CIA False Flag团队重新浏览Shamoon Data Wiper,其他恶意软件
Azure Stack的第三次技术预览到达
全纤维宽带渗透率达到5%
HMD的新诺基亚3310转回时钟 - 然后转动头部
网络钓鱼仍然是Top Faud Enabler,RSA报告
调查发现,英国犹豫不决沉浸式技术尽管存在态度,但调查发现
谷歌引用Android安全的进度,但修补问题徘徊
LinkedIn将帮助印度培训的人为半熟练的工作
小提琴推出XVS8旗舰高性能闪光阵列
联想将亚马逊Alexa融入Moto智能手机
4收费,包括俄罗斯政府代理商,用于大规模雅虎黑客
SK Telecom推动可互操作的Quantum Crypto系统
L.A.和NYC仍然在无线表现中落后于较小的城市
谷歌的家庭链接帮助家长管理儿童的电话使用
Apple计划谋杀该应用程序的行星
Nesta说,在提交数据的城市重点是一种新的基础设施形式
政府在威尔士的茎枢纽投资300万英镑
秋季预算2018:保证追求未来国家量子计算计划的资金
Chrome 69安全改进欢迎
三思而后行:关于IOT的4个难题
越来越依赖云将需要更严格的IT管理
学习表演,英国商业高估消费者信任水平
ICO加强对技术和创新的承诺
业务处于主动网络安全的拐点
在政府竞赛中资助的两项自主车辆项目
JSON的Crockford Envis-javascript世界
IBM早期调查结果关于灾难性的TSB核心银行业务系统迁移发布
欧盟机构的数据保护规则更强
GDS寻求关于从公共服务网络迁移的建议
Twitter对针对在线巨魔的罪行
特斯拉计划建造三个更多的千兆件,五个
日本超越行业4.0对社会5.0
多塞特公司C3IA解决方案表示,英国网络技能
签证揭示了“罕见”数据中心交换机,作为2018年6月中断的根本原因
北欧和波罗的海国家对AI的联合方法达成一致
如果我们希望技术平等,我们需要“演变谈话”,说
OpenReach扩展了GFast宽带推出
瞻博网络扩展其数据中心互连选项
1030年,无人机行业设定为英国经济捐款42亿英镑
咨询警告,英国劳动力市场可能受到IR35改革的私营部门推出的伤害
基于C并类似于SWIFT,重力为iOS,Android提供便携式代码
GDS将数字身份策略失去DCMS
webassembly已准备好浏览器使用
政府推出50万英镑的数字病理和成像竞争
人力资源项目是一家领先的公司搬迁到数字技术,商业领袖
OpenReach以削减CSP客户的批发宽带费用
CIO采访:Jon Marchant,Cio,Paypoint
Windows 10'服务堆栈'更新码头一些PC
Teradata Sues Sap在Hana窃取商业秘密
Okta收购Stormpath以提高其为开发人员的身份服务
您的位置:首页 >产品 > 电子产品 >

CIA False Flag团队重新浏览Shamoon Data Wiper,其他恶意软件

2021-08-10 10:43:56 [来源]:

Wikileaks星期二发布的美国中央情报局文件表明,该机构的团队之一专门从事公共恶意软件样本中重用代码和技术。

根据泄露的文件,Umbrage团队是CIA“网络智能中心下的远程开发分支机构的一部分。它维护了一系列从野生恶意软件借来的技术库,可以集成到自己的项目中。

这样做有两个好处:其中一个是它降低了在内部开发工具以实现相同目标所需的成本和时间。其次是它使得原子能机构的恶意软件工具类似于他人的恶意软件,可能会使恶意软件分析师混淆到原始攻击,并导致他人归咎于原子能机构的假旗作业。

例如,由Umbrage借来的这项技术之一是在SMAMOON中擦拭实施的文件,该计划是2012年在沙特阿拉伯国家石油公司的30,000台计算机中摧毁了数据的网络表带计划。此恶意软件背后的集团最近返回了新攻击。

赛赛赛的第一版滥用了一个名为Eldos的公司开发的商业,数字签名的司机,称为Rawdisk。一旦安装在系统上,即使操作系统锁定,此驱动程序也允许应用程序覆盖文件。

Umbrage团队分析了SMAMOON作者如何绕过Rawdisk驱动程序的许可证检查,并在自己的组件中实现了相同的磁盘擦除技术被称为反弹。

它可能是遇到野外反弹的防病毒程序或恶意软件分析师会将其视为赛中变体而不是完全单独的恶意软件程序。

中央情报局的存储库包括许多从已知恶意软件中获取的许多其他技术和代码片段,可用于数据收集,持久性,隐形,防病毒旁路,特权升级和系统测量。

例如,有一个持久性技术从远足rootkit借来的两种反沙箱技术,从木马卧式和核开采包借来,以及从黑暗的大鼠借来的网络摄像头捕获技术。其他记录的技术只有“已知恶意软件”,如未被实际命名的恶意软件所列出的源。

并非Umbrage的所有技术都已重新批准为内部项目,但有些则重新批准。虽然列出了这些内部项目的代码名称,但泄露文件中的一些信息有关他们实际执行的。

异常是一个名为sandshark的工具,它在另一个文档中提到了另一个文件,作为“听力帖子”软件。对于其他人来说,他们的一些功能可以从他们借来的技术中推断出来。

Umbrage团队也对2015年泄露的代码感兴趣,从叫做黑客团队的意大利监控软件公司泄露。该公司将监控软件销售为守工和情报机构的Windows,MacOS,Linux和移动操作系统。在某些情况下,它还提供了在目标设备上远程安装软件所需的漏洞。

泄露的众所周知的文件表明,中央情报局的审查措施首先重点关注实施Windows平台的黑客队“植入物”。调查结果足以让努力稍后扩展到全部数据转储和所有平台的代码。

没有指示是否在最终实际重新批准的任何代码,但在Umbrage Internal Wiki中的一些评论表明这绝对是一种可能性。

“如果有兴趣使用源代码中的一些实现,则应被视为提取所需部分的最佳做法,并彻底审查和测试提取的部分”,导致审查写道的人。

在恶意软件中种植假旗帜并不是一种新的发展,它是为什么建立对Cyber​​Atcks的准确归因几乎不可能的原因之一。当有人将春季或以高度信心的国家/地区归属于特定群体或国家时,经验丰富的恶意软件分析师总是持怀疑态度。

10月,卡巴斯基实验室的研究人员在Cyber​​espionage行动中发表了一篇关于错误标志事件的论文。众所周知的策略众所周知的群体包括:APT28 / PAWN Storm / Sofacy是去年负责黑客入侵美国民主国家委员会的俄罗斯讯讯组织,一些人认为与俄罗斯的军事情报局联系起来 - GRU;拉撒路集团,有些人认为是联系的朝鲜; Turla,另一个俄罗斯州春季春天的赛支集团和Duqu,被怀疑来自以色列。

具有讽刺意味的是,泄露的CIA文件,指定了哪些技术的漏洞组织的使用者现在可以帮助防病毒公司在原子能机构开发的恶意软件计划中获取。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。