新闻快讯
< >

Vault7:印度全国人口生物数据或已被CIA掌握

E安全8月26日讯 维基解密8月25日泄露第21批CIA Vault文件:美国中央情报局(CIA)曾秘密创建了一个虚假的软件更新系统,用以暗中监视全球情报合作伙伴,包括FBI、DHS和CIA,秘密收集合作机构的系统数据,而这一秘密项目最早可以追溯到2009年。

维基解密泄露第21批CIA Vault文件:CIA利用“快车道”监控情报合作伙伴-E安全

ExpressLane项目

CIA为全球的情报联络合作伙伴提供了一套生物识别采集系统,包含预定义硬件、操作系统和软件,以帮助合作伙伴自愿共享收集的生物识别数据。只有经合作伙伴同意,CIA才能够访问特定的生物识别数据。

由于合作机构不愿共享收集的生物识别数据,CIA 技术服务办公室(OTS)于是成立“ExpressLane”秘密项目开发了一款工具,CIA能够在合作伙伴不知情的情况下暗中获取相关信息。

维基解密泄露的文件详细阐述了CIA特工通过常规升级生物识别系统安装这款间谍软件。

泄露的CIA文件显示,负责维护生物识别采集系统的OTS工作人员到合作伙伴场所秘密安装ExpressLane木马,同时在屏幕上显示升级安装进程,伪装是在升级生物识别系统。

CIA文件写到,ExpressLane表面上看起来只是系统的另一部分,其文件名为MOBSLangSvc.exe,存储在\Windows\System32中。
进入系统时,这款间谍软件会从合作伙伴的系统中秘密收集感兴趣的数据文件,并加密存储在隐藏分区。

ExpressLane 包括两大组件:

创建分区——CIA特工可在目标系统上创建隐藏分区,将收集的信息(压缩并加密)存储在隐藏分区。

1.jpg

Exit Ramp——出口匝道——再次到访时,CIA特工使用U盘窃取存储在隐藏分区中的数据。

2.jpg

ExpressLane 3.1.1(最新版)安装6个月后会默认自行删除,从而擦除痕迹,但OTS工作人员可修改日期。

Untitled-1.jpg

CIA提供的这个生物识别软件系统以Cross Match公司的一款产品为基础,这家公司专门为执法机构和情报界提供生物识别软件。Cross Match的产品用于在巴基斯坦暗杀行动期间识别本拉登。

Cross Match经UIDAI印度唯一身份识别管理局)认证

Cross Match是UIDAI认证的首批Aadhaar生物识别设备供应商之一。印度政府向该公司发放了批准证书。Cross Match 2011年10月7日获得Guardian指纹采集设备和I SCAN双虹膜采集设备的批准证书。这两大系统均利用了Cross Match的自动采集专利技术,无需操作人员过多介入,就能快速采集高品质图像。

只有当所有检测合乎UIDAI的质量要求后,认证机构才会发放批准证书。印度的这类认证机构包括印度信息技术部标准化检测与质量认证中心(STQC)和UIDAI。STQC检测的标准包括:物理规格、图像质量、环境(耐久度/气候适应)、安全性、电磁干扰/电磁兼容、功能、性能、互操作性、人体工程学和易用性等。

1.jpg


绝大多数经UIDAI认证的注册机构均在使用Cross Match设备。2010年9月,Cross Match也是获得临时证书,成为参与Aadhaar认证项目的第一家企业。UIDAI已从网站删除了Cross Match Guardian和I SCAN设备的视频。

Francisco Partners

2012年,Francisco Partners收购了Cross Match Technologies公司。Francisco的全球客户超过5000,在80多个国家部署了超过25台产品。 Cross Match的客户包括美国国防部(DOD)、国土安全部(DHS)、美国国务院、美国各个州和地方政府机构、多个外国政府单位和执法机构。Cross Match为交通运输、关键基础设施、金融服务、教育和保健行业的客户提供生物识别解决方案。

3.jpg

Francisco Partners曾收购了知名的以色列网络武器公司NSO Group。NSO出售的间谍软件Pegasus被指攻击阿联酋激进分子和墨西哥记者的iPhone。

多伦多大学公民实验室和移动安全公司Lookout的研究人员曾质疑NSO有违道德。 Francisco Partners以1.2亿美元2014年收购了NSO的股权。公民实验室曝光了NSO出品的Pegasus恶意软件。福布斯也曾报道,Francisco Partners以1.3亿美元收购了另一家以色列间谍公司Circles。Circles曾出售有争议的设备入侵电信网络。

深度包检测监控产品

Francisco Partners还出售深度包检测(DPI)监控产品,参与土耳其的间谍行动。深度包检测一开始就能监控目标,其主要目的是在网络中“放飞”数据包,检查是否可以在网络中通畅无阻。深度包检测因具有争议的用例上头条。例如,某些国家喜欢在审查和监控系统中使用深度包检测。叙利亚政府曾利用Blue Coat深度包检测设备监视国民, Francisco Partners还因此向Blue Coat Systems投资。为此,人权倡导者提出强烈抗议,但Blue Coat之后声称应指责分销商,因为Blue Coat未许可将该技术售卖到该国,分销商因此被工业安全局(BIS)处以最高280万美元的罚款。Francisco Partners在Barracuda Networks、Dell Software也持有股份。

Aadhaar生物识别先驱

2010年9月,世界上最庞大最复杂的生物身份识别系统(UID,又称Aadhar计划),在印度马哈拉施特拉邦一个部族村落里宣告启动。该项目由印度身份证管理局执行,作为全球规模最大的生物识别ID系统,截至2017年2月28日,这个印度建立的Aadhaar项目已经采集超过11.23亿人的生物识别数据,包括照片、十指指纹和虹膜扫描为每个印度居民提供了一个独一无二的12位身份证明编号

由于该身份证明编号与手机号和银行账户绑定,印度工贸可在网上进入数据库进行身份识别和手机“实时”验证,同时还能享受医疗、社保、培训、申请驾照、就业等服务;政府部门可以有针对性的向居民进行补贴和福利发放,对居民健康情况等进行检测,有效提供医疗和防疫等公共服务,并实现行政流程的实时改进。

1493830961090091066.jpg

Aadhaar项目以每位印度公民独特的生物识别和人口数据为基础。这类数据只能通过生物识别设备和兼容软件收集,这是Aadhaar价值链的第三和第三阶段。


Untitled-2.jpg

Cross Match在印度的UID项目合作伙伴为Smart Identity Devices Pvt公司(简称Smart ID)。Smart ID已经成为生物识别先驱企业和Aadhaar项目的领跑者。Smart ID为多个行业提供生物识别技术、智能卡、信息和通信技术产品与服务,例如金融服务、物流、政府和IT安全。Smart ID公司的设备目前为印度Aadhaar项目所有注册机构所用。

据最近一份市场研究预计,印度生物识别市场2018年将达到约20亿美元

Smart ID的产品和服务包括生物识别产品、移动应用解决方案、Aadhaar注册、培训、项目管理、IT托管等服务。Smart ID已通过注册机构让120多万名印度公民注册了Aadhaar项目。2011年7月,UIDAI认定Smart ID是Aadhaar前三大最佳注册机构,短期内注册的公民超过2500万美元。

2014年,Smart ID Patrol ID指纹扫描器的价格约为2300美元,这些设备在印度的普及率相当高,可以想象一下,印度为这家CIA幌子公司贡献了多少资金。如果UIDAI在印度安装了1万台此类CIA设备(保守估计),印度要支付超过14.7亿卢比,这笔成本可谓惊人。


Untitled-3.jpg

CIA特工如何实时访问Aadhaar数据库

大量CIA电子攻击手段能渗透高度安全的隔离网络,例如警察记录数据库。CIA特工或盟军情报人员按指示行动,物理渗透到目标场所。攻击者使用内含恶意软件的CIA专用U盘插入目标系统,之后感染并将数据渗漏到可移动媒体,例如CIA攻击系统Fine Dining会为CIA间谍提供24个诱饵应用程序。CIA间谍运行的程序可能是视频文件(例如VLC)、演示文稿(Prezi)、电脑游戏(Breakout2、2048)、甚至虚假病毒扫描软件(卡巴斯基、迈克菲、Sophos),然而当诱饵应用在屏幕上出现的时候会自动感染并搜索系统底层。

yindu.jpgFine Dining附带标准问卷调查,例如CIA特工填写的“菜单”。CIA行动支持处(OSB)利用问卷调查将办案官员的请求转化为特殊行动的技术要求。问卷调查允许OSB确定如何调整现有的行动工具,并与CIA恶意软件配置人员沟通。OSB充当CIA行动人员与相关技术支持人员之间的“接口”。

收集目标的关键词可能包括资产、系统管理员、外国信息行动、外国情报机构和外国政府实体。CIA特工还被要求详细说明目标环境,例如使用的电脑类型、操作系统、互联网连接、安装的反病毒程序以及要渗漏的文件类型,例如Office文档、音频、视频、图片或自定义文件类型。“菜单”还要求提供是否有可能再次访问目标以及未被发现的访问能维持多久等信息。CIA的“JQJIMPROVISE”软件使用这类信息按照行动需求配置一套CIA恶意软件。

Untitled-4.jpg

官方培训手册包含在Aadhaar注册客户端安装并配置Cross Match设备的详细步骤,此外还描述了导入主数据的过程。

第21批CIA Vault泄露文件地址,请戳

Vault 7 CIA泄漏汇总

维基解密上次发布的另一个CIA项目,被称为“沙发土豆”(CouchPotato)。CIA可借助“沙发土豆”实时远程监控视频流。自3月份以来,维基解密已经发布了21批“ Vault 7 ”系列,下面是E安全整理包括最新和上周的泄漏以及以下批次:

1.ExpressLane(“快车道”,秘密收集系统数据);

2.CouchPotato(“沙发土豆”,实时远程监控视频流);

3.Dumbo(“小飞象”,可以暂停摄像头正在使用的进程,并且可以破坏相关任何视频记录);

4.Imperial(“帝国”,针对运行OSX和不同版本的Linux操作系统的计算机);

5.UCL / Raytheon(为CIA远程开发部门提供技术情报);

6.OutlawCountry(“法外之地”,入侵运行有Linux操作系统的计算机);

7.Elsa(“艾尔莎”,利用WiFi追踪电脑地理位置);

8.Brutal Kangaroo(“野蛮袋鼠”,攻击网闸设备和封闭网络);

9.BothanSpy(“博萨间谍”,对SSH凭证进行拦截与渗透);

10.Cherry Blossom (“樱花”,攻击无线设备的框架);

11.Pandemic(“流行病”,文件服务器转换为恶意软件感染源);

12.Athena(“雅典娜”,恶意间谍软件,能威胁所有Windows版本);

13.AfterMidnight (“午夜之后”,Winodws平台上的恶意软件框架);

14.Archimedes(“阿基米德”,中间人攻击工具) ;

15.Scribbles(CIA追踪涉嫌告密者的程序);

16.Weeping Angel (“哭泣天使”,将智能电视的麦克风转变为监控工具);

17.Hive (“蜂巢”,多平台入侵植入和管理控制工具);

18.Grasshopper(“蝗虫”,针对Windows系统的一个高度可配置木马远控植入工具);

19.Marble Framework (“大理石框架”,用来对黑客软件的开发代码进行混淆处理、防止被归因调查取证);

20.Dark Matter(“暗物质”,CIA入侵苹果Mac和iOS设备的技术与工具);

21.HighRise(“摩天大楼”,通过短信窃取智能手机数据的工具)。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。