昨天,维基解密又公布Vault7系列数百份文件,曝光CIA如何将自己发起的攻击伪装成来自俄罗斯、中国、朝鲜和伊朗等其他国家。
危机解密这一波公布的CIA泄露文件第三弹,名为“Marble”,其中包含反取证Marble Framework的676份源码文件,基本上就是用来隐藏CIA恶意程序真实源码的混淆工具——内含各种算法,主旨都是反追踪,用于阻碍取证调查人员和反病毒公司将病毒、木马和黑客攻击行为溯源到CIA身上。
嫁祸给中国、俄罗斯等国?
除了作为混淆工具之用,维基解密认为Marble Framework有意将外语插入恶意程序源码之中,来欺骗安全分析师,将攻击嫁祸给其他国家。比如,将恶意程序使用的语言伪装为汉语而非美式英语,然后假装掩饰使用汉语的痕迹,进一步诱导取证调查人员得出错误的结论。根据曝光的文件,Marble的源码中包含的语言包括汉语、俄语、韩语、阿拉伯语、波斯语及英语。
此外,公布的源码文件中还包含反混淆工具,可以逆向CIA混淆过的文本。
外媒公布的这段中文还真是神一般的存在,还不如下图The Register的标题给力……
在Marble Framework公布之后,取证调查人员和反病毒企业应该就能够从中发现一些规律和曾经遗漏的环节,揭露之前的一些网络攻击和病毒背后真正的元凶。
截至目前,维基解密已经公布了“Year Zero”,揭露了CIA针对流行硬件和软件使用的exploit和安全漏洞;维基解密还公布了“Dark Matter”,其中包含的是CIA专门针对iPhone和Mac设计的exploit和黑客技术。
据维基解密官网的说法,CIA在2016年也有使用Marble,但这种说法目前还没有证据支持。有关专家仍在分析Marble,所以我们现在也没必要太激动。
各方观点
Softwar Inc的CEO Charles R. Smith认为Marble使用了Bouncy Castle加密API。Rendition InfoSec的安全研究员Jake Williams认为Marble中的混淆技术确实可以帮助CIA开发的恶意代码躲避检测,但就插入外语这一细节Williams不同意维基解密的结论——他认为Marble中之所以插入汉语、俄语等是因为CIA在入侵这些国家的系统时,可能需要在其恶意软件中加入目标国的语言。
实际上,APT攻击特性之一就是隐蔽性和伪装,如果攻击堂而皇之地公开自己的身份,那应当也就不是APT攻击了。所以在Williams看来,CIA的这份Marble文档,更多的就是用来隐藏身份,原本就是理所应当的。
另外加州大学伯克利分校国际计算机科学研究所研究员Nicholas Weaver发推特称,这是维基解密所有泄密文件中造成伤害最大的文档之一。CIA目前未就这一波泄露文件进行评论。白宫对维基解密的行为表示谴责,认为公布CIA机密信息的相关人士或机构应承担法律责任。
本文转自d1net(转载)