据外媒报道， “Vault 7”秘密文件一部分的Imperial项目日前被维基解密曝光，该文件已经是关于CIA黑客攻击的第18批资料了。该文件显示CIA所开发的三个间谍软件“Achilles”、“SeaPea”以及“Aeris”已经能分别针对对MacOS和Linux系统进行攻击。

如果您是THN的常客，您必须注意，这是正在进行的CIA-Vault 7漏洞的一部分，并应该将其列为该系列的第18批。

Achilles ——可以生成macOS磁盘镜像

CIA操作员会利用这个黑客工具将恶意木马应用程序与合法的macOS应用程序进行结合，这个过程发生在磁盘映像安装程序（.DMG）文件中。

由于shell脚本是用Bash语言写的，所以CIA操作员就可以利用一个或多个所需的操作符，对指定的可执行文件进行一次性操作。

一旦不知情的用户在他们的macOS上下载了受感染的磁盘映像，打开并安装软件，恶意可执行文件也会在后台运行。

为了保证运行的隐蔽，所有能暴露Achilles的下载应用程序都会被安全地删除，以便被攻击的文件还以合法应用程序在运行，这样，安全防护人员和杀毒软件都难以检测到初始感染载体。Achilles v1.0，于2011年开发，仅在Mac OS X 10.6上进行了测试。

SeaPea——为Mac OS X内核Rootkit提供隐藏功能

SeaPea将为Mac OS X内核Rootkit提供隐藏和工具启动功能。据维基解密透露，在Mac OS X上运行SeaPea会隐藏文件和目录、套接字连接及进程。

Mac OS X Rootkit于2011年开发，适用于运行最新Mac OS X 10.6（Snow Leopard）操作系统（兼容32位或64位内核）和Mac OS X 10.7（Lion）操作系统的计算机。

rootkit需要将root访问权限安装在目标Mac上，除非重新格式化硬盘驱动器或升级系统，否则无法将其删除。

Aeris ——自动植入到Linux系统

Aeris是利用C语言编写的一种自动植入的间谍软件，一旦安装，它可进行文件过滤和加密通信。

Aeris专门针对Linux系统，包括Debian，CentOS，Red Hat，FreeBSD和Solaris。

Aeris支持自动文件过滤，配置了信标间隔和抖动（jitter），独立并基于Collide的HTTPS LP支持和SMTP协议支持，所有这些都通过TLS加密通信进行相互认证。它与NOD加密规范兼容，并提供与几个Windows植入类似的结构化命令和控件。

译者注：Collide是一个基于Web的协作型代码编辑器，可以在本地运行，通过http://localhost:8080来访问。该项目依赖于Google Web Toolkit、Guava以及其他库，还需要Java 7和Ant 1.8.4+等。

“Vault 7”秘密文件最近半年所揭露的重要信息概要

1.7月19日， 维基解密公布了CIA承包商雷鸟科技公司（Raytheon Blackbird Technologies，RBT）为CIA远程开发部门提交的5份恶意软件PoC创意及分析报告，这些报告的提交时间事从2014年11月21日到2015年9月11日。

2.7月13日，维基解密曝光了 HighRise工具。HighRise专门针对安卓，可以拦截 SMS 消息并将其重定向至远程 CIA 服务器。有很多IOC 工具可以利用短信在植入的APP和监听 POST之间进行通信，而 HighRise 相当于一个SMS短信代理，将“收到”和“发出”的 SMS短信息代理到互联网监听站（LP）中，进而在目标设备和LP间进行更大的隔离。同时，HighRise 在自身操作者和监听站之间建立一个基于 TLS/SSL 安全网络通信的信道。

3.7月6日，BothanSpy和Gyrfalcon被曝光，两款工具都是植入型的恶意程序。不过，BothanSpy 是针对 Windows 系统计算机的恶意程序。 Gyrfalcon 则是针对 Linux 系统（ 32 位或 64 位），它需要使用 CIA 开发的 JQC/KitV rootkit 获取访问权限。

4.7月3日，OutlawCountry工具被曝光，专门用于以远程方式入侵运行有Linux操作系统的计算机。OutlawCountry工具中包含一个内核模块，CIA黑客可以通过shell访问目标系统加载模块，并且可以在目标linux主机创建一个名称非常隐蔽的Netfilter表。

5.6月28日，ELSA工具被曝光，ELSA为一款地理位置恶意软件，主要面向运行有Windows操作系统的笔记本电脑等具备WiFi功能的设备。

6.6月22日，Brutal Kangaroo工具被曝光， Brutal Kangaroo专门针对Windows操作系统的工具套件，, 它通过使用U盘等移动存储设备突破隔离的网络。在隔离网络中，创建自定义的隐蔽网络，并为执行查询、列表目录和执行任意文件提供服务。

7.6月17日，Cherry Blossom工具被曝光，Cherry Blossom是一款针对无线网络设备的远程可控固件植入框架，通过触发漏洞获取非授权访问，并加载定制CB固件，从而攻击路由器和无线接入点（AP），可用来入侵数百种家用路由器。

8.6月1日，Pandemic工具被曝光，Pandemic一种Windows持久性植入程序，可以与本地网络中的远程用户共享文件（程序），将文件服务器转换为恶意软件感染源。

9.5月19日，Athena工具被曝光， Athena旨在远程控制 Windows PC适用于从Windows XP到Windows 10的每个版本的Microsoft Windows操作系统。CIA可以利用Athena在目标计算机上进行任意操作，如进行数据删除或下载恶意软件，窃取到数据后就发送到 CIA 服务器上。

10.5月16日，AfterMidnight和Assassin工具被曝光，AfterMidnight和Assassin是CIA用来创建针对Windows的自定义恶意软件框架，这两个框架均实现了经典的后门功能，允许CIA控制目标系统。

11.5月5日，Archimedes工具被曝光，Archimedes最初的代号为Fulcrum，之后由开发团队更名为Archimedes。在目标LAN流量传输至网关前，Archimedes可以对LAN流量进行重定向，实施MitM攻击。

12.4月28日，Scribbles工具被曝光，Scribbles ，又名“ Snowden Stopper ” 这个word 文档追踪工具的设计目的是协助CIA对举报人和新闻记者的文件进行标记。据称, 该程序允许CIA将"web beacon-style tags"（web 信标）嵌入到word 文档中。

13.4月7日，Grasshopper工具被曝光，Grasshopper是CIA攻击Windows PC的开发工具包，是针对Windows系统的一个高度可配置木马远控植入工具。Grasshopper可以躲开杀毒软件的检测，还能每隔22小时自动重新安装一次。

14.4月1日，Marble工具被曝光，Marble是一个代码混淆框架，用来隐藏代码的真正来源，将 CIA 开发的恶意程序伪装成来自其它国家。

15.3月24日，Dark Matter工具被曝光，Dark Matter专门针对Mac和iPhone。的项目黑暗事物 – 黑客利用旨在定位iPhone和Mac的机构。Dark Matter技术可以重写设备固件，一旦被入侵，哪怕用户重启手机或电脑恢复出厂设置，也不能阻止CIA的访问。

16.3月7日，Weeping Angel工具被曝光，Weeping Angel是一款由CIA Embedded Devices Branch(嵌入式设备组)和英国MI5共同开发的针对三星智能电视的窃听软件。Weeping Angel感染智能电视后，会劫持电视的关机操作，保持程序的后台运行，让用户误以为已经关机了。它会启动麦克风，开启录音功能，然后将录音内容回传到CIA的后台服务器中。