 2016 . V polovině února 2017 se Waldman, který byl pro bono, zeptal senátora Marka Warnera, který byl spolupředsedou senátního zpravodajského výboru Spojených států, zda má nějaké otázky, které by se mohl zeptat Assangeho. Warner náhle kontaktoval ředitele FBI Jamese Comeyho a řekl Waldmanovi „ustupte a ukončete jednání s Assangeem“, čemuž Waldman vyhověl. David Laufman, který byl Waldmanovým protějškem na ministerstvu spravedlnosti, však odpověděl: „To je BS, ty nestojíš a já také ne.“ Podle Raye McGoverna ze dne 28. března 2017 byli Waldman a Laufman velmi blízko dohodě mezi ministerstvem spravedlnosti a Assange o „přístupech ke zmírnění rizik souvisejících s dokumenty CIA, které má WikiLeaks v držení nebo pod kontrolou, jako je například redakce personálu agentury v nepřátelských jurisdikcích, “Výměnou za„ přijatelnou dohodu o imunitě a bezpečném průchodu “, ale k formální dohodě nikdy nedošlo a WikiLeaks zveřejnilo 31. března 2017 velmi škodlivé zveřejnění o„ Mramorovém rámci “.

V únoru 2017 začala WikiLeaks škádlit vydání „Vault 7“ sérií tajuplných zpráv na Twitteru, podle zpráv médií. Později v únoru zveřejnila WikiLeaks utajované dokumenty popisující, jak CIA monitorovala francouzské prezidentské volby v roce 2012 . Tisková zpráva k úniku uvedla, že byla zveřejněna „jako kontext pro její nadcházející sérii CIA Vault 7“.

V březnu 2017 americké zpravodajské a donucovací orgány řekly mezinárodní agentuře Reuters , že si jsou vědomy narušení bezpečnosti CIA, které vedlo k Vault 7, od konce roku 2016. Dva úředníci uvedli, že se jako možný zdroj úniků zaměřují na „dodavatele“.

V roce 2017 federální vymáhání práva identifikovalo softwarového inženýra CIA Joshuu Adama Schulte jako podezřelý zdroj Vault 7.

13. dubna 2017 prohlásil ředitel CIA Mike Pompeo WikiLeaks za „nepřátelskou zpravodajskou službu“. V září 2021 společnost Yahoo! News uvedl, že v roce 2017 v důsledku úniků Vault 7 plánovala CIA zavraždit Assangeho, špehovat spolupracovníky WikiLeaks, zasévat svár mezi jeho členy a ukrást jejich elektronická zařízení.

Publikace

Část 1 - „Rok nula“

První dávku dokumentů s názvem „Year Zero“ zveřejnila WikiLeaks dne 7. března 2017 a skládá se ze 7818 webových stránek s 943 přílohami, údajně z Centra pro kybernetickou inteligenci, které již obsahuje více stránek než bývalý dodavatel a únik NSA Edward Snowden to NSA uvolnění . WikiLeaks zdroj nejmenovala, ale uvedla, že soubory „neoprávněně kolovaly mezi bývalými vládními hackery a dodavateli z USA, z nichž jeden poskytl WikiLeaks části archivu“. Podle WikiLeaks zdroj „si přeje zahájit veřejnou diskusi o bezpečnosti, tvorbě, používání, šíření a demokratické kontrole kybernetických zbraní “, protože tyto nástroje vyvolávají otázky, „které je naléhavě nutné veřejně diskutovat, včetně toho, zda hackerské schopnosti CIA přesahují její mandátní pravomoci a problém veřejného dohledu nad agenturou. “

WikiLeaks před vydáním upravila jména a další identifikační informace z dokumentů, přičemž se pokoušela umožnit navazování spojení mezi lidmi pomocí jedinečných identifikátorů generovaných WikiLeaks. Rovněž uvedlo, že odloží vydání zdrojového kódu kybernetických zbraní, který je údajně dlouhý několik set milionů řádků, „dokud nedojde ke konsensu ohledně technické a politické podstaty programu CIA a způsobu, jakým by měly být tyto„ zbraně “analyzovány, odzbrojen a zveřejněn. “ Zakladatel WikiLeaks Julian Assange tvrdil, že to byla jen část větší série.

CIA vydala prohlášení, které říká: „Americká veřejnost by měla být hluboce znepokojena jakýmkoli zveřejněním WikiLeaks, které má poškodit schopnost zpravodajské komunity chránit Ameriku před teroristy nebo jinými protivníky. Takové zveřejnění neohrožuje pouze personál a operace USA, ale také vybavuje naše protivníky. s nástroji a informacemi, které nám způsobí škodu. “

V prohlášení vydaném dne 19. března 2017 Assange uvedl, že technologické společnosti, které byly kontaktovány, nesouhlasily, nesouhlasily ani nezpochybňovaly to, co nazval standardním plánem zveřejňování v oboru WikiLeaks. Standardní doba zveřejnění chyby zabezpečení je 90 dní poté, co jsou společnosti odpovědné za opravu softwaru poskytnuty úplné podrobnosti o chybě. Podle WikiLeaks byla informace o zranitelnostech poskytnuta pouze společnosti Mozilla , zatímco „Google a některé další společnosti“ pouze potvrdily přijetí počátečního oznámení. WikiLeaks uvedla: "Většina těchto zaostávajících společností má střet zájmů kvůli své tajné práci s americkými vládními agenturami. V praxi taková sdružení omezují zaměstnance průmyslu s bezpečnostními prověrkami USA v odstraňování děr na základě uniklých informací od CIA. Pokud by se takové společnosti rozhodly nezabezpečují své uživatele před útoky CIA nebo NSA, uživatelé mohou upřednostňovat organizace, jako je Mozilla nebo evropské společnosti, které upřednostňují své uživatele před vládními zakázkami “.

Část 2 - „Temná hmota“

23. března 2017 zveřejnila WikiLeaks Vault 7 část 2 „Temná hmota“. Publikace obsahovala dokumentaci k několika snahám CIA o hacknutí iPhonů a Maců Apple. Patřil mezi ně malware „Sonic Screwdriver“, který by mohl pomocí rozhraní thunderbolt obejít ochranu firmwaru heslem společnosti Apple.

Část 3 - „Mramor“

Dne 31. března 2017 vydala WikiLeaks Vault 7 část 3 „Mramor“. Obsahoval 676 souborů zdrojového kódu pro mramorový rámec CIA. Používá se k zamlžování nebo zakódování malwarového kódu ve snaze vytvořit jej tak, aby antivirové firmy nebo vyšetřovatelé nemohli kódu porozumět nebo připsat jeho zdroj. Podle WikiLeaks kód také obsahoval deobfuscator, který zvrátil efekty zmatku.

Část 4 - „Grasshopper“

Dne 7. dubna 2017 vydala WikiLeaks Vault 7 část 4 s názvem „Grasshopper“. Publikace obsahuje 27 dokumentů z rámce CIA Grasshopper, který CIA používá k vytváření přizpůsobených a trvalých užitečných zatížení malwaru pro operační systémy Microsoft Windows. Grasshopper se zaměřil na vyhýbání se produktu Personal Security Product (PSP). PSP jsou antivirový software, jako jsou MS Security Essentials , Symantec Endpoint nebo Kaspersky IS .

Část 5 - „HIVE“

Dne 14. dubna 2017 vydala WikiLeaks Vault 7 část 5 s názvem „HIVE“. Na základě přísně tajného virového programu CIA vytvořeného jeho „Embedded Development Branch“ (EDB). Šest dokumentů publikovaných WikiLeaks souvisí s multiplatformní sadou malwaru CIA pro HIVE. Back-endová infrastruktura CIA s veřejně přístupným rozhraním HTTPS používaným CIA k přenosu informací z cílových stolních počítačů a smartphonů do CIA a otevírání těchto zařízení k přijímání dalších příkazů od operátorů CIA k provádění konkrétních úkolů, a to vše při skrytí svých přítomnost za nenápadně vyhlížejícími veřejnými doménami prostřednictvím maskovacího rozhraní známého jako „Switchblade“. Nazývá se také Listening Post (LP) a Command and Control (C2).

Část 6 - „Plačící anděl“

Dne 21. dubna 2017 zveřejnila WikiLeaks Vault 7 část 6 s kódovým názvem „Weeping Angel“, hackerský nástroj, který společně vyvinuly CIA a MI5 a který využíval k využití řady chytrých televizorů za účelem skrytého shromažďování zpravodajských informací . Jakmile je hackovací nástroj nainstalován do vhodných televizorů s USB klíčem, umožňuje vestavěným mikrofonům a případně videokamerám těchto televizorů zaznamenávat své okolí, zatímco televize se falešně zdají být vypnuté. Zaznamenaná data jsou pak buď uložena lokálně do paměti televize, nebo odeslána přes internet CIA. Údajně na vývoji tohoto malwaru spolupracovaly agentury CIA a MI5 a koordinovaly svou práci ve Společných vývojových dílnách. Od této publikace v části 6 je „Weeping Angel“ druhým významným hackerským nástrojem CIA, který zejména odkazuje na britskou televizní show Doctor Who po boku „Sonic Screwdriver“ v „Dark Matter“.

Část 7 - „Klikyháky“

Dne 28. dubna 2017 vydala WikiLeaks Vault 7 část 7 „Klikyháky“. Únik obsahuje dokumentaci a zdrojový kód nástroje určeného ke sledování dokumentů uniklých k informátorům a novinářům vložením značek web beacon do utajovaných dokumentů ke sledování, kdo je prozradil. Nástroj ovlivňuje dokumenty Microsoft Office, konkrétně „Microsoft Office 2013 (ve Windows 8.1 x64), dokumenty z Office verze 97-2016 (dokumenty Office 95 nebudou fungovat!) A dokumenty, které nejsou zamčené, šifrované nebo chráněné heslem“. Když se otevře dokument s vodoznakem CIA, načte se neviditelný obrázek v dokumentu, který je umístěn na serveru agentury, a vygeneruje se požadavek HTTP . Žádost je poté zaznamenána na server a poskytuje zpravodajské agentuře informace o tom, kdo ji otevírá a kde se otevírá. Pokud je však dokument s vodoznakem otevřen v alternativním textovém procesoru, může být obrázek pro diváka viditelný. Dokumentace také uvádí, že pokud je dokument zobrazen offline nebo v chráněném zobrazení, obrázek s vodoznakem nebude moci kontaktovat svůj domovský server. Toto je přepsáno pouze tehdy, když uživatel povolí úpravy.

Část 8 - „Archimedes“

Dne 5. května 2017 vydala WikiLeaks Vault 7 část 8 „Archimedes“. Podle instruktora amerického institutu SANS Jakea Williamse, který publikované dokumenty analyzoval, je Archimedes virus dříve s kódovým označením „Fulcrum“. Podle experta na kybernetickou bezpečnost a člena ENISA Pierluigi Paganiniho operátoři CIA používají Archimedes k přesměrování relací webového prohlížeče lokální sítě (LAN) z cíleného počítače přes počítač ovládaný CIA, než jsou relace směrovány k uživatelům. Tento typ útoku je známý jako man-in-the-middle (MitM). S jejich publikací WikiLeaks zahrnovala řadu hashů, o kterých tvrdí, že mohou být použity k potenciální identifikaci viru Archimedes a ochraně před ním v budoucnu. Paganini uvedl, že potenciální cílené počítače mohou vyhledávat tyto hashe na svých systémech, aby zkontrolovaly, zda jejich systémy nebyly napadeny CIA.

Část 9 - „AfterMidnight“ a „Assassin“

Dne 12. května 2017 vydala WikiLeaks Vault 7 část 9 „AfterMidnight“ a „Assassin“. AfterMidnight je malware nainstalovaný na cílovém osobním počítači a maskovaný jako soubor DLL , který se spouští při restartování počítače uživatele. Poté spustí připojení k počítači CIA Command and Control (C2), ze kterého stáhne různé moduly ke spuštění. Pokud jde o Assassin, je velmi podobný protějšku AfterMidnight, ale klamně běží uvnitř procesu služby Windows . Operátoři CIA údajně používají Assassina jako C2 k provádění řady úkolů, shromažďování a následnému pravidelnému zasílání uživatelských dat na CIA Listening Post (s) (LP). Podobně jako chování trojských koní na zadních vrátkách . AfterMidnight i Assassin běží na operačním systému Windows , jsou trvalé a pravidelně maják na jejich nakonfigurovaném LP, aby buď požadoval úkoly nebo odesílal soukromé informace CIA, a také se automaticky odinstaloval v nastaveném datu a čase.

Část 10 - „Athéna“

Dne 19. května 2017 vydala WikiLeaks Vault 7 část 10 „Athena“. Publikovaná uživatelská příručka, demo a související dokumenty byly vytvořeny v období od září 2015 do února 2016. Všechny se týkají malwaru údajně vyvinutého pro CIA v srpnu 2015, zhruba měsíc poté, co Microsoft vydal Windows 10 s jejich pevnými prohlášeními o tom, jak obtížné je bylo přistoupit na kompromis. Jak primární malware „Athena“, tak jeho sekundární malware pojmenovaný „Hera“ jsou teoreticky podobné malwaru Grasshopper a AfterMidnight, ale s některými významnými rozdíly. Jedním z těchto rozdílů je, že Athena a Hera byly vyvinuty CIA se soukromou společností New Hampshire s názvem Siege Technologies. Během rozhovoru Bloomberg 2014 zakladatel Siege Technologies potvrdil a zdůvodnil jejich vývoj takového malwaru. Athena malware zcela unese služby Windows pro vzdálený přístup , zatímco Hera unese službu Windows Dnscache . Athena i Hera také ovlivňují všechny aktuální verze Windows, včetně Windows Server 2012 a Windows 10. Další rozdíl je v typech šifrování použitých mezi infikovanými počítači a CIA Listening Posts (LP). Pokud jde o podobnosti, využívají trvalé soubory DLL k vytváření zadních vrátek pro komunikaci s LP CIA, krádeže soukromých dat , jejich odesílání na servery CIA nebo mazání soukromých dat na cílovém počítači, stejně jako Command and Control (C2) pro Pracovníci CIA posílají další škodlivý software k dalšímu spouštění konkrétních úkolů na napadeném počítači. Všechno výše uvedené bylo navrženo tak, aby oklamalo počítačový bezpečnostní software . Kromě publikovaných podrobných dokumentů WikiLeaks neposkytl žádný důkaz, který by naznačoval, že CIA použila Athenu nebo ne.

Část 11 - „Pandemie“

Dne 1. června 2017 vydala WikiLeaks Vault 7 část 11 „Pandemie“. Tento nástroj slouží jako trvalý implantát ovlivňující počítače se systémem Windows se sdílenými složkami. Funguje jako ovladač filtru systému souborů na infikovaném počítači a naslouchá provozu blokování zpráv serveru a detekuje pokusy o stahování z jiných počítačů v místní síti. „Pandemic“ odpoví na žádost o stažení jménem infikovaného počítače. Oprávněný soubor však nahradí malwarem. Aby byla zmatena jeho činnost, „Pandemic“ pouze upravuje nebo nahrazuje legitimní soubor při přenosu a ponechává originál na serveru beze změny. Implantát umožňuje úpravu 20 souborů najednou s maximální individuální velikostí souboru 800 MB. I když to není uvedeno v uniklé dokumentaci, je možné, že se nově infikované počítače samy mohou stát souborovými servery „Pandemic“, což implantátu umožní dosáhnout nových cílů v místní síti.

Část 12 - „Třešňový květ“

Dne 15. června 2017 vydala WikiLeaks Vault 7 část 12 „Třešňový květ“.

Část 13 - „Brutální klokan“

Dne 22. června 2017 vydala WikiLeaks Vault 7 část 13 „Brutal Kangaroo“.

Část 14 - „Elsa“

Dne 28. června 2017 vydala WikiLeaks Vault 7 část 14 „Elsa“.

Část 15 - „OutlawCountry“

Dne 29. června 2017 vydala WikiLeaks Vault 7 část 15 „OutlawCountry“.

Část 16 - „BothanSpy“

Dne 6. července 2017 vydala WikiLeaks Vault 7 část 16 „BothanSpy“.

Část 17 - „Highrise“

Dne 13. července 2017 vydala WikiLeaks Vault 7 část 17 „Highrise“.

Část 18 - „UCL / Raytheon“

UCL / Raytheon - 19. července 2017

Část 19 - „Imperial“

Imperial - 27. července 2017

Část 20 - „Dumbo“

Dumbo - 3. srpna 2017

Část 21 - „CouchPotato“

CouchPotato - 10. srpna 2017

Část 22 - „ExpressLane“

WikiLeaks publikuje tajné dokumenty z projektu „ExpressLane“ CIA. Tyto dokumenty ukazují jednu z kybernetických operací, které CIA provádí proti spojovacím službám - mezi něž patří mimo jiné Národní bezpečnostní agentura (NSA), ministerstvo pro vnitřní bezpečnost (DHS) a Federální úřad pro vyšetřování (FBI).

OTS (Office of Technical Services), pobočka v CIA, má biometrický sběrný systém, který je poskytován kontaktním službám po celém světě - s očekáváním sdílení biometrických záběrů shromážděných v systémech. Toto „dobrovolné sdílení“ ale zjevně nefunguje nebo je CIA považováno za nedostatečné, protože ExpressLane je skrytý nástroj pro shromažďování informací, který CIA používá k tajnému odfiltrování sbírek dat z takových systémů poskytovaných spojovacím službám.

ExpressLane je nainstalován a spuštěn s krytem upgradu biometrického softwaru agenty OTS, kteří navštěvují styčná místa. Styční důstojníci dohlížející na tento postup zůstanou nepředvídatelní, protože exfiltrace dat se skrývá za úvodní obrazovkou instalace systému Windows.

Základní součásti systému OTS jsou založeny na produktech od společnosti Cross Match, americké společnosti specializující se na biometrický software pro vymáhání práva a Intelligence Community. Společnost se dostala do titulků v roce 2011, když bylo oznámeno, že americká armáda použila produkt Cross Match k identifikaci Usámy bin Ládina během atentátu v Pákistánu.- 24. srpna 2017

Část 23 - „Angelfire“

Angelfire - 31. srpna 2017

Část 24 - „Protego“

Protego - 7. září 2017

Pravost

Tucker Carlson : Takže 51 000 lidí to retweetlo. Mnoho lidí si tedy myslelo, že je to věrohodné, věří vám, vy jste prezident - máte na starosti agentury. Každá zpravodajská agentura vám podává zprávy. Proč se k nim hned nevydat a neshromáždit důkazy, které to podporují?

Donald Trump : Protože nechci dělat nic, co by narušilo sílu agentury. Máme dost problémů.

A mimochodem, u CIA chci jen, aby lidé věděli, že CIA byla nabourána a bylo vzato mnoho věcí - to bylo za Obamových let. To během nás nebylo. To bylo za Obamovy situace. Mike Pompeo tam nyní dělá fantastickou práci.

- přepis, Tucker Carlson Tonight , 16. března 2017, ( Fox News )

Na dotaz ohledně jejich pravosti bývalý ředitel Ústřední zpravodajské služby Michael Hayden odpověděl, že organizace „nekomentuje pravost ani obsah údajných zpravodajských dokumentů“. Když však mluvili pod podmínkou anonymity, současní i bývalí představitelé zpravodajských služeb uvedli, že dokumenty se zdají být pravé. Edward Snowden krátce po vydání dokumentů tweetoval, že vypadají autenticky. Robert M. Chesney , profesor práva na University of Texas a ředitel programu Technologie a veřejné politiky v Centru pro strategická a mezinárodní studia (CSIS), přirovnal Vault 7 k hackerským nástrojům NSA odhaleným v roce 2016 skupinou, která si říká The Shadow Brokers .

Dne 15. března 2017 prezident Donald Trump během rozhovoru uvedl, že „CIA byla nabourána a spousta věcí vzata“. Následující den ve svém prohlášení demokratický kongresman Adam Schiff , řadový člen zpravodajského výboru Sněmovny , ve zprávě napsal: „Ve své snaze znovu obviňovat Obamu se zdálo, že prezident jednal o něčem, co je pravdivé a přesné , by jinak byly považovány za utajované informace. “ Schiff také řekl, že prezident má pravomoc odtajnit, co chce.

Organizace kybernetické války

WikiLeaks uvedla, že dokumenty pocházely z „izolované, vysoce zabezpečené sítě umístěné uvnitř Centra CIA pro kybernetickou inteligenci (CCI) v Langley ve Virginii “. Dokumenty umožnily WikiLeaks částečně určit strukturu a organizaci CCI. CCI má údajně celou jednotku věnovanou kompromitaci produktů Apple.

Kybernetická bezpečnostní společnost Symantec analyzovala dokumenty Vault 7 a zjistila, že některý z popsaných softwarů je v těsné shodě s kybernetickými útoky „Longhorn“, které monitoroval od roku 2014. Společnost Symantec měla dříve podezření, že „Longhorn“ je sponzorována vládou a sledovala jeho využití proti 40 cílům. v 16 zemích.

Frankfurtská základna

První část dokumentů zveřejněných 7. března 2017, Vault 7 „Year Zero“, odhalila, že přísně tajná jednotka CIA použila německé město Frankfurt jako výchozí bod pro hackerské útoky na Evropu , Čínu a Blízký východ . Podle dokumentů využívá americká vláda generální konzulát ve Frankfurtu jako hackerskou základnu pro kybernetické operace . Dokumenty WikiLeaks odhalují, že frankfurtští hackeři, součást Centra pro kybernetickou inteligenci Evropy (CCIE), dostali krycí identity a diplomatické pasy, aby zmátli celníky, aby získali vstup do Německa.

Hlavní generální prokurátor Spolkového soudního dvora v Karlsruhe Peter Frank oznámil 8. března 2017, že vláda provádí předběžné vyšetřování, aby zjistila, zda zahájí rozsáhlou sondu do aktivit prováděných mimo konzulát a také v širším smyslu. zda byli lidé v Německu napadeni CIA. Německý ministr zahraničí Sigmar Gabriel ze sociálně demokratické strany reagoval na dokumenty Vault 7 „Year Zero“, že CIA použila Frankfurt jako základnu pro své digitální špionážní operace, s tím, že Německo o kybernetických útocích nemá žádné informace.

POCIT URÁŽKY

Dokumenty údajně odhalily, že agentura nashromáždila velkou sbírku technik kybernetického útoku a malwaru vytvořeného jinými hackery. Tuto knihovnu údajně udržovala skupina UMBRAGE CIA's Remote Devices Branch s příklady použití těchto technik a zdrojovým kódem obsaženým v úložišti git „Umbrage Component Library“ . Podle WikiLeaks může CIA recyklací technik třetích stran prostřednictvím UMBRAGE nejen zvýšit celkový počet útoků, ale také může uvést v omyl forenzní vyšetřovatele tím, že tyto útoky zamaskuje jako práci jiných skupin a národů. Mezi techniky vypůjčené společností UMBRAGE patřila implementace stírání souborů používaná Shamoonem . Podle PC World některé z technik a úryvků kódu používala CIA ve svých interních projektech, jejichž konečný výsledek nelze z úniků odvodit. PC World poznamenal, že praxe osazování „ falešných vlajek “, která má odradit atribuci, není novým vývojem v kyberútokech: ruské, severokorejské a izraelské hackerské skupiny patří mezi osoby podezřelé z používání falešných vlajek.

Podle studie Kim Zetter v The Intercept byl UMBRAGE pravděpodobně mnohem více zaměřen na urychlení vývoje pomocí přeměny stávajících nástrojů, než na vyvěšení falešných vlajek. Robert Graham, generální ředitel Errata Security, řekl serveru The Intercept , že zdrojový kód, na který se odkazuje v dokumentech UMBRAGE, je „extrémně veřejný“ a pravděpodobně jej používá mnoho skupin a státních aktérů. Graham dodal: „Z důkazů v dokumentech můžeme s konečnou platností říci, že vytvářejí úryvky kódu pro použití v jiných projektech a znovu používají metody v kódu, které najdou na internetu ... Jinde mluví o zatemňování útoků, abyste neviděli, odkud pochází, ale neexistuje žádný konkrétní plán, jak provést operaci pod falešnou vlajkou . Nesnaží se říci: „Budeme vypadat jako Rusko“. "

Teorie falešných vlajek

V den prvního vydání dokumentů Vault 7 WikiLeaks popsal UMBRAGE jako „podstatnou knihovnu útočných technik„ ukradených “z malwaru vyrobeného v jiných státech, včetně Ruské federace,“ a tweetovalo „CIA krade viry a malware jiných skupin, které usnadňují falešné zprávy. vlajkové útoky. " Konspirační teorie brzy objevily tvrdí, že CIA rámovaly ruskou vládu za zasahování v amerických volbách v roce 2016 . Konzervativní komentátoři jako Sean Hannity a Ann Coulter spekulovali o této možnosti na Twitteru a Rush Limbaugh to probral ve svém rozhlasovém pořadu. Ruský ministr zahraničí Sergej Lavrov řekl, že Vault 7 ukázal, že „CIA by mohla získat přístup k takovým„ otiskům prstů “a poté je použít“.

Autoři kybernetické bezpečnosti, jako Ben Buchanan a Kevin Poulsen , byli k těmto teoriím skeptičtí. Poulsen napsal: „Uniklý katalog není organizován podle země původu a konkrétní malware používaný ruskými hackery DNC není nikde v seznamu.“

Mramorový rámec

Dokumenty popisují rámec Marble, řetězcový zmatovač používaný ke skrytí fragmentů textu v malwaru před vizuální kontrolou. Jako součást programu byly použity cizí jazyky k zakrytí zdroje hackerů CIA. Podle WikiLeaks dosáhl v roce 2015 hodnoty 1,0 a v roce 2016 jej používala CIA.

WikiLeaks ve svém vydání popsal primární účel "Mramoru" spočívající v vložení cizojazyčného textu do malwaru za účelem maskování virů, trojských koní a hackerských útoků, což znesnadnilo jejich sledování u CIA a způsobení falešných forenzních vyšetřovatelů přiřadit kód nesprávnému národu. Zdrojový kód odhalil, že mramor měl příklady v čínštině, ruštině, korejštině, arabštině a perštině . Byly to jazyky hlavních kybernetických protivníků USA-Číny, Ruska, Severní Koreje a Íránu.

Analytici označili WikiLeaks za popis hlavního účelu mramoru za nepřesný a sdělili The Hill , že jeho hlavním účelem bylo pravděpodobně vyhnout se detekci antivirovými programy.

Mramor také obsahoval nástroj deobfuscatoru, pomocí kterého mohla CIA zvrátit zmatek textu.

Bezpečnostní výzkumník Nicholas Weaver z Mezinárodního institutu informatiky v Berkeley pro Washington Post řekl: „Toto se zdá být jedním z technicky nejškodlivějších úniků, jaké kdy WikiLeaks provedly, protože se zdá, že je navržen tak, aby přímo narušil probíhající operace CIA.“

Kompromitovaná technologie a software

CD/DVD

HammerDrill je nástroj pro shromažďování disků CD/DVD, který shromažďuje procházení adresářů a soubory do nakonfigurovaného vzoru adresáře a názvu souboru, jakož i protokolování událostí vkládání a odebírání disků CD/DVD. v2.0 přidává schopnost přeskakování mezer, která vstřikuje trojského koně do 32bitových spustitelných souborů, když je Nero vypaluje na disk. V2.0 navíc přidává stav, ukončení a funkci sběru na vyžádání ovládanou pomocí HammerDrillStatus.dll, HammerDrillKiller.dll a HammerDrillCollector.dll. Protokolování nyní také otisky prstů disků hashováním prvních dvou bloků obrazu ISO, což umožňuje jedinečnou identifikaci disků s více relacemi, i když jsou data přidávána a odebírána. Protokol se také zaznamenává, kdykoli je na disku viděn trojúhelník binárního souboru HammerDrill.

Produkty Apple

Poté, co WikiLeaks vydala první splátku Vault 7, „Year Zero“, Apple uvedl, že „mnoho z dnes uniklých problémů již bylo opraveno v nejnovějším iOS“ a že společnost bude „pokračovat v práci na rychlém řešení všech identifikovaných zranitelností“.

Dne 23. března 2017 vydala společnost WikiLeaks „Dark Matter“, druhou dávku dokumentů ze své řady Vault 7, v níž jsou podrobně popsány hackerské techniky a nástroje, přičemž všechny se zaměřují na produkty Apple vyvinuté Embedded Development Branch (EDB) CIA. Únik také odhalil, že CIA míří na iPhone od roku 2008, rok po vydání zařízení. Tyto projekty EDB napadly firmware společnosti Apple, což znamená, že kód útoku bude přetrvávat, i když bude zařízení restartováno. Archiv „Dark Matter“ obsahoval dokumenty z let 2009 a 2013. Apple vydal druhé prohlášení, ve kterém ujistil, že na základě „počáteční analýzy údajná zranitelnost iPhonu ovlivnila pouze iPhone 3G a byla opravena v roce 2009, kdy byl iPhone 3GS vydán“. Předběžné hodnocení navíc ukázalo, že „údajné zranitelnosti počítačů Mac byly dříve opraveny u všech počítačů Mac uvedených na trh po roce 2013“.

Cisco

WikiLeaks 19. března 2017 na Twitteru uvedl, že „CIA tajně využívala“ zranitelnost v obrovské řadě modelů routerů Cisco objevených díky dokumentům Vault 7. CIA se před více než rokem naučila, jak využívat nedostatky v široce používaných internetových přepínačích Cisco , které usměrňují elektronický provoz, aby bylo možné odposlouchávat. Cisco rychle přeřadilo zaměstnance z jiných projektů, aby se soustředili pouze na analýzu útoku a zjistili, jak hacking CIA fungoval, aby mohli zákazníkům pomoci opravit jejich systémy a zabránit zločinným hackerům nebo špiónům používat podobné metody.

20. března výzkumníci Cisco potvrdili, že jejich studie dokumentů Vault 7 ukázala, že CIA vyvinula malware, který by mohl využít chybu nalezenou v 318 modelech přepínačů Cisco a změnit nebo převzít kontrolu nad sítí.

Společnost Cisco vydala varování před bezpečnostními riziky, opravy nebyly k dispozici, ale společnost Cisco poskytla rady ke zmírnění.

Chytré telefony/tablety

Elektronické nástroje mohou údajně ohrozit jak Apple ‚s iOS a Google ‘ s Android operační systémy. Přidáním malwaru do operačního systému Android by tyto nástroje mohly získat přístup k zabezpečené komunikaci prováděné na zařízení.

Služby zasílání zpráv

Podle WikiLeaks může agentura po proniknutí smartphonu Android shromažďovat „přenos zvuku a zpráv před použitím šifrování“. Některý software agentury je údajně schopen získat přístup ke zprávám zasílaným službami rychlých zpráv. Tento způsob přístupu ke zprávám se liší od získání přístupu dešifrováním již zašifrované zprávy. Zatímco šifrování poslů, kteří nabízejí šifrování typu end-to-end , jako jsou Telegram , WhatsApp a Signal , nebylo prolomeno, jejich šifrování lze obejít zachycením vstupu před použitím jejich šifrování, a to metodami, jako je keylogging a záznam dotykového vstupu od uživatele. Komentátoři, mezi nimi Snowden a kryptograf a bezpečnostní odborník Bruce Schneier , poznamenali, že Wikileaks nesprávně naznačovaly, že samotné aplikace pro zasílání zpráv a jejich šifrování byly kompromitovány - což je implikace, kterou po určitou dobu informoval New York Times a další hlavní vývody .

Systémy řízení vozidel

Jeden dokument údajně ukázal, že CIA zkoumala způsoby, jak infikovat řídicí systémy vozidel. WikiLeaks uvedla: "Účel takové kontroly není specifikován, ale umožnilo by to CIA zapojit se do téměř nezjistitelných vražd." Toto prohlášení přineslo novou pozornost konspiračním teoriím obklopujícím smrt Michaela Hastingsa .

Okna

Dokumenty odkazují na zneužití „ Injekce DLL systému Windows FAX “ v operačních systémech Windows XP , Windows Vista a Windows 7 . To by uživateli se škodlivými úmysly umožnilo skrýt vlastní malware pod knihovnou DLL jiné aplikace. Počítač však již musel být kompromitován jinou metodou, aby se injekce uskutečnila.

Komentář

Dne 7. března 2017 se Edward Snowden vyjádřil k důležitosti vydání s tím, že prozrazuje, že vláda USA „rozvíjí zranitelnosti v produktech USA“ a „poté záměrně nechává díry otevřené“, což považuje za velmi bezohledné.

Dne 7. března 2017 Nathan White, senior legislativní manažer skupiny pro internetovou advokacii Access Now , píše:

Dnes je naše digitální zabezpečení ohroženo, protože CIA hromadí zranitelnosti spíše než spolupracuje s firmami na jejich opravě. Spojené státy mají mít proces, který pomáhá zabezpečit naše digitální zařízení a služby - proces zranitelnosti akcií . Mnoho z těchto chyb zabezpečení mohlo být zodpovědně odhaleno a opraveno. Tento únik dokazuje inherentní digitální riziko hromadění zranitelností místo jejich opravy.

Dne 8. března 2017, Lee Mathews, přispívá k Forbes napsal, že většina z hackerských metod popsaných v trezoru 7 byly již známy mnoha odborníků kybernetické bezpečnosti.

Dne 8. března 2017 někteří poznamenávají, že odhalené techniky a nástroje budou s největší pravděpodobností použity k cílenějšímu sledování odhalenému Edwardem Snowdenem.

Dne 8. dubna 2017 to Ashley Gorski, zmocněnec amerického svazu občanských svobod označil za „kritické“, aby pochopil, že „těchto zranitelností může být zneužito nejen naší vládou, ale i zahraničními vládami a kybernetickými zločinci po celém světě“. Justin Cappos , profesor katedry výpočetní techniky a inženýrství na Newyorské univerzitě, se ptá: „Pokud vláda ví o problému ve vašem telefonu, který by mohli padouši použít k hacknutí vašeho telefonu a mít schopnost vás špehovat, je to slabost, kterou oni sami by měli použít pro boj proti terorismu nebo pro své vlastní špionážní schopnosti, nebo je to problém, který by měli vyřešit pro všechny? “.

Dne 8. dubna 2017, Cindy Cohn , výkonný ředitel mezinárodní neziskové skupiny se sídlem v San Francisku digitálních práv Electronic Frontier Foundation , řekl: „Pokud CIA šel kolem vašich dveří a viděl, že zámek byl zlomený, měli by aspoň říct ty a možná dokonce pomůžeš to napravit. " „A co hůř, pak ztratili přehled o informacích, které ti tajili, aby nyní zločinci a nepřátelské zahraniční vlády věděli o tvém rozbitém zámku.“ Dále uvedla, že CIA "nedokázala přesně posoudit riziko neodhalení zranitelností. I špionážní agentury, jako je CIA, nesou odpovědnost za ochranu bezpečnosti a soukromí Američanů". „Svoboda soukromého rozhovoru - bez obav, že naslouchá nepřátelská vláda, darebný vládní agent nebo konkurent nebo zločinec - je pro svobodnou společnost ústřední.“ I když ne tak přísné jako zákony o ochraně soukromí v Evropě Čtvrtý dodatek k americkému ústava nezaručuje právo být bez nepřiměřené prohlídky a zabavování věcí.

12. května 2017 prezident společnosti Microsoft a hlavní právní ředitel Brad Smith napsal: „Toto je rozvíjející se model v roce 2017. Viděli jsme, jak se zranitelnosti uložené CIA objevují na WikiLeaks,“ Jinými slovy, Smith vyjádřil znepokojení nad tím, že CIA má nashromáždil takové zranitelnosti počítačů, které jim byly zase ukradeny, zatímco oni včas neinformovali společnost Microsoft o svém narušení zabezpečení, v důsledku čehož bylo na delší dobu potenciálně negativně ovlivněno soukromí a zabezpečení jejich zákazníků po celém světě a způsobil rozsáhlé škody.

Viz také

Poznámky

Reference

externí odkazy