2017年3月7日,维基解密公布了一系列代号“金库7号”(Vault 7)的机密文件,内容涵盖美国中央情报局(CIA)内部研发与使用的骇客工具和网络武器套件,“金库7号”不仅是迄今为止史上最大规模的情报机构内部泄露资料,更为外界提供了一扇窥探当代网络战争真相的重要窗口。此次披露的文件数量达到8,761份,涵盖了2013年至2016年度间CIA网络战部门的核心操作细节,从智能手机攻击、操作系统漏洞利用,到智能电视变身窃听设备,应有尽有。通过这些文件,可以洞察到CIA如何打造出一支由五千多名用户组成的庞大骇客团队,运作着成百上千种专属于其的恶意软件、特洛伊木马和病毒,这些利器的规模甚至超越了支撑脸书整个平台运作的代码量。 金库7号揭示了CIA在全球范围内的隐秘网络攻防布局,编织着一个由恶意软件植入程序、监听终端及网络指挥控制系统组成的庞大基础设施。这些工具中,许多都针对当今主流的智能终端系统设计,包括苹果iOS系统、谷歌Android平台,甚至微软Windows与Linux服务器系统,甚至三星智能电视也未能幸免,这些电视通过特制的“垂泪天使”(Weeping Angel)软件被CIA改造为隐形麦克风,能在假装关闭时秘密录音并传送数据。 文件透露,CIA通过一个名为工程开发组(Engineering Development Group,简称EDG)的软件部门,专门负责各类骇客工具的设计、生产、测试和部署。
该部门隶属中央情报局数字创新局(Directorate for Digital Innovation,简称DDI),也是中央情报局构建“网络特战中队”的核心力量。EDG研发的工具具备强大多样性与隐蔽性,能在各种复杂网络环境下长时间潜伏,不仅能对受害者进行远程监控,还能通过多种途径窃取通讯内容、地理位置甚至操控设备摄像头和麦克风。 其中针对手机的攻击尤其复杂。虽然苹果iPhone在全球智能手机市场份额远小于Android,但CIA对iOS系统的兴趣浓厚,其“移动设备部门”掌控着大量针对iPhone及iPad的零日漏洞和远程控制软件。这种关注背后的逻辑在于iPhone广泛被政界、商业和外交精英使用,成为极具价值的情报目标。相比之下,Android系统因其市场占有率高达85%,也成为CIA大量武器的主攻方向。
“金库7号”文件披露至少包含24个专为Android设计的可利用漏洞,这些漏洞同样来自CIA自身研发、英国情报机构GCHQ及美国NSA等多渠道。 除移动设备外,CIA也投入巨大心力开发针对Windows系统的恶意软件,设计了包括感染USB设备的软件虫、可绕越防火墙与安全审查机制的植入代码,甚至能突破与目标机器物理隔绝的“空气隔断”网络环境。这表明CIA能执行极为隐秘的网络渗透操作,直接侵入最高等级的机密网络体系。 “金库7号”中提及的“鲨鱼齿轮”(Hammer Drill)、“残暴袋鼠”(Brutal Kangaroo)、“蜂巢”(HIVE)等多套专用网络武器,在功能上涵盖远程控制、数据窃取和对抗反病毒软件的多方位需求。其中“HIVE”是一个跨平台的恶意软件框架,能在Windows、Solaris、Linux及网络设备上运作,搭配多层加密的命令与控制系统,保证植入程序稳健隐秘地与CIA服务器沟通。 特别值得警惕的是CIA的漏洞囤积策略。
虽然在爱德华·斯诺登爆料NSA之后,美国政府曾表态要遵循“漏洞公平披露”原则,及时将严重软件漏洞反馈给厂商以保障公共安全,但“金库7号”暴露CIA仍大肆积累并利用未公开漏洞,甚至包括影响总统推特账户相关软件的高危漏洞。这样的做法不仅使美国政要系统暴露风险,也让整个网络世界处于长期不安全状态,导致广大用户及关键基础设施暴露于黑客攻击威胁。 在引发关注的同时,泄露文件也显示CIA极其依赖物理潜伏及特工现场操作来辅助网络攻击。作为例子,美国驻德国法兰克福领事馆被揭露成CIA黑客的秘密基地,特工在此配备外交护照和官方掩护,能够轻松通过德国海关,并向欧洲申根区内的25国无障碍出入。实地特工利用U盘携带恶意软件,伪装成无害应用表面,偷偷感染目标计算机,实现窃取数据和持续访问。 “金库7号”还披露了CIA使用的伪装技术。
诸如“精致晚餐”(Fine Dining)软件包含标准化问卷,帮助案件官员将情报需求转化为技术参数,间接定制恶意软件配置。“即兴发挥”(Improvise)工具组允许在操作系统层面灵活配置各种攻击向量以适应复杂战场环境。 此外,CIA的“伪装组”(UMBRAGE)蒐集其他国家黑客团伙的攻击技术,形成多样性攻击库,独特的攻击方式可用以误导侦查,嫁祸他国,增加情报战的混淆效果。这种技术不仅令网络调查更加复杂,也带来了对国际网络攻击归属认定的严重挑战。 “金库7号”文件中还多次提及CIA如何规避取证与杀毒软件。这表明他们在构建恶意软件时极其谨慎,遵循专门制定的标准,避免在被攻击机器上留下CIA痕迹,同时设计多种数据加密和变异策略抵抗反制。
值得注意的是,这些“网络武器”与传统军事武器完全不同,不会“发射后爆炸”,反而常年潜伏,悄无声息地侵蚀目标系统,堪比对目标进行持续的秘密占领。 令人担忧的是,CIA将大量网络武器及其控制系统设计为非机密,未受严格分类保护。原因在于这些植入程序需要通过互联网与控制服务器通信,而基于现行法规,机密信息不得放置在公开网络上,因此CIA只得放弃这一保护措施。结果是这些高价值的代码极易被泄露甚至“盗版”,引发了严重的全球网络安全隐患。 与此同时,“金库7号”所揭示的情报人员信息泄露事件,也是维护网络战争机密面临的巨大挑战。近年来,美国情报界频频爆出前工作人员及承包商泄密事件,如哈罗德·马丁三世被控非法持有大量机密信息和代码,证明即便是最先进的情报机构也难以抵御内部安全威胁。
“金库7号”事件引发了全球舆论对于网络武器扩散、网络主权及数字隐私保护的反思。网络武器作为纯软件形式,可在瞬间全球传播,一旦失控可能被对手、犯罪集团甚至个人黑客活用,带来难以预料的安全后果。维基解密创始人朱利安·阿桑奇指出,这种技术的无节制扩散风险堪比传统武器的非法交易,迫切需求国际社会制定监管和控制机制。 总结来看,“金库7号”透漏了CIA作为美国网络战核心力量的运作全貌,其构建的复杂多层级骇客工具体系,表明现代网络间谍活动及秘密战几乎延伸至日常生活每个数字角落。智能手机的无所不在,智能设备的普及,都成为潜在的监控和攻击目标。信息时代下情报机构对技术的投入与隐秘运用,也在考验国家法律、隐私权利与国际规则的极限。
有关方面需要严肃思考的是,如何平衡国家安全和公民隐私之间的关系,怎样监管日益增长的网络武器库,以及是否能够建立起有效的国际合作框架应对日益复杂且高度机密的网络战威胁。此次“金库7号”事件,无疑成为引发这些讨论的焦点,预示着新时代情报技术和网络战争形态的巨大转变,也开启了对于未来数字世界安全与自由阴影的新篇章。
