维基解密网站已经发布一批反取证工具,且宣称CIA去年曾使用这些工具。通过发布一系列用于掩盖恶意软件攻击的相关说明文件,维基解密或将给CIA方面的黑客行动造成又一轮重大打击。
本周五,维基解密网站发布了Marble框架的源代码,其中囊括一整套据称是CIA方面去年曾使用过的反取证工具集。
Rendition InfoSec公司安全研究员杰克-威廉姆斯(Jake Williams)称这些文件似乎展示了CIA方面在自主开发恶意软件中使用的“混淆技术”。目前尚不确定,该公司的安全专家们正在对相关文件进行检查。他解释称,无论是政府支持型专业攻击者亦或是相关技术爱好者,每一位黑客都会利用自己的混淆技术开发恶意软件。
归功于维基解密的披露,CIA所使用的部分方法被公众所知晓。这足以用于安全研究人员确定以往收集到的恶意软件样本是否与该美国间谍机构有所关联,这一点维基解密方面亦作出了同样的说明。不过该网站还根据此批源代码得出了另一项结论,即CIA亦可冒充其它国家以掩盖自己的恶意软件攻击行为。
维基解密发布另一批CIA内部资料,涉及多种恶意软件掩盖方法-E安全
业界专家质疑维基解密关于CIA泄密内容的论断
维基解密指出,CIA的各类反取证工具支持多种语言,具体包括汉语、俄语、韩语、阿拉伯语以及波斯语等,这意味着法庭将因此陷入双重归因的困境。也就是说,安全研究人员可能会因注意到其中包含某些外语词汇而将CIA开发的恶意软件错误地归因至其它国家。
不过威廉姆斯并不认同这一结论,且表示这样的论断太过荒唐,并不准确。这批反取证工具实际上是希望隐藏那些以外语编写的计算机代码,而非故意将其暴露出来。
这一点之所以如此重要,是因为CIA很可能需要利用自己的恶意软件打击位于俄罗斯或者中国的远程计算机设备。要突破此类系统,CIA方面也许有必要在恶意软件中添加部分俄语或者汉语词汇。如果不对内容加以混淆,那么任何获得了该恶意软件的人士都将发现这一入侵企图的存在。
这已经不是维基解密提出之论断第一次遭受到业界质疑了。自此次相关黑客工具披露事件起始至今,安全研究人员们一直在批评该网站夸大了CIA的黑客攻击能力。
CIA方面亦尚未对本周五发布的源代码发表评论。不过如果我们假定这些文件确实真实可信,则安全研究人员认为这一曝光行为很可能破坏该机构未来的间谍活动。加利福尼亚大学伯克利分校国际计算机科学研究院研究员尼古拉斯-维沃(Nicholas Weaver)发布推文指出,“这是维基解密目前来说发布的危害性最大的内容之一。”
除此之外,其他黑客亦能够从此次发布的源代码中学习技术以进一步混淆自己的恶意软件。
威廉姆斯表示担心的是,现在任何人都可以创建与CIA方案类似的恶意软件。
本文转自d1net(转载)