米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

最近、国家コンピュータウイルス緊急対応センターは、ハニカム「(Hive)Malicious Code Attack Control Weapon Platform(以下「Hive プラットフォーム」)の解析を実施しました。Hive プラットフォームは米国によって開発されました。CIA(CIA) デジタル イノベーション センター (DDI) およびアメリカの有名な軍産企業ノースロップ グラマン (NOC) の子会社である XETRON 傘下の情報オペレーション センター エンジニアリング開発グループ (EDG、以下「CIA エンジニアリング開発グループ」という)企業、共同研究開発、米国中央情報局 (CIA) によって独占的に使用されます。 Honeycomb プラットフォームは「軽量」ネットワーク兵器です。その戦術的な目的は、ターゲット ネットワークに秘密の足場を確立し、ターゲットを絞った方法で悪意のあるコード プログラムを密かに配信し、プラットフォームを使用してさまざまな悪意のあるコード プログラムをバックグラウンドで制御することです。その後の「重」兵器の継続的な供給に備えるため、サイバー攻撃の条件が生み出されます。米国中央情報局 (CIA) は、この兵器プラットフォームを使用して、攻撃対象の特性に基づいて複数のオペレーティング システムに適合する悪意のあるコード プログラムをカスタマイズし、境界ルータや被害部隊の情報システムの内部ホストに対して攻撃や侵入を実行します。さまざまなトロイの木馬やバックドアを埋め込み、遠隔操作を実現し、世界中の情報システムに対して無差別サイバー攻撃を実行します。

1. テクニカル分析

(1) 攻撃対象

マルチプラットフォーム標的に対する米国中央情報局 (CIA) の攻撃要件を満たすために、研究開発部門は、さまざまな CPU アーキテクチャおよびオペレーティング システムに同様の機能を備えたセルラー プラットフォームの適応バージョンを開発しました。現在の情報によると、Honeycomb プラットフォームは、ARMv7、x86、PowerPC、MIPS などの主流の CPU アーキテクチャをサポートでき、Windows、Unix、Linux、Solaris などの一般的なオペレーティング システムだけでなく、RouterOS (ネットワーク機器固有のソフトウェア) もカバーします。 MikroTik によって開発されたオペレーティング システム) ) およびその他の専用オペレーティング システム。

(2) システム構成

ハニカムプラットフォームはC/Sアーキテクチャを採用しており、主にメイン制御端末(hclient)、リモート制御プラットフォーム(カットスロート、翻訳:「喉を切る」)、ジェネレーター(ハイブパッチャー)、制御端末プログラム(ハイブド)など。関連するサイバースパイ活動をカバーするために、CIA のエンジニアリング開発チームは、「ハニカム」と呼ばれる管理システムも特別に開発しました。このシステムは、多層スプリングボード サーバーと連携して、ハニカム プラットフォームに感染した多数の被害ホストの遠隔秘密制御を実現します。 。 データ収集。

(3) 攻撃シナリオの再発

国家コンピュータ ウイルス緊急対応センターは、パブリック チャネルを通じて入手した関連情報と組み合わせて、Honeycomb プラットフォーム サンプルの技術的詳細の詳細な分析を実施し、Honeycomb プラットフォーム上での典型的な攻撃シナリオの再現を基本的に完了しました。

1. ジェネレーター (ハイブパッチャー) を使用して、カスタマイズされた制御側の悪意のあるコード プログラムを生成します。

米国中央情報局 (CIA) の攻撃者は、最初にジェネレーター (ハイブパッチャー) を使用して、ミッション要件とターゲット プラットフォームの特性に基づいて埋め込まれる、カスタマイズされた制御エンドの悪意のあるコード プログラム (つまりハイブ) を生成しました。制御された終了プログラムを生成する前に、実際のタスク要件に従ってパラメータを構成できます (表 1 を参照)。

米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

CIA 攻撃者が上記のパラメーター設定を完了すると、ジェネレーター (ハイブパッチャー) は新しい制御エンド インプラントを生成できます (図 1 を参照)。

米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

攻撃対象の種類に関して、米国中央情報局 (CIA) が MikroTik シリーズのネットワーク機器に特別な注意を払っていることは注目に値します。 MikroTik のネットワーク ルータおよびその他の機器は世界中で非常に人気があり、特に自社開発した RouterOS オペレーティング システムは多くのサードパーティ ルータ メーカーで使用されており、米国中央情報局 (CIA) はこのオペレーティング システムを攻撃しました。能力によって推定するのは困難です。

2. サーバー側の悪意のあるコード プログラムをターゲット システムに挿入する

米国中央情報局(CIA)は、「Chimay-Red」と呼ばれるMikroTikルーターの脆弱性悪用ツールを特別に開発し、詳細な使用手順をまとめた。このエクスプロイト ツールは、MikroTikRouterOS 6.38.4 以下のオペレーティング システムに存在するスタック競合リモート コード実行の脆弱性を悪用して、ターゲット システムのリモート制御を実現します。脆弱性悪用ツールの使用手順を表 2 に示します。

米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

米国政府内部関係者の公表によると、米国中央情報局(CIA)と米国家安全保障局(NSA)はどちらも米国国防総省に所属している。サイバー戦争米国家安全保障局の特別侵入作戦局 (TAO) は、「FoxAcid」などの脆弱性攻撃兵器プラットフォームと組織的なネットワーク攻撃ツールを備えており、米国中央情報局 (CIA) を効果的に支援できます。 ). スパイウェアの埋め込み操作。

3. サーバー側の悪意のあるコード プログラムを起動し、コマンド制御を実行します。

サーバー側の悪意のあるコードプログラムがターゲットシステムに埋め込まれ、正常に実行された後、それはサイレント潜在状態になり、制御された情報システムのネットワーク通信トラフィックをリアルタイムで監視し、トリガー特性を持つデータパケットを待ちます。 "起きた"。 CIA 攻撃者は、クライアントを使用してサーバーに「コード ワード」を送信し、潜在的な悪意のあるコード プログラムを「覚醒」させ、関連する命令を実行する可能性があります。米国中央情報局 (CIA) の攻撃者は、「カットスロート」と呼ばれるコンソール プログラムを使用してクライアントを制御しました。その主なコマンド パラメータを表 3 に示します。

米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

マスター端末と被制御端末が接続を確立すると、対応する制御コマンドを実行できます (図 2 を参照)。

米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

侵入検知を回避するために、マスター制御端末は「コードワード」を送信して制御対象端末の悪意のあるコードプログラムを目覚めさせ、次にHTTP over TLSを模倣して暗号化通信チャネルを確立し、ネットワーク監視を混乱させ、技術的な監視方法を回避します。 (図 3 に示すように)。

米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

この時点で、マスター コントロール エンドは、被制御側の悪意のあるコード プログラムに対する完全な制御を達成しており、いつでも他の悪意のあるペイロードを隠し状態で配信したり、その後の侵入や秘密の盗難操作を実行したりすることができます。

(4) 保護措置

サイバースパイ活動の隠蔽をさらに強化するために、米国中央情報局 (CIA) は、ハニカム プラットフォームに関連するネットワーク インフラストラクチャを世界中に注意深く展開しました。監視データの分析から、米国中央情報局 (CIA) は、メイン制御側と制御側の間に多層スプリングボード サーバーと VPN チャネルをセットアップし、これらのサーバーはカナダ、フランス、ドイツ、マレーシアに広く分散されています。たとえ被害者が Honeycomb プラットフォームによる攻撃を受けたことに気づいたとしても、技術的な分析を行ってソースを追跡することは非常に困難です。

2. 操作方法

ウィキリークスによって公開された米国中央情報局 (CIA) の内部情報と国家コンピュータ ウイルス緊急対応センターの技術分析結果に基づいて、ハニカム プラットフォームの動作を次のように明確に理解できます。

(1) 開発プロセスと開発者

Honeycomb プラットフォームは、米国中央情報局 (CIA) のエンジニアリング開発グループ (EDG) のリーダーシップの下で開発および完成しました。プロジェクト サイクルは、少なくとも 2010 年 10 月から 2015 年 10 月まで続きました。ソフトウェア バージョンは少なくとも 2.9.1 でした。 MikroTik システム デバイスおよび関連オペレーティング システムに対するリモート攻撃をサポートします。参加する開発者には、Mike Russell、Jack McMahon、Jeremy Haas、Brian Timmons が含まれますが、これらに限定されません (図 4 を参照)。

米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

さらに、ハニカム プラットフォーム プロジェクトには、米国の有名な軍事産業企業であるノースロップ グラマンの子会社である XETRON によって作成されたプロジェクト コードを含む、パートナー機関の研究開発成果も組み込まれています (図 5 を参照)。

米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

XETRONは1972年に設立され、1986年にウェスチングハウス・エレクトリック・グループに買収され、1996年にウェスチングハウス・エレクトリック社とともに米国ノースロップ・グラマン社に買収され、現在は米国オハイオ州シンシナティ郊外に本社を置いています。情報によると、2013 年の従業員数は 68,000 人でした。 XETRON は長年にわたり米国中央情報局 (CIA) の請負業者であり、その製品範囲には軍事センサー、通信システム、およびサイバーセキュリティソフトウェアなどWikiLeaksが公開した情報によると、XETRONはHoneycomb Platformプロジェクトに参加したほか、Ciscoルータをハッキングするためのツール「Cinnamon」を米中央情報局(CIA)に提供していた。 Northrop Grumman の説明によると、XETRON は政府顧客の活動に対する技術サポートの提供に注力しており、「コンピュータ ネットワーク運用」に重点を置いており、その有利なテクノロジには暗号化、侵入検知、リバース エンジニアリング、侵入攻撃が含まれます。 XETRON は長年にわたり、シンシナティ大学とデイトン大学からサイバーセキュリティの人材を採用してきました。

(2) ハニカムプラットフォームのネットワークインフラ

研究者らは、「ハニカム」のスクリプトから、かつて米国中央情報局 (CIA) がハニカム プラットフォームの制御側で悪意のあるコード プログラムを制御するために使用していた一連のサーバー IP アドレスを発見しました (表 4 を参照)。サーバーの場所は、ヨーロッパ、アメリカ、アジアをカバーしています (図 6 を参照)。

米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

米国中央情報局(CIA)「Hive」悪意のあるコード攻撃制御兵器プラットフォーム分析レポート

 

3. まとめ

上記の分析は、米国中央情報局 (CIA) が他国に対してサイバー攻撃を開始していることを示していますハッカー攻撃兵器システムは体系的かつ大規模で、痕跡がなく、人工知能を備えています。中でもハニカムプラットフォームは、CIAの攻撃兵器の「前衛」「コマンドー」として、標的の防衛線を突破するという重要な役割を担っており、その幅広い適応性と強力な貫通能力は、世界中のインターネットユーザーに大きな警告を発している。 。

(1) 米国中央情報局 (CIA) は強力かつ完全なサイバー攻撃兵器を保有している

Hive プラットフォームは CIA の役割を果たします主な戦闘ネットワーク兵器この機器の 1 つであるその強力なシステム機能、高度な設計コンセプト、および高度な運用上の考え方は、サイバー攻撃の分野における CIA の卓越した能力を完全に反映しています。そのネットワーク兵器は、リモート スキャン、脆弱性悪用、秘密の埋め込み、スニッフィングと窃盗、ファイル抽出、イントラネット侵入、システム破壊などのネットワーク攻撃活動の連鎖全体をカバーします。統合されたコマンド アンド コントロール機能を備え、基本的に人工知能を実現しています。 。米国中央情報局 (CIA) は、Honeycomb プラットフォームを利用して、世界中のインターネットをカバーするスパイ諜報システムを構築し、世界中の高価値の標的や有名人に対して無差別なネットワーク監視を実施しています。

(2) 米国中央情報局 (CIA) は、世界中の高価値標的に対して無差別攻撃制御と通信窃盗を実施

CIA のハッキング攻撃とサイバースパイ活動の標的には、ロシア、イラン、中国、日本、韓国、その他世界中の政府、政党、非政府組織、国際組織、重要な軍事目標、および政治的組織が含まれています。専門家、教育、科学研究、通信、医療機関は、被害国から大量の機密情報を盗み、国の重要な情報インフラに対する大幅な制御を獲得しました。そして、米国の覇権維持に貢献するために、世界中の国民の大量の個人プライバシーを掌握した。

(3) 世界中のグローバルインターネットと重要な情報インフラは、米国諜報機関の「情報ステーション」となっている

最近明らかになった米国家安全保障局(NSA)の「テレスクリーン作戦」、「APT-C-40」、「NOPEN」、「クアンタム」のサイバー攻撃兵器について、中国のサイバーセキュリティ局と米国中央情報局(CIA)が最近明らかにしたものから)今回暴露された「Hive Hive」は、武器プラットフォーム、既存の国際インターネット基幹ネットワーク設備や世界中の重要情報、インフラストラクチャー(サーバー、交換機、伝送設備、インターネット端末)の技術的詳細を、限りなく分析米国のインターネット企業が提供するハードウェアやオペレーティング システム、アプリケーション ソフトウェアが含まれており、ゼロデイ プログラムやさまざまなバックドア プログラム (バックドア) が含まれている可能性が非常に高く、米国諜報機関による攻撃や盗難の対象となる可能性が非常に高いです。世界中のインターネットと保存されているすべてのデータは「真実」が米国諜報機関の前に表示され、世界中の標的に対して攻撃や妨害行為を実行するための「ハンドル」および「材料」になります。

(4) 米国情報機関と統治部門のサイバー攻撃兵器は人工知能ベースになっている

ハニカムプラットフォームは、高度なモジュール性、標準化、優れた拡張性を備えた典型的な米国の軍事製品であり、米国がサイバー兵器に関して「産学研究の統合」を達成していることを示しています。これらの兵器は、ターゲット ネットワークのハードウェアとソフトウェアの構成、バックドアや脆弱性の存在に基づいてネットワーク攻撃を自動的に開始することができ、また、人工知能技術に依存して、自動的に特権を高め、自動的に秘密を盗み、自動的に痕跡を隠し、自動的に送信することもできます。データをバックアップして、攻撃ターゲットに対する完全自動攻撃を実現します。

国家コンピュータウイルス緊急対応センターはインターネットユーザーに対し、米国諜報機関によるサイバー攻撃が差し迫った現実的な脅威であり、米国の「遺伝子」を組み込んだコンピュータハードウェアやソフトウェア機器への攻撃が絶えず続いていることを思い出させている。アメリカのハッカーによる攻撃を避けるための適切な方法は、自律的で制御可能な国産の機器を使用することです。

元記事はSnowFlakeによるもの。転載の際は、https://cncso.com/jp/兵器プラットフォームへのハイブマルウェア攻撃-h。

のように (2)
前の 2022年3月5日午前3時10分
2022年4月28日午後5時23分

関連する提案