维基解密继3月在代号为Vault 7的行动中揭露美国中情局(CIA)发展黑客与攻击工具后,周四再公布CIA开发恶意软件,藉由Windows文件服务器感染用户再向其他用户扩散的计划。
在这个名为Pandemic(时疫)的计划,CIA开发了一个同名的可隐密潜藏在Windows文件服务器的植入程序。 等它的目标用户下载程序档案时,就在过程中复制一个包含Pandemic的档案分身供用户下载。 这个植入程序可置换多达20种程序,档案最高达800MB。 为了不曝露行动,它并未动到服务器上的源文件,只有在下载时才会进行调包。
如同其名,Pandemic让这名受害者成为「零号病人」,即散播病毒的带原者。 CIA的文件指出,只要用户执行储存在被 Pandemic感染的文件服务器上,就会感染同一局域网络上其他远程计算机。 CIA文件并未说明细节, 但维基解密指出,技术上这些开放档案共享的受害计算机,是可能自己也变成文件服务器以散布恶意软件。
相关文件显示,Pandemic是利用文件系统Minifilter驱动程序安装到受害计算机中。 Ars Technica引述安全专家Jake Williams的看法,表示Pandemic可能是利用窃来或买来的数字证书完成签发。 这就有一定的难度,而限制了它的扩散范围。
同时安全专家也表示,一般大型企业并不会将共享文件放在Windows文件服务器,而是会另外购买储存设备。 因此Pandemic的攻击对象可能是中小型企业。
