維基解密：CIA出品不聯網也可竊取數據工具-HighRise

維基解密：CIA出品不聯網也可竊取數據工具-HighRise

E安全7月15日訊 維基解密美國時間7月13日發布第16批「Vault」CIA文檔，詳細介紹了CIA的一款攔截簡訊息，並將其重定向到遠程Web伺服器的一款Android惡意程序，名為「摩天大樓」（HighRise）。維基解密公開的HighRise用戶手冊顯示，其只在Android 4.0至4.3（Android Ice Cream Sandwich和Jelly Bean）上運作，這份手冊製作時間為2013年12月，時隔近4年，CIA應該已經更新升級了這款工具，以適應較新版本的Android作業系統。

HighRise及其特徵

一般來說，惡意軟體通過內部連接把從被入侵設備中盜取的信息發送給攻擊者控制的伺服器（監聽站），但就智慧型手機而言，惡意軟體可以通過簡訊等途徑將竊取的數據發送給攻擊者。至於通過簡訊收集竊取的數據，攻擊者必須處理一個主要問題，即分類並分析從多台目標設備接收的大批量信息。為了解決這個問題，CIA創建了一款簡單的Android應用「HighRise」，作為被感染設備和監聽伺服器之間的簡訊代理。

HighRise 來源於一個名為 TideCheck 的 APP （tidecheck-2.0.apk, MD5: 05ed39b0f1e578986b1169537f0a66fe），用於從被入侵設備中通過簡訊接收所有的被盜數據。CIA必須將TideCheck安裝到目標設備上，之後手動運行至少一次才能讓該工具獲得持久運行。這看起來就很不方便，因此這款工具並不是用來實施社會工程學攻擊。但首次運行該工具時，CIA必須輸入阿拉伯單詞「inshallah」（「上帝的意願」）。

特徵

HighRise用戶手冊顯示其主要特徵包括：

將所有接收的簡訊息發送到CIA控制的網路伺服器。

通過 HighRise 主機從被入侵的手機端發送簡訊。

在HighRise現場操作員與監聽站之間提供通信通道。

利用TLS/SSL網際網路安全通信。

從後兩項特徵看出，HighRise這款APP並非必須要安裝在目標手機上，而是可以將TideCheck安裝到CIA操作人員的手機上，可以為操作人員與監聽人員之間提供二級加密通信通道。

HighRise如何運作？

HighRise是一個簡訊代理，一旦初始化並配置得當，將在後台持續運行，將「接收」和「發出」的簡訊通過TLS/SSL安全網路通信通道將簡訊轉發到CIA的監聽站。在設備與監聽站之間實現更好的分離性。

一旦安裝成功，這款應用程式會提示輸入密碼，其默認密碼為「inshallah」，登錄之後，會出現以下三個選項：

初始化——運行 HighRise 工具。

顯示/編輯配置——顯示並編輯 HighRise 的配置文件，包括必須使用 HTTPS 的監聽站伺服器URL。

發送簡訊——允許操作者從手機端向 CIA 控制的遠程伺服器發送簡訊。

...

下面是E安全整理的維基解密自今年3月以來披露發布的CIA工具，點擊即可查看：

OutlawCountry（「法外之地」，入侵運行有Linux作業系統的計算機）；

Elsa（「艾爾莎」，利用WiFi追蹤電腦地理位置）；

Brutal Kangaroo（「野蠻袋鼠」，攻擊網閘設備和封閉網路）；

Emotional Simian（「情感猿猴」，針對網閘設備的病毒）

Cherry Blossom （「櫻花」，攻擊無線設備的框架）；

Pandemic（「流行病」，文件伺服器轉換為惡意軟體感染源）；

Athena（「雅典娜」，惡意間諜軟體，能威脅所有Windows版本）；

AfterMidnight （「午夜之後」，Winodws平台上的惡意軟體框架）；

Archimedes（「阿基米德」，中間人攻擊工具） ；

Scribbles（CIA追蹤涉嫌告密者的程序）；

Weeping Angel （「哭泣天使」，將智能電視的麥克風轉變為監控工具）；

Hive （「蜂巢」，多平台入侵植入和管理控制工具）；

Grasshopper（「蝗蟲」，針對Windows系統的一個高度可配置木馬遠控植入工具）；

Marble Framework （「大理石框架」，用來對黑客軟體的開發代碼進行混淆處理、防止被歸因調查取證）；

Dark Matter（「暗物質」，CIA入侵蘋果Mac和iOS設備的技術與工具）