【博評】邱世卿:回顧CIA所使用的惡意程式控制系統Hive,以及為此背鍋的卡巴斯基

2019-05-03 10:21:57

讓筆者講一個發生於不太久之前的故事:在之前揭露來自美國中央情報局(CIA)Vault 7系列的駭客工具文件後,WikiLeaks 2017年11月發表了Vault 8系列,進一步提供基於Vault 7 系列的軟體專案的分析與程式碼,打頭陣的 是CIA所使用的惡意程式控制系統 代號 - Hive。

維基解密連結

一、簡介

Hive 可同時控制並發起多項攻擊行動,把不同的惡意程式植入目標電腦。WikiLeaks表示,如果CIA 的網路攻擊行動成功入侵但因為行跡不夠隱密,那麼不管所植入的惡意程式多麼精密、有效率最終都是無效的,而Hive 則解決了這個問題。

在Hive架構上,每項攻擊行動都至少會註冊一個用來進行掩護的網域,執行相關網域的DNS伺服器是CIA向虛擬主機業者租來的,伺服器上所使用的軟體皆已按照CIA的指定的規格客製化,它們只是CIA 施行網路攻擊的跳板,且藉由VPN與HTTPS連結到另一個被隱藏的CIA伺服器—Blot。

此外,作為掩護的網站上有著看似正常的內容,一般人根本無從察覺。 因此,Hive所建立的通訊平台允許惡意程式將資訊回傳至CIA的伺服器,也能接受來自CIA 的指令,但就算植入於目標電腦的惡意程式被發現了,也很難回溯追究到CIA身上。

WikiLeaks 同時也公布了Hive系統的原始碼、操作環境、開發者指南、架構配置指南,以及 操作手冊等。

Hive可同時控制多項攻擊行動,把不同的惡意程式植入目標電腦。WikiLeaks表示,如果CIA的網路攻擊行動不夠隱密,那麼不管所植入的惡意程式有多精密都是無效的,而Hive則解決了這個最棘手的問題。

Hive黑客程式的功能架構描述圖。(網絡圖片)

二、程式分析

為了方便解釋,我們將 Hive 分成四個主要的功能區塊:

1.用戶端:

相當於木馬程式的受遙控節點,主要是接收來自伺服器的指令以及按照預置的命令進行資料收集或控制用戶電腦的動作。

2.PORT轉發封包:

受控端透過Apache 網頁伺服器,為裝成正常的http封包進行流量導出,這是第一層跳板。

3.中介伺服器:

為避免封包被追蹤而洩漏封包接收伺服器的位置,因此偽裝的http封包與OpenVPN將封包加密後,往下一層負責掩護的伺服器傳送,中間的流量因為經過加密,因此可以避免被直接追溯到二方通信的真實來源(包含用戶端以及封包接收伺服器)。

4.封包接收伺服器主要是由四個個別的伺服器組成:

a.掩護伺服器 Cover Server

偽裝成一部功能完全正常的網頁伺服器,可以自動回應外部的詢答,也可以依據連接的port 請求而偽冒成不同內容的網站。

b.控制伺服器 Honeycom

可以對遠端受控的電腦下達預設的指令,是竊密或破壞行動發起的中心。

c.網域伺服器 DNS Server

提供網域與網路位址轉換

d.情報與紀錄儲存伺服器

將受控端所獲得的情報以及情報網路活動的紀錄寫入資料庫,可供後續分析運用。

 

要特別注意的是,根據維基解密所洩漏的程式碼顯示,Hive 本身會使用一張偽冒成俄羅斯卡巴斯基實驗室(Kaspersky Lab)的簽章進行 SSL Certificates 封包加密的簽名,這表示一旦事蹟曝光,第一時間也不會指向中情局,而是俄羅斯的情報系統。

Hive 程式碼中偽裝卡巴斯基實驗室簽章的代碼。(網絡圖片)

 

其實故事還有後續,而且延續至今……

不久之後在華爾街日報在其報導中提及防毒軟體卡巴斯基可能被俄羅斯政府用來作為間諜工具後,美國聯邦政府以資安疑慮全面封殺卡巴斯基(就跟封殺中國資訊通訊產品相同的理由),各政府部門不得採購以及使用卡巴斯基相關產品。

卡巴斯基實驗室在被美國禁制後,向美國聯邦法院申訴,並要求推翻美國政府的禁令。

 

一夕之間,一件尷尬的洩密事件卻變成絞殺卡巴斯基的工具,因為Hive 的設計者在裡面用了一張偽冒的卡巴斯基實驗室簽章,這個簽章就成為美國政府的證據(美國政府當然不會承認「Hive是中情局開發」的指控了)。

正當美國全面圍剿卡巴斯基之際,這篇德國之聲的報導,卻持不同的看法,報導引述德國政府的資安官員的話- 沒有任何證據證明卡巴斯基與間諜行為的關係。當然,美國並未有理會,繼續攻擊及封殺卡巴斯基,直至今天。

編按:以國家安全及反制恐怖活動為名義,CIA其實也是世上其中一個最龐大的黑客組織,當然背後還有更厲害的"藏鏡人",美國國家安全局(NSA)嘛。(網絡圖片)

 

這個事件是個典型的例子。

我在臉書上一直告訴大家一個觀念-國際關係與大國利益的對抗是上層結構,在這個結構下才衍生出目前我們看到的外交、軍事以及經濟貿易的關係。

編註:荷理活不少片商在美化國家特務機構及正當化他們的竊聽、侵犯民權行為上也"應記一功",例如明珠台上星期六剛播出的這部"聲稱"紀念當時剛逝世的美國著名軍事小說家Tom Clancy的作品"Jack Ryan: Shadow Recruit"(港譯"驚天諜變:魅影特攻")。片中繼續利用老敵人(俄國)對美國進行小說才會出現的攻擊情節(發動大規模恐襲,並再利用地下投資令美國經濟崩潰),又描述主角及CIA如何智勇破壞陰謀。不過劇中起用當時得令的年輕男星扮演Tom Clancy筆下最著名的角色-傑克.雷恩,而且把以智取勝的雷恩塑造成007式特工,就不太為人所接受了。(網絡圖片)

 

我們常常在不自覺中受到這些深藏在背後角力的影響,不論是你的食、衣、住、行、娛樂,甚至你看到的〈復仇者聯盟系列〉,你聽到的新聞主播下意識的用語。

委內瑞拉的局勢、北韓核子問題、台灣與對岸的戰爭與和平……身在局中的人是無奈的,只有當你可以弄清楚上層結構的變化,並且能看到綿密交織中的缺口,你才能夠趨吉避凶,掌握自己的命運。

 

文章原刊載於邱老師博客,輕新聞獲授權轉載。

發佈於 博評
By 2019-05-03

手機分享本文: