维基解密新释出CIA文件“雅典娜”，揭露2款专门锁定Windows电脑建立攻击管道的骇客工具

维基解密（WikiLeaks）于5月19日再次释出了美国中央情报局（CIA）新的机密文件“雅典娜（Athena）”，揭露了CIA跟美国一家资安公司Siege Technologies共同开发骇客工具，专门锁定Windows XP至Windows 10之间操作系统的电脑，协助骇客预设攻击的管道，之后可以顺利植入恶意程式，来发动目标式客制化攻击。

“雅典娜”文件中揭露了2项骇客工具，分别是Athena-Alpha和Athena-Bravo。Athena-Alpha利用远端存取服务（Remote Access service），植入可以启动攻击程式的dll执行档，来替换iprtrmgr.dll，之后载入恶意程式至srvhost。维基解密解释，原先系统预设停用远端存取服务的功能，但是，一旦电脑遭骇客安装Athena-Alpha，系统就会强制开启远端存取服务的功能。

另外，Athena-Bravo利用DNS快取服务（DNS cache service），删除了原来的dnsext.dll.执行档，也替换成可以启动攻击程式的dll执行档，来取得受骇装置的使用权限。维基解密说明，这项功能原先就预设开启，但由于这项服务是Windows 7和Windows 8的新增功能，所以，旧版的Windows操作系统不会受到影响。

维基解密指出，骇客利用上述两种工具，植入4种模组，来载入到正在执行的工作程序中，包括host.dll、engine.axe、command.axe和uninstall.axe。首先，host.dll动态加载Athena工具引擎engine.axe，安装在受骇电脑的内建内存中。再者，骇客利用engine.axe在受骇装置设定攻击时程，以及执行其他恶意程式。第三，骇客在command.axe发送控制工具引擎的命令，并同时向服务器来传递资料。最后，骇客会利用uninstall.axe，来移除骇客工具和恶意程式，也包括登录表中的host.dll和data.bin文件，但是工具引擎的code会存在内存里面。

维基解密调查发现，资安公司Siege Technologies创始人Jason Syversen拥有密码学的背景，以及曾经发动网络攻击的案例。