维基解密承诺提供更多有关CIA Vault 7的文件,同时,维基解密指责CIA使用模糊技术来隐藏其网络操作。不过专家称维基解密对CIA的指控有些过分。
最新Vault 7版本命名为Marble,其中包括676个针对CIA的Marble Framework的源代码文件,维基解密称之为反取证代码,用于“阻止取证调查员和防病毒公司将病毒、木马程序和攻击归咎于CIA”。
Rhino Security实验室评估总监Hector Monsegur称,他对这些混淆技术并不感到惊讶。
“他们在现实世界中使用混淆技术,这与他们会创建假身份、学习新语言是相同的概念,”Monsegur称,“攻击越复杂且越具针对性,就会看到越高级别的混淆。并且,如果攻击者专注于特定目标,他们会使用混淆来绕过过滤器、反恶意软件或病毒签名等。”
维基解密曾指责CIA将自己正在执行的攻击看起来是其他机构所为,也被称为“嫁祸式攻击”,然而,专家表示维基解密的指控有些过分。
“源代码表明,Marble不仅有英文测试示例,还有中文、俄文、韩文、阿拉伯文和波斯文,”维基解密在博文中声称,“这可将攻击嫁祸于他人,例如假装恶意软件创作者的母语不是美式英语,而是中文,但随后企图隐藏对中文的使用,让取证调查员更加确定地得出错误结论,也还有其他可能性,例如隐藏虚假错误信息。”
咨询公司Rendition InfoSec LLC创始人Jake Williams称,他审查了这些代码,但他并不同意Marble包含嫁祸式攻击证据的说法。
“Marble Framework只是一个字符串模糊库,它是很特别,但并不意味着它可用于嫁祸式攻击,”Williams称,“中文和俄文示例只是表明这个工具经过Unicode支持。Marble Framework测试表明俄文字符串可从纯文本视图进行混淆,这与嫁祸式攻击做法相反。”
加州大学伯克利分校国际计算机科学研究所计算机安全研究人员Nicholas Weaver也认为嫁祸式攻击的指控毫无根据,并表示这是维基解密利用“尚无从知晓的信息来发布虚假文件以掩盖其虚假分析”。
Williams称这可能会带来麻烦,因为维基解密并没有计划纠正其信息。
“如果他们有这样的打算,他们会在发布信息之前征求专家的意见和帮助,”Williams表示,“我认为指控CIA涉嫌进行嫁祸式攻击可说服特朗普的支持者,其中很多人否认俄罗斯参与选举前的黑客行为。”
本文转自d1net(转载)
