伴随美国CIA网络武器泄密者约书亚·舒尔特(Joshua Schulte)审判听证会的细节被公开,美国长期对我国进行APT攻击再次成为热点,也透露出一个“狗血”剧情:世界上最危险黑客工具的泄漏,可能源于一场失控的内部纷争。

3月4日,奇安信威胁情报中心更新了CIA网络武器的IOC信息,这是其红雨滴团队于2019年9月发布《美国中央情报局网络武器库分析与披露》,指出CIA攻击活动涉及国内航空行业后,对此事件的再次跟踪曝光。(了解IOC更新详情请戳:IOC列表输出

舒尔特是窃密者还是替罪羊

约书亚·舒尔特(Joshua Schulte)被指控从中央情报局(CIA)核心网络中窃取了绝密黑客工具,然后传输给维基解密对外公布,泄露了CIA美国间谍机构可以借助这些工具入侵全球目标人物的手机和计算机。

舒尔特的律师萨布丽娜·史洛夫(Sabrina Shroff)却对这个看似滴水不漏的案子多次提出疑问。她认为检方证据不足,舒尔特是替罪羊、受害者,政府不管他是否清白,就默认他是嫌疑人,然后利用非凡的分析能力给他定罪。

史洛夫律师在辩护时,强调舒尔特确实是个混蛋,并基于此为他做了无罪辩护:“我之前说过舒尔特先生是一个很难相处的人。他是一个难以相处的雇员,这一点毫无疑问。我之前也说过,这就是政府能展示的证据。四个星期以来,这就是他们向您展示的内容。”

所有的雇员,包括舒尔特的老板,以及老板的老板,都证实舒尔特是部门最令人不快的人。

“舒尔特不是爱国者。不仅如此。他复仇心重,充满了愤怒,犯下了危害我们国家安全的罪行,”检察官马修·拉罗什(Matthew Laroche)在辩论中对纽约联邦地方法院表示。

检方指出,舒尔特曾被取消了数个系统的访问权限,为了泄愤,同时为了展示自己的技术能力,舒尔特又渗透回系统并重新开设了帐户。

舒尔特使用过的用户名“KingJosh3000”成为了非常关键的证据。检方称,他仔细地删除了所有的日志,这些本来可以显示他是如何从CIA服务器中删除了千兆字节数据。不过,“KingJosh3000”的相关数据没有被删除,这正是他访问系统后门时所使用的ID。

舒尔特记过的笔记,是另一个关键证据联邦调查局先是在他的公寓里,搜出了一大堆笔记,里面写着他对同事的不满和报复计划,其中一些笔记可以追溯到几年前。随后,联邦调查局突袭他的牢房时,也发现了一个笔记本。上面有舒尔特手写的计划,包括向维基解密要回他的代码,愤怒地怒斥他的家人没有发表他写的文章,还有他想给美国政府造成严重危机,除非他的案子被撤销。

他在笔记本上还写下了在不被追查到的情况下从监狱外获取信息的详细计划:“创建新的ProtonMail:presemedinfilt@ProtonMail.com;将WordPress迁移到ProtonMail;清理应用程序;重置工厂电话;设置WhatsApp应用程序、信号、电报,所有这些都用不同的号码;研究Gmail;删除已删除的电子邮件。

检方在解释舒尔特的动机时说,“被告是一个愤怒和报复的人,他这样做是因为他想惩罚中情局,无论付出什么代价,他总是要赢。在本案中,证据表明被告认为规则不适用于他。他认为中情局的准入规则不适用于他。他认为分类规则不适用于他。他认为监狱规则不适用于他。他甚至认为法院的命令不适用于他。”

但舒尔特的律师认为,虽然舒尔特的行为应该被谴责,但仍远远不能证明他确实盗取并泄露了CIA的机密信息。因为尽管美国政府对他在中情局和家中接触的每一个设备都进行了法医学研究,但并没有找到一份铁证,来证明舒尔特与窃听和黑客工具泄露有关。

她辩护说:“政府公布这些笔记,就是让你相信这是有计划的对美信息战。”她认为,中央情报局和联邦调查局已经预判了舒尔特有罪,进而来找证据证明这点,而没有仔细研究这些证据,来弄清楚真正的罪魁祸首是谁。

可疑的截屏以及被强制休假的指证者

庭审中,舒尔特的原同事迈克尔指证了他。CIA表示,舒尔特窃取文件时,将保存工具的电脑备份到便携存储设备,然后将系统还原到备份之前的状态,删除了所有日志。就在这段时间,也就是2016年4月20日下午5.30左右,他曾通过IRC与迈克尔聊天。

舒尔特问迈克尔是否要去健身房,约他在那里会合,但是迈克尔去健身房后并没有等到他出现,舒尔特解释说,一位同事跟他聊事情,花了30分钟。

检方认为,在窃取中央情报局最有价值的黑客工具时,舒尔特可能试图让迈克尔远离自己的屏幕。

事实上,迈克尔似乎也很可疑。因为联邦调查局在调查的电子文件中发现,迈克尔电脑上有一个截屏,显示黑客工具被盗之时,他正监视存放工具的服务器。

迈克尔从没提到电脑截图的事情。当被问及此事时,他承认自己做了截屏,但是拒绝进一步讨论。在他拒绝解释自己为何有服务器存储工具被全部窃取时的截屏一天后,中情局就强制迈克尔休假了,并表示“迈克尔的不合作态度,令人担心其与例行重新调查程序、以及办公室盗窃案刑事调查合作的诚实性、可信度以及意愿,对其所参与的行动以及部署的新工具构成重大、难以防守的风险。”然而在庭审中,迈克尔从来没有提到自己曾被强制休假。

设置了弱密码还共享上内网的CIA

不管是舒尔特,还是迈克尔或是其他什么人,CIA的安全措施糟糕得令人震惊。

舒尔特的审判听证会细节显示存储所有被泄露黑客工具的Confluence虚拟机的密码,居然是“123ABCdef”;DevLAN主服务器的根登录名,是“mysweetsummer”。整个团队共享这些弱密码,并发布在内网上。他们这么做的原因是,内网仅限于行动支持部门(OSB)成员访问:这可是开发CIA黑客工具的精英编程部门。

在审判期间展示的IRC聊天记录,也透露出团队的安全实践非常糟糕,他们甚至开玩笑称,如果CIA内部安全人员知道他们的做法会疯掉。

CIA内部报告承认,中情局系统的安全性相当松懈。被传唤的中情局证人谢洛夫称:“他们每个人都告诉你,DevLAN是完全开放的。没有控件,用户共享密码,密码安全性很弱,是公开存储的。没有审核记录,没有登录活动检查,任何人都可以将DevLAN工作站计算机连接到网络,只需将以太网电缆从一台计算机连接到另一台计算机即可。”

舒尔特的律师史洛夫指出:“中情局自己承认,大部分敏感性网络武器都没有划分,用户可以共享系统管理员级别的密码,没有有效的可移动媒体控制,历史数据可以无限期地提供给用户。被盗数据存放在一个缺乏用户活动监控的任务系统上,缺乏强大的服务器审计能力,直到一年后中情局才意识到损失的发生。如果这些数据是为了国家对手的利益而被盗的,而且没有公布,我们仍然不会知道损失。”

小编手记

现在,陪审员必须裁决约书亚·舒尔特究竟是出卖了CIA从而要在狱中度过余生,还是只是因为难以相处遭到有意或无意的构陷。

但不管舒尔特受到什么样的判决,CIA利用黑客工具攻击我国的证据,在去年9月奇安信发布第一个技术分析报告时就已经逐步浮出水面,相信今后会有更多的细节披露。CIA泄密事件背后暴露出的这些“精彩”剧情,也提醒我们安全防护永远不能有丝毫松懈,即便是看似坚不可摧的堡垒。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。