Vault 7 je série dokumentů, které nezisková mediální společnost Wikileaks začala publikovat dne 7. března 2017. Tato série dokumentů obsahuje detailně popsané aktivity a možnosti CIA elektronicky sledovat lidi po celém světě a nabourat se do jejich elektronických zařízení.
Data z rozmezí let 2013–2016 obsahují zdrojové kódy softwaru využívaného CIA ke kompromitaci aut, chytrých televizí, internetových prohlížečů (Firefox, Google Chrome, Microsoft Edge) a operačních systémů většiny chytrých telefonů (iOS, Android) a také počítačů (Microsoft Windows, macOS a Linux).
Kompletní publikace zdrojových kódů malwarů a frameworků se nazývá „Year Zero“.
Společnost Wikileaks začala upozorňovat na únik už na počátku února 2017 na svém Twitteru.[1]
První balík dokumentů byl publikován 7. března 2017, obsahující 7,818 webových stránek a 943 příloh.[2] Zdroj zůstal v anonymitě, bylo pouze uvedeno, že soubory putovaly skrz mnoho amerických vládních hackerů a dodavatelů, z nichž jeden poskytl serveru Wikileaks část archivu. Podle Wikileaks chce zdroj „iniciovat veřejnou diskusi o bezpečnosti, vytváření, používání, šíření a demokratickém kontrolování kybernetických zbraní“ od doby kdy tyto nástroje vyvolávají otázky zda „hackerské schopnosti v CIA převyšují své mandátní pravomoci“.[3]
Wikileaks redigovala jména i jiné identifikační informace z dokumentů ještě před jejich uvedením. Uvedli také, že budou muset odložit zveřejnění zdrojového kódu kybernetických zbraní, který je údajně několik set milionů řádků dlouhý. Julian Assange, zakladatel serveru Wikileaks, tvrdí, že je tato publikace tvoří pouze část z větší série dokumentů.[4]
Dne 23. března 2017, Wikileaks zveřejnili druhou část Vault 7 „Dark Matter“. Tato část obsahuje dokumentaci o úsilí CIA prolomit zabezpečení iPhonu a Macu, produktů společnosti Apple.[5][6][7]
Třetí část publikací obsahuje 676 zdrojových kódu souborů pro CIA Marble Framework. Tento framework se používá k změně kódu ve snaze znesnadnit antivirovým firmám a vyšetřovatelům pochopit kód nebo zjistit jeho zdroj.[8]
Dne 7. dubna publikoval server Wikileaks uživatelské příručky pro framework Grasshopper.[9] Jedná se přesně o 27 dokumentů.[10]
Dne 14. dubna 2017 publikoval server Wikileaks 6 dokumentů o projektu HIVE vytvořený týmem EDB CIA.
Dne 21. dubna 2017 publikovala Wikileaks uživatelskou příručku pro nástroj CIA „Weeping Angel“[11] – implantát určený pro televizory Samsung F Series Smart. Implantát je navržen pro záznam zvuku z vestavěného mikrofonu a uložení dat.
Značky z dokumentace uživatelské příručky ukazuje, že implantát napsala MI5 a později ho sdílela s CIA. Obě agentury poté spolupracovaly na dalším vývoji malwaru.
Dne 28. dubna 2017 zveřejňuje Wikileaks dokumentaci a zdrojový kód pro projekt CIA „Scribbles“[12], což je systém předběžného zpracování dokumentů s vodoznakem pro vkládání štítků „Web beacon“ do dokumentů, které pravděpodobně budou kopírovány.
Scribbles je určen k předprocesování dokumentů Microsoft Office offline. Z důvodů provozní bezpečnosti vyžaduje uživatelská příručka, že „spustitelný soubor Scribbles, soubory parametrů, příjmové a protokolové soubory by neměly být instalovány na cílovém počítači ani ponechány na místě, kde by je mohl sbírat nepřítel.“
Dne 5. května 2017, publikoval server Wikileaks nástroj zvaný „Archimedes“[13], který CIA využívá k útoku na počítač uvnitř místní sítě (LAN), proto se obvykle využívá při útoku na kanceláře. Umožňuje přesměrování provozu z cílového počítače uvnitř LAN prostřednictvím počítače infikovaného tímto malware. Tuto techniku CIA využívá k přesměrování webového prohlížeče cíle na jiný server, zatímco se vše vypadá normální běžná relace.
Dokument znázorňuje typ útoku v rámci „chráněného prostředí“, protože je nástroj nasazen do existující lokální sítě zneužívající stávající stroje k tomu, aby cílené počítače byly pod kontrolou a umožnily další exploitaci a zneužití.
Dne 12. května 2017, publikoval server Wikileaks dvě platformy malware CIA pro Microsoft Windows. Tyto platformy jsou zvané „AfterMidnight“ a „Assassin“.
Dne 19. května 2017 publikuje server WikiLeaks dokumenty z projektu CIA „Athena“[14]. Software Athena, podobně jako související systém Hera, poskytuje vzdálené nakládání na cílových počítačích s operačním systémem Microsoft Windows (z Windows XP na Windows 10). Jakmile je malware nainstalován, poskytuje schopnost upravení a zatížení paměti pro konkrétní procesy a doručování a načítání souborů do nebo z určeného adresáře v cílovém systému. Umožňuje operátorovi konfigurovat nastavení během běhu, aby se přizpůsobil operaci.
Podle dokumentace byl malware vyvinutý CIA ve spolupráci se společností Siege Technologies, samozvanou kybernetickou bezpečnostní společností se sídlem v New Hampshire v USA. Siege Technologies uvádí na svých internetových stránkách, že společnost se zaměřuje na využívání ofenzivních kybernetických technologií a metodik pro vývoj přediktivních řešení kybernetické bezpečnosti pro pojišťovny, vlády a další cílené trhy.
Dne 1. června 2017 publikuje server WikiLeaks dokumenty z projektu „Pandemic“[15], trvalého implantátu pro počítače Microsoft Windows, který sdílí soubory (programy) se vzdálenými uživateli v místní síti. „Pandemie“ se zaměřuje na vzdálené uživatele tím, že v případě, že je program načten z infikovaného počítače, nahradí kód aplikace na cestě verzí trojského koně. Chcete-li přerušit jeho činnost, původní soubor na souborovém serveru zůstává nezměněn. Soubor je pouze modifikován během přechodu z pandemického souborového serveru před provedením v počítači vzdáleného uživatele. Implantát umožňuje výměnu až 20 programů s maximální velikostí 800 MB pro vybraný seznam vzdálených uživatelů (cílů).
Jediný počítač v lokální síti se sdílenými jednotkami, který je infikován implantátem „Pandemic“, se bude chovat jako „pacient nula“ při šíření nemoci. Bude infikovat vzdálené počítače, pokud uživatel provede programy uložené na serveru souborů pandemie. I když to není výslovně uvedeno v dokumentech, zdá se technicky možné, že vzdálené počítače, které poskytují sdílené soubory, se stanou novými pandemickými souborovými servery v místní síti, aby dosáhly nových cílů.
Dne, 15. června 2017, publikuje server WikiLeaks dokumenty z projektu CherryBlossom od CIA, který byl vyvinut a realizován za pomoci amerického neziskového Stanford Research Institute (SRI International).
Dne, 22. června 2017, publikuje server WikiLeaks dokumenty z projektu Brutal Kangaroo[16] od CIA. Brutal Kangaroo je sada nástrojů pro systém Microsoft Windows, která se zaměřuje na uzavřené sítě. Komponenty Brutal Kangaroo vytvářejí vlastní uzamčenou síť v cílové uzavřené síti a poskytují funkci pro provádění průzkumů, seznamů adresářů a libovolných spustitelných souborů.
Dne 28. června 2017, publikuje server WikiLeaks dokumenty CIA z projektu ELSA. ELSA je georeferenční malware pro zařízení podporující technologii WiFi, jako jsou notebooky s operačním systémem Microsoft Windows.
Dne 30. června 2017, publikuje server WikiLeaks dokumenty CIA z projektu OutlawCountry, který se zaměřuje na počítače s operačním systémem Linux.
Dne 6. července 2017, publikuje server Wikileaks dokumenty CIA z projektů BothanSpy a Gyrfalcon CIA. Implantáty popsané v obou projektech jsou navrženy tak, aby zachycovaly a odfiltrovaly pověření SSH, ale pracovaly na různých operačních systémech.
Dne 13. července 2017, publikuje server Wikileaks dokumenty z projektu Highrise. HighRise je aplikace určená pro mobilní zařízení se systémem Android 4.0 až 4.3.
Dne 19. července 2017, publikuje server WikiLeaks projekt ULC/Raytheon. Celým názvem UMBRAGE Component Library jsou dokumenty od dodavatele CIA Raytheon Blackbird Technologies. Tato společnost pro CIA analyzuje škodlivý software a poskytuje doporučení vývojovým týmům CIA pro další tvorbu vlastních malwarů.
Dne 27. července 2017, publikuje server Wikileaks soubor dokumentů Imperial. Jedná se o nástroje Achilles, Aeris a SeaPea. SeaPea je rootkit pro OS X, který je schopný skrývat soubory, adresáře nebo procesy a spouští se na verzích 10.6 a 10.7.
Dne 3. srpna 2017, publikuje server Wikileaks dokumenty projektu Dumbo. Dumbo umožňuje zničit jakékoliv videozáznamy, které by mohly ohrozit nasazení PAG (Physical Access Group), což je pobočka CCI (Center for Cyber Intelligence), která má za úkol získat a využít přístup k cílovým počítačům v terénu při operacích CIA. Dumbo dokáže identifikovat, řídit a manipulovat s detekčními systémy v cílovém počítači se systémem Microsoft Windows. Identifikuje všechna zařízené (WiFi, Bluetooth, Webové kamery, mikrofony). Tento software musí být nahrán do počítače agentem v terénu z USB disku. Nahrání softwaru na počítač vyžaduje oprávnění správce. Podporuje 32bitový Windows XP, Windows Vista a novější, 64bitový Windows XP a novější. Windows před Windows XP nejsou podporovány.
Dne 10. srpna 2017 publikoval server Wikileaks uživatelskou příručku pro projekt CoachPotato CIA. Nástroj je používán vzdáleně a umožňuje sběr dat z běžícího streamu videa. Tento stream shromažďuje buď jako video soubor (.avi) nebo vytváří statické snímky (.jpg).
Dokumenty popisují, že se Marble framework používá ke schování textových fragmentů malwaru. Další část programu je využívání cizích jazyků k zakrytí, že zdrojem malwaru je CIA.
Wikileaks tvrdí, že primárním využitím programu Marble je vkládání cizích jazyků do malwaru k zamaskování virusů, trojanů a hackovacích technik, aby forenzní vyšetřovatelé určili z atributů kódu špatný národ.[17] Zdrojové kódy vytvořené v Marble obsahují různé jazyky jako například čínštinu, ruštinu, arabštinu nebo korejštinu.[18]
Analytici říkají, že popis Marble od Wikileaks je nepřesný a hlavním účelem má být vyhnutí se antivirové ochraně.[19]
Platforma vyvinutá CIA, která umožňuje vytvořit payloady pro malware na operační systémy Microsoft Windows.
HIVE je back-endová infrastruktura malwaru s public-facing HTTPS rozhraním, které je využíváno k přenosu informací získaných z cílového zřízení operátorům CIA a také k obdržení příkazů od operátorů k spuštění různých příkazů na cílovém zařízení. HIVE se využívá u více druhů malwaru CIA. Veřejné rozhraní HTTPS využívá různé domény. Tyto domény nevypadají podezřele, a proto se používají k zakrytí přítomnosti malwaru.[21]
Americká společnost Symantec na svém blogu napsala zprávu o Longhorn group a backendové infrastruktuře malware. Longhorn group je hackerská skupina aktivní od roku 2011. Soustředí se hlavně na backdoor Trojany spojené se zero-day zranitelnostmi. Longhorn infiltrovala vlády a mezinárodně působící organizace. Dále se zaměřují na cíle ve finančních, telekomunikačních a energetických sektorech. Podařilo se jim infikovat minimálně 40 cílů v minimálně 16 zemích ze Středního Východu, Evropy, Asie a Afriky. Při jedné příležitosti se infikoval počítač v USA, ale byl odinstalován během pár hodin, což nasvědčuje tomu, že počítač byl infikován neúmyslně.[22]
Jeden z publikovaných dokumentů popisuje část malwaru Fluxwire, který obsahoval data změn, když se začleňovaly nové funkce. Tyto data se téměř shodují s daty vývoje malwaru Longhorn group. Longhorn pojmenovala tento trojský kůň Corentry (Trojan.Corentry). Dřívější verze Corentry obsahují odkaz a cestu k souboru z databáze programu Fluxwire.[22]
Platforma „AfterMidnight“ umožňuje operátorům dynamicky načíst a spustit malware na cílovém počítači. Hlavní řídící jednotka se skrývá jako samostatná služba Windows Service DLL a zajišťuje bezpečné spuštění „Gremlins“ prostřednictvím systému Listening Post (LP) založeném na protokolu https s názvem „Octopus“. Po instalaci na cílovém zařízení zavolá AfterMidnight zpět na nakonfigurovaný Listening Post v konfigurovaném rozvrhu a zkontroluje, jestli existuje plán s novými instrukcemi. Pokud existuje, stáhne a uloží všechny potřebné komponenty před načtením všech nových gremlinů do paměti. „Gremlins“ jsou malé payloady, které mají skrytě běžet na cílené zařízení. Speciální payload „AlphaGremlin“ má vlastní skriptovací jazyk, který umožňuje operátorům naplánovat vlastní útoky, které mají být provedeny na cílovém zařízení.
Platforma „Assassin“ je podobný druh malware. Je to jednoduchý automatizovaný implantát, který poskytuje jednoduchou sběrnou platformu ve vzdálených počítačích s operačním systémem Microsoft Windows. Malware má nakonfigurované místo, kde požádá o úkoly a odevzdá výsledky. Podsystémy „Assassin C2 “ a LP jsou souhrnně označovány jako „The Gibson“ a umožňují operátorům provádět specifické úlohy na infikovaném cíli.
CherryBlossom poskytuje prostředky pro sledování činnosti internetu a provádění softwarových aktivit na cílech, které jsou předmětem zájmu. Zejména CherryBlossom se zaměřuje na kompromitaci bezdrátových síťových zařízení, jako jsou Wifi-routery a přístupové body (AP). Taková zařízení Wi-Fi se běžně používají jako součást internetové infrastruktury v soukromých domech, veřejných prostorech (bary, hotely nebo na letištích), malých a středních společnostech i podnikových kancelářích. Proto jsou tato zařízení ideálním místem pro útoky typu „Man-In-The-Middle“, neboť mohou snadno sledovat, řídit a manipulovat s internetovým provozem připojených uživatelů. Změnou toku dat mezi uživatelem a internetovými službami může infikované zařízení vložit do streamu škodlivý obsah, který využívá zranitelnosti v aplikacích nebo v operačním systému v počítači cílového uživatele.
Bezdrátové zařízení samotné je kompromitováno implantováním přizpůsobeného firmwaru CherryBlossom. Některé zařízení umožňují upgradovat jejich firmware přes bezdrátové spojení, takže žádný fyzický přístup k zařízení není nezbytný pro úspěšné infikování zařízení. Jakmile se nový firmware na routeru nebo přístupový bodu spustí, stanou se takzvaným FlyTrap. Stav zařízení a bezpečnostní informace se přes CherryTree vloží do databáze. V reakci na tyto informace posílá CherryTree operátorem definované zadáním úkolů. Operátor může používat uživatelské rozhraní CherryWeb pro zobrazení stavu a bezpečnostních informací Flytrapu, plánování úkolů v rámci mise, zobrazení dat týkajících se mise a provádění úloh správy systému.
Mezi úkoly služby Flytrap patří (mimo jiné) vyhledávání e-mailových adres, chatových uživatelských jmen, MAC adres a čísel VoIP v procházejícím síťovém provozu za účelem spuštění dalších akcí, kopírování plné síťové komunikace cíle, přesměrování prohlížeče cíle např. na Windex pro využití prohlížeče) nebo použití proxy serveru na síťovém zařízení cíle. FlyTrap může také nastavit VPN tunely na server VPN vlastnící CherryBlossom, který poskytne operátorovi přístup k klientům na síti WLAN / LAN ve skupině Flytrap pro další využití. Když Flytrap detekuje cíl, pošle upozornění na CherryTree a zahájí jakékoliv akce proti cíli.
Dokumenty popisují, jak může CIA proniknout do uzavřené sítě v rámci organizace bez přímého přístupu. Nejprve infikuje počítač cílové organizace, který je připojený k síti a nainstaluje malware BrutalKangaroo. Když uživatel používá infikovaný počítač a vloží do něj USB kartu, USB karta je napadená malwarem. Pokud se toto zařízení používá pro kopírování dat mezi uzavřenou sítí a sítí LAN / WAN, uživatel dříve nebo později připojí disk USB do počítače v uzavřené síti. Procházením jednotky USB s aplikací Průzkumník Windows na takovém chráněném počítači se také dostane infikovaný malware pro exfiltraci. Pokud je více počítačů v uzavřené síti pod kontrolou CIA, vytvářejí skrytou síť pro koordinaci úkolů a výměnu dat.[24]
Projekt Brutal Kangaroo se skládá z následujících komponent:
Jakmile je malware Elsa na cílovém počítači nainstalován, skenuje viditelné přístupové body WiFi a zaznamenává v pravidelných intervalech identifikátor ESS, MAC adresu a sílu signálu. Chcete-li provést sběr dat, nemusí být cílový počítač online nebo připojen k přístupovému bodu. Musí být spuštěna pouze s povoleným zařízením WiFi. Je-li připojen k internetu, malware se automaticky pokusí použít veřejnou geografickou databázi od společnosti Google nebo společnosti Microsoft, aby vyřešil polohu zařízení a uložil údaje o zeměpisné délce a šířce spolu s časovou značkou. Shromážděné informace o geografické poloze jsou uloženy v zašifrované podobě na zařízení pro pozdější exfiltraci.
Služba OutlawCountry umožňuje přesměrovat veškerou odchozí síťovou komunikaci na cílovém počítači na stroje řízené CIA pro ex- a infiltrační účely. Malware se skládá z modulu jádra, který vytváří skrytou tabulku netfilteru v cílovém systému Linux. Se znalostí názvu tabulky může provozovatel vytvořit pravidla, která mají přednost před stávajícími pravidly netfilteru/iptables a jsou skryta od uživatele nebo dokonce od správce systému.
BothanSpy je implantát zaměřený na klientský program SSH Xshell na platformě Microsoft Windows a krade pověření uživatele pro všechny aktivní relace SSH. Tyto pověření jsou buď uživatelské jméno a heslo v případě SSH relací ověřených heslem nebo uživatelské jméno, název souboru soukromého SSH klíče a klíčového hesla, pokud se používá ověřování pomocí veřejného klíče.
Gyrfalcon je implantát zaměřený na klienta OpenSSH na platformách Linux (CentOS, Debian, Ubuntu…). Implantát může nejen ukrást uživatelská pověření aktivních relací SSH, ale je také schopen shromáždit úplnou nebo částečnou návštěvnost relací OpenSSH. Všechny shromážděné informace jsou uloženy v zašifrovaném souboru pro pozdější exfiltraci.
Poté, co Wikileaks zveřejnila Vault 7, Apple prohlásil, že „mnoho uvedených problémů už bylo opraveno patchem v posledním vydání iOS“. Reakcí jednoho z největších osobností internetu Kima Dotcoma, že „Prohlášení Applu není důvěryhodné.“[25][26]
Dne 23. března 2017 byla publikována druhá část Vault 7 „Dark Matter“ detailně popisující hackující techniky a nástroje na produkty Apple. Z dokumentů vyplývá, že iPhone byl cílem CIA už od roku 2008, tedy přibližně rok po zveřejnění produktu. Archiv „Dark Matter“ obsahuje dokumenty z let 2009 – 2013.[27]
Wikileaks na Twitteru dne 19. března 2017 zveřejnili, že CIA tajně exploitovala zranitelnosti ve většině modelů Cisco routerů.[28] Společnost Cisco rychle analyzovala útok a snažila se zjistit, jak hackovací triky CIA fungují, ve snaze pomoci svým zákazníkům zapatchovat své systémy kvůli prevenci proti hackerům, snažících se využít stejné metody.[29]
Výzkumníci Cisco 20. března potvrdili, že zveřejněné dokumenty ukazují, že malware, který vytvořila CIA, může exploitovat 318 modelů switchů a převzít kontrolu nad sítí.[30]
Ze zveřejněných dokumentů se zjistilo, že CIA kompromitovala Apple i Android a jemu podobné OS. Přidáním malware do operačního systému Android mohou získat přístup k zašifrované komunikaci na zařízení.[31]
Zatímco end-to-end šifrování komunikačních nástrojů (Telegram, WhatsApp, Signal) nebylo prolomeno, zjistilo se, že šifrování můžeme obejít zachycením vstupu ještě před jejím aplikováním. K zachycení vstupu se používají různé metody, například keyloggery.[31]
Jeden dokument ukazuje, že se CIA snažila najít cestu jak hacknout řídící systémy vozidel. Wikileaks reaguje: „Účel není znám, ale umožnilo by to CIA provádět téměř neodhalitelné atentáty.“[32]
Byla zveřejněna chyba „Windows FAX DLL injection“, která umožní exploitovat operační systémy Windows XP, Windows Vista a Windows 7. Počítač však musí být kompromitován už jinou metodou, aby se tato chyba dala uplatnit.[33]