2017年6月22日(農(nóng)歷2017年5月28日)，維基爆美國CIA利器“野蠻袋鼠”可訪問任意封閉網(wǎng)絡(luò)?！耙靶U袋鼠”可訪問任意封閉網(wǎng)絡(luò)美國時間2017年6月22日，維基解密披露發(fā)布了CIAVault7系列的第十二批文件，分別是“野蠻袋鼠(BrutalKangaroo)”和“情感猿猴(EmotionalSimian)”項目。披露的文件詳細(xì)描述了美國情報機(jī)構(gòu)如何遠(yuǎn)程隱蔽地入侵訪問封閉的計算機(jī)網(wǎng)絡(luò)或獨(dú)立的安全隔離網(wǎng)閘(Air-GappedDevices，從未連接過互聯(lián)網(wǎng)的設(shè)備)。而這兩個項目的工具只針對微軟Windows操作系統(tǒng)。野蠻袋鼠(BrutalKangaroo)根據(jù)維基解密發(fā)布的消息，“野蠻袋鼠”是用于微軟Windows操作系統(tǒng)的工具套件，通過使用U盤或閃存(thumbdrives)的網(wǎng)閘擺渡來入侵封閉的網(wǎng)絡(luò)。野蠻袋鼠組件在目標(biāo)封閉網(wǎng)絡(luò)內(nèi)創(chuàng)建一個定制化的隱蔽網(wǎng)絡(luò)，并提供調(diào)查執(zhí)行、目錄列表和任意文件執(zhí)行等功能。一般金融機(jī)構(gòu)，軍事和情報機(jī)構(gòu)，核電行業(yè)都會使用封閉網(wǎng)絡(luò)以保護(hù)重要數(shù)字資產(chǎn)。此次披露的文件描述了CIA如何能夠在無法直接訪問的情況下滲透組織或企業(yè)內(nèi)的封閉網(wǎng)絡(luò)(或安全隔離網(wǎng)閘的獨(dú)立計算機(jī))。首先，感染目標(biāo)內(nèi)的一臺接入互聯(lián)網(wǎng)的計算機(jī)(稱為primaryhost“主要宿主”)，并在這臺計算機(jī)上安裝“野蠻袋鼠”惡意軟件。當(dāng)用戶使用“主要宿主”并插入U盤或閃存盤時，U盤或閃存盤自身會被單獨(dú)的惡意軟件感染。如果這個U盤或閃存盤用于在封閉的網(wǎng)絡(luò)和LAN(局域網(wǎng))/WAN(廣域網(wǎng))之間復(fù)制數(shù)據(jù)，用戶遲早會將U盤或閃存盤插入到封閉網(wǎng)絡(luò)中的計算機(jī)上，惡意軟件就會向袋鼠一樣跳來跳去感染封閉網(wǎng)絡(luò)內(nèi)的其他設(shè)備。通過在這種受保護(hù)的計算機(jī)上使用Windows資源管理器瀏覽USB驅(qū)動器，它也會感染滲透或探測惡意軟件。如果封閉網(wǎng)絡(luò)中的多臺計算機(jī)都處于CIA控制之下，它們將形成一個隱蔽網(wǎng)絡(luò)來協(xié)同任務(wù)和數(shù)據(jù)交換。竊取的數(shù)據(jù)可以再次返回到CIA，這取決于有人將封閉網(wǎng)絡(luò)計算機(jī)上使用的USB連接到在線設(shè)備。雖然此次泄露的文檔中沒有明確說明，但是這種破壞封閉網(wǎng)絡(luò)的方法與世界上首個網(wǎng)絡(luò)超級破壞性武器“震網(wǎng)病毒(Stuxnet)”的工作方式非常相似(詳見《震網(wǎng)病毒紀(jì)錄片《零日.ZeroDays.2016》HD1080PE安全獨(dú)家中文字幕》)。據(jù)稱CIA在2012年-也就是在伊朗的Stuxnet事件發(fā)生兩年后開始制定“野蠻袋鼠”項目。野蠻袋鼠項目的主要組件DriftingDeadline：用于感染U盤或閃存盤的惡意工具；ShatteredAssurance：這是一個服務(wù)器工具，處理U盤或閃存盤的自動感染(該工具是野蠻袋鼠套件的主要傳播手段)；BrokenPromise：野蠻袋鼠后處理器(用于評估收集的信息)，Shadow：是主要的駐留機(jī)制(第2階段工具，分布在封閉的網(wǎng)絡(luò)中，充當(dāng)隱蔽的命令和控制網(wǎng)絡(luò)；一旦安裝了多個Shadow實(shí)例并共享驅(qū)動器，任務(wù)和Payloads就能來回發(fā)送)。受感染的USB設(shè)備使用的主要執(zhí)行向量是微軟Windows操作系統(tǒng)中的一個漏洞，可以通過特制的鏈接文件來利用這些漏洞，這個特制文件可以在沒有用戶交互的情況下加載和執(zhí)行程序(DLL)。舊版本的工具套件使用了一種稱為EZCheese的機(jī)制，這在2015年3月前一直是零日漏洞利用程序(CVE-2015-0096)；較新版本似乎使用了類似但尚未知的鏈接文件漏洞，與Windows操作系統(tǒng)的庫描述文件library-ms有關(guān)。情感猿猴(EmotionalSimian)“情感猿猴(EmotionalSimian)”項目是一款病毒程序：本次維基解密披露發(fā)布了共計11個文件，這些文件顯示至少要到2035年才能被解密。而維基解密發(fā)布的文件日期為2016年2月，表明該計劃可能已經(jīng)在去年就開始被CIA所使用。維基解密自三月以來公開的CIA工具下面是E安全整理的維基解密自3月以來披露發(fā)布的CIA工具：BrutalKangaroo(“野蠻袋鼠”，攻擊網(wǎng)閘設(shè)備和封閉網(wǎng)絡(luò))；EmotionalSimian(“情感猿猴”，針對網(wǎng)閘設(shè)備的病毒)CherryBlossom(“櫻花”，攻擊無線設(shè)備的框架)；Pandemic(“流行病”，文件服務(wù)器轉(zhuǎn)換為惡意軟件感染源)；Athena(“雅典娜”，惡意間諜軟件，能威脅所有Windows版本)；AfterMidnight(“午夜之后”，Winodws平臺上的惡意軟件框架)；Archimedes(“阿基米德”，中間人攻擊工具)；Scribbles(CIA追蹤涉嫌告密者的程序)；WeepingAngel(“哭泣天使”，將智能電視的麥克風(fēng)轉(zhuǎn)變?yōu)楸O(jiān)控工具)；Hive(“蜂巢”，多平臺入侵植入和管理控制工具)；Grasshopper(“蝗蟲”，針對Windows系統(tǒng)的一個高度可配置木馬遠(yuǎn)控植入工具)；MarbleFramework(“大理石框架”，用來對黑客軟件的開發(fā)代碼進(jìn)行混淆處理、防止被歸因調(diào)查取證)；DarkMatter(“暗物質(zhì)”，CIA入侵蘋果Mac和iOS設(shè)備的技術(shù)與工具)