美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

近日,國家電腦病毒緊急處理中心對“蜂巢」(Hive)惡意程式碼攻擊控制武器平台(以下簡稱「蜂巢平台」)進行了分析,蜂巢平台由美國中央情報局(CIA)數位創新中心(DDI)下屬的資訊作戰中心工程開發小組(EDG,以下簡稱「美中情局工程開發小組」)和美國著名軍工企業諾斯羅普·格魯曼(NOC)旗下XETRON公司聯合研發,由美國中央情報局(CIA)專用。蜂巢平台屬於「輕量化」的網路武器,其戰術目的是在目標網路中建立隱蔽立足點,秘密定向投放惡意程式碼程序,利用該平台對多種惡意程式碼程式進行後台控制,為後續持續投送“重型」武器網路攻擊創造條件。美國中央情報局(CIA)運用該武器平台根據攻擊目標特徵定制適配多種操作系統的惡意代碼程序,對受害單位信息系統的邊界路由器和內部主機實施攻擊入侵,植入各類木馬、後門,實現遠端控制,對全球範圍內的資訊系統實施無差別網路攻擊。

一、技術分析

(一)攻擊目標

為滿足美國中央情報局(CIA)針對多平台目標的攻擊需求,研發單位針對不同CPU架構和作業系統分別開發了功能相近的蜂巢平台適配版本。根據目前掌握的情況,蜂巢平台可支援ARMv7、x86、PowerPC和MIPS等主流CPU架構,涵蓋Windows、Unix、Linux、Solaris等通用作業系統,以及RouterOS(一種由MikroTik公司開發的網路設備專用作業系統)等專用作業系統。

(二)系統構成

蜂巢平台採用C/S架構,主要由主控端(hclient)、遠端控制平台(cutthroat,譯為:「割喉」)、生成器(hive-patcher)、受控端程式(hived)等部分組成。為了掩護相關網路間諜行動,美中情局工程開發小組還專門研發了一套名為「蜂房」(honeycomb)的管理系統,配合多層跳板伺服器實現對大量遭受蜂巢平台感染的受害主機的遠端隱藏控制和數據歸集。

(三)攻擊場景復現

國家電腦病毒緊急處理中心深入分析蜂巢平台樣本的技術細節,結合公開管道所獲得的相關資料,基本上完成了蜂巢平台典型攻擊場景的複現。

1、利用生成器(hive-patcher)生成客製化的受控端惡意程式碼程式

美國中央情報局(CIA)攻擊人員首先根據任務需求和目標平台特點,使用生成器(hive-patcher)產生待植入的客製化受控端惡意程式碼程式(即hived)。在產生受控端程式前,可以根據實際任務需求進行參數配置(如表1所示)。

美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

美國中央情報局(CIA)攻擊人員完成上述參數配置後,生成器(hive-patcher)可產生新的受控端植入體(如圖1)。

美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

值得注意的是,從攻擊目標類型來看,美國中央情報局(CIA)特別關注MikroTik系列網路設備。 MikroTik公司的網路路由器等設備在全球範圍內具有較高流行度,特別是其自研的RouterOS操作系統,被許多第三方路由器廠商所採用,美國中央情報局(CIA)對這種操作系統的攻擊能力帶來的潛在風險難以估量。

2、將伺服器端惡意程式碼程式植入目標系統

美國中央情報局(CIA)特別開發了一個名為「Chimay-Red」的MikroTik路由器漏洞利用工具,並編制了詳細的使用說明。此漏洞利用工具利用存在於MikroTikRouterOS 6.38.4及以下版本作業系統中的堆疊衝突遠端程式碼執行漏洞,實現對目標系統的遠端控制。漏洞利用工具的使用說明如表2。

美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

據美國政府內部人士公開披露,美國中央情報局(CIA)和美國國家安全局(NSA)同屬美國國防部,他們在對外網路戰行動中經常相互配合,美國國家安全局的特定入侵行動辦公室擁(TAO)擁有「酸狐狸」(FoxAcid)等漏洞攻擊武器平台和系統化網路攻擊工具,可以高效支援美國中央情報局(CIA)的間諜軟體植入行動。

3、喚醒伺服器端惡意程式碼程式並進行命令控制

伺服器端惡意程式碼程式植入目標系統並正常運作後,會處於靜默潛伏狀態,即時監聽受控資訊系統網路通訊流量中具有觸發器特徵的資料包,等待被「喚醒」。美國中央情報局(CIA)攻擊人員可以使用客戶端向伺服器端發送“暗語”,以“喚醒”潛伏的惡意程式碼程式並執行相關指令。美國中央情報局(CIA)攻擊人員利用名為「cutthroat(割喉)」的控制台程式來操控客戶端。其主要命令參數如表3所示。

美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

主控端與被控端建立連線後,可執行對應控制指令(如圖2所示)。

美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

為躲避入侵偵測,主控端透過發送「暗語」喚醒受控端惡意程式碼程序,隨後模仿HTTP over TLS建立加密通訊頻道,以迷惑網路監控人員、規避技術監控手段(如圖3所示)。

美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

至此,主控端實現了對受控端惡意程式碼程式的完全控制,可以在隱蔽狀態下隨時投送其他惡意負載,或進行後續滲透竊密行動。

(四)掩護措施

為進一步提高網路間諜行動的隱藏性,美國中央情報局(CIA)在全球範圍內精心部署了蜂巢平台相關網路基礎設施。從已經監測到的數據分析,美國中央情報局(CIA)在主控端和被控端之間設置了多層跳板伺服器和VPN通道,這些伺服器廣泛分佈於加拿大、法國、德國、馬來西亞和土耳其等國,有效隱藏自身行踪,受害者即使發現遭受蜂巢平台的網路攻擊,也極難進行技術分析和追蹤溯源。

二、運作方式

基於維基解密公開揭露的美國中央情報局(CIA)內部資料,結合國家電腦病毒緊急處理中心的技術分析成果,可以清楚了解蜂巢平台的運作方式如下:

(一)開發流程及開發者

蜂巢平台由美國中央情報局(CIA)工程開發小組(EDG)主導研發完成,專案週期至少從2010年10月持續到2015年10月,軟體版本至少為2.9.1,並且至少從2011年開始就支援對MikroTik系統設備及相關作業系統的遠端攻擊。參與開發人員包括但不限於:Mike Russell、Jack McMahon、Jeremy Haas和Brian Timmons等人(如圖4)。

美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

另外,蜂巢平台專案也融入了合作機構的研發成果,其中包括美國著名軍工企業諾斯羅普·格魯曼(Northrop Grumman)公司旗下的XETRON公司編寫的專案程式碼(如圖5所示)。

美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

XETRON公司成立於1972年,1986年被美國西屋電氣集團收購,1996年與西屋電氣一並被美國諾斯羅普·格魯曼公司收購,總部現位於美國俄亥俄州辛辛那提市郊區,公開資訊顯示,在2013年其擁有6.8萬名員工。 XETRON長期以來一直是美國中央情報局(CIA)的承包商,其產品範圍包括軍用感測器、通訊系統和網路安全軟體等。根據維基解密揭露的資料,XETRON公司除參與蜂巢平台專案外,也向美國中央情報局(CIA)提供了入侵思科(Cisco)路由器的工具「Cinnamon」。另根據諾斯羅普·格魯曼公司描述,XETRON致力於為政府客戶的行動提供技術支持,並專注於“電腦網路行動”,優勢技術包括:加密、入侵檢測、逆向工程和滲透攻擊。 XETRON長期以來一直從辛辛那提大學和戴頓大學招募網路安全人才。

(二)蜂巢平台網路基礎設施

在「蜂房」(honeycomb)中的腳本中,研究人員發現了一批曾經被美國中央情報局(CIA)用於控制蜂巢平台受控端惡意程式碼程式的伺服器IP位址(如表4所示)。伺服器所在地區涵蓋歐洲、美洲和亞洲(如圖6所示)。

美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

美國中央情報局(CIA)「蜂巢」惡意程式碼攻擊控制武器平台分析報告

 

三、總結

上述分析表明,美國中央情報局(CIA)對他國發動網絡駭客攻擊的武器系統已經實現體系化、規模化、無痕化和人工智慧化。其中,蜂巢平台作為CIA攻擊武器中的“先鋒官”和“突擊隊”,承擔了突破目標防線的重要職能,其廣泛的適應性和強大的突防能力向全球互聯網用戶發出了重大警告。

(一)美國中央情報局(CIA)擁有強大且完整的網路攻擊武器庫

蜂巢平台作為美國中央情報局(CIA)的主戰網路武器裝備之一,其強大的系統功能、先進的設計理念和超前的作戰思想充分體現了CIA在網路攻擊領域的突出能力。其網路武器涵蓋遠端掃描、漏洞利用、隱藏植入、嗅探竊密、文件提取、內網滲透、系統破壞等網路攻擊活動的全鏈條,具備統一指揮操控能力,已基本實現人工智慧化。美國中央情報局(CIA)依托蜂巢平台建立的覆蓋全球互聯網的間諜情報系統,正在對世界各地的高價值目標和社會名流實施無差別的網絡監聽。

(二)美國中央情報局(CIA)對全球範圍的高價值目標實施無差別的攻擊控制和通訊竊密

美國中央情報局的駭客攻擊和網路間諜活動目標涉及俄羅斯、伊朗、中國、日本、韓國等世界各國政府、政黨、非政府組織、國際組織和重要軍事目標,各國政要、公眾人物、社會名人和技術專家,教育、科學研究、通訊、醫療機構,大量竊取受害國的秘密訊息,大量取得受害國重要資訊基礎設施的控制權,大量掌握世界各國的公民個人隱私,服務於美國維持霸權地位。

(三)全球互聯網和世界各地的重要資訊基礎設施已經成為美國情治部門的“情報站”

從近期中國網路安全機構揭露的美國國家安全局(NSA)「電幕行動」「APT-C-40」「NOPEN」「量子」網路攻擊武器和此次曝光的美國中央情報局(CIA)「蜂巢」武器平台的技術細節分析,現有國際互聯網的骨幹網設備和世界各地的重要信息,基礎設施中(伺服器、交換設備、傳輸設備和上網終端),只要包含美國互聯網公司提供的硬體、操作系統和應用軟體,就極有可能包含零日(0day)或各類後門程式(Backdoor),就極有可能成為美國情治機構的攻擊竊密目標,全球互聯網上的全部活動、存儲的全部數據都會“如實」展現在美國情治機構面前,成為其對全球目標實施攻擊破壞的「把柄」與「素材」。

(四)美國情治部門的網路攻擊武器已經實現人工智慧化

蜂巢平台典型的美國軍工產品,模組化、標準化程度高,擴展性好,顯示美國已實現網路武器的「產學研一體化」。這些武器可根據目標網路的硬體、軟體配置和存在後門、漏洞情況自動發動網路攻擊,並依託人工智慧技術自動提高權限、自動竊密、自動隱藏痕跡、自動回傳數據,實現對攻擊目標的全自動控制。

國家電腦病毒緊急處理中心提醒廣大網路用戶,美國情治部門的網路攻擊是迫在眉睫的現實威脅,針對帶有美國「基因」的電腦軟硬設備的攻擊竊密如影隨形。避免遭受美國駭客攻擊的權宜之計是採用自主可控的國產化設備。

原文文章,作者:SnowFlake,如若轉載,請註明出處:https://cncso.com/tw/hive-malware-attack-on-weapon-platforms.html

讚! (2)
以前的 2022年3月5日上午3:10
下一個 2022年4月28日

相關推薦