七號保險庫

2017年3月7日，維基解密曝光“七號保險庫”的第一部分，名為“Year Zero”（元年）。維基解密稱這些泄密檔案來源CIA蘭利總部網路情報中心（CCI，Center for Cyber Intelligence）與外網隔絕的高度機密區域網路，檔案不僅暴露了CIA全球竊聽計畫的方向和規模，還包括一個龐大的黑客工具庫，網路攻擊入侵活動對象包括微軟、安卓、蘋果iOS、OS X和Linux等作業系統和三星智慧型電視，甚至是車載智慧型系統和路由器等網路節點單元和智慧型設備。維基解密進一步透露：這些檔案中涉及的黑客工具既有CIA自行開發的軟體，也有據稱是得到英國MI5（軍情五處）協助開發的間諜程式。其中包括惡意軟體、病毒、特洛伊木馬、武器化的‘0day漏洞’、惡意軟體遠程控制系統及其相關檔案等。這些‘網路武器’的代碼行數總計可達數億之多，這就使其持有者完全有能力黑進CIA。目前，這些檔案檔案已經在前美國政府黑客和承包商間以未經授權的手段流傳，維基解密得到的這些檔案來自他們中的某人。

1.Year zero

2017年3月23日，維基解密曝光“七號保險庫”第二部分，名為“Dark Matter”（暗物質）。揭示了CIA用於攻擊蘋果iPhone和蘋果電腦Mac的一系列檔案。

2.dark matter logo

2017年3月31日，維基解密曝光“七號保險庫”第三部分，名為“Marble”（大理石）。代碼混淆工具Marble被設計用於隱藏代碼的真正來源，將 CIA 開發的惡意程式偽裝成來自其它國家。該框架對於開發者和安全研究人員具有參考價值。原始碼檔案披露了 Marble 中名叫“ adding foreign language ”的功能，在程式中混入其它國家的語言，包括阿拉伯語、中文、俄語、韓語和波斯語。通過混入外國語言，一個 CIA 開發的惡意程式可能會被視為是另一個國家開發的，比如混入中文可能會被誤認為是中國開發的，但實際上是CIA開發的。

3. Marble framework logo

2017年4月7日，維基解密曝光“七號保險庫”第四部分，名為"Grasshopper"（蝗蟲）。“Grasshopper” 據稱是該機構入侵 Windows PC 的開發工具包，是其針對 Windows 系統的一個高度可配置木馬遠控植入工具。Grasshopper 是一種軟體工具，可讓代理商構建定製安裝程式來定位特定的 PC。該工具具有基於許多軟體漏洞的漏洞的所有構建模組，中情局可根據需要選擇：“操作員會使用一系列技術在目標設備上進行配置，從而執行安裝一個或者多個攻擊程式。在安裝過程中，每個攻擊安裝器都是針對獨立配置的組件而設計的。運營商可以基於目標環境的評估指定該安裝。使用自定義規則語言描述目標條件。操作員可以在執行期間配置該工具以輸出日誌檔案以供以後進行過濾。”

4. Grasshopper logo

2017年4月14日，維基解密曝光“七號保險庫”第五部分，名為“Hive”（蜂巢）。蜂巢是一整套的跨平台定製化惡意軟體系統，可以分別針對Windows、Linux、Solaris，以及路由器中的MikroTik等多家系統逐個攻破入侵。

5. Hive logo

2017年4月21日，維基解密曝光“七號保險庫”第六部分，名為“Weeping Angel”（哭泣天使）。Weeping Angel 並非是 CIA 原創，而是基於 MI5/BTSS 的 Extending 工具，設計利用內置麥克風記錄數據。該工具需要通過物理接觸方法使用 U 盤安裝到目標的智慧型電視上，記錄下的音頻數據再通過物理接觸方法收回，但利用附近的 WIFI 熱點遠程獲取記錄的音頻數據也是可能的。運行在 Windows 上的另一個工具 Live Liston Tool 可用於實時獲取監聽的數據。Extending 還可以偽裝電視螢幕關閉下繼續監聽。Weeping Angel 是 CIA 和 MI5/BTSS 在一個聯合開發研討會期間合作開發的。

6. Weeping angel logo

2017年4月28日，維基解密曝光“七號保險庫”第七部分，名為“Scribbles”（塗鴉）。利用“Scibbles”（又名 Snowden Stopper ）軟體在可能被泄漏的檔案中嵌入 Web 信號標籤，這樣即使文檔被竊取 CIA 也能定位這些檔案並收集相關的信息，並將這些信息反饋回 CIA。這份文檔標記日期為 2016 年 3 月 1 日，標記授權日期直至 2066 年。維基解密表示：“ Scibbles 用於微軟Office 文檔的離線預處理。出於操作安全方面的原因，在使用手冊中要求 Scribble 在目標設備上不安裝可執行、參數檔案、收據或者日誌檔案，也不會留下可能被機構收集的地址信息。”該項目文檔顯示Scribble基本上是一款水印工具，這款工具能夠成功套用於微軟 Office 2013（在 Windows 8.1 x64 ）以及 Office 97-2016 版本的所有文檔，但並不適用於 Office 95 文檔。不過這款軟體也存在一些問題，僅限於使用微軟 Office 打開的文檔。在文檔中寫道：“如果目標終端用戶使用 OpenOffice 或者 LibreOffice 等其他應用程式，那么用戶就能看到水印照片和 URL 連線。因此，CIA 總是需要確保主機名字或者 URL 組件是和源內容相匹配的。如果你所調查的目標用戶可能會使用非微軟 Office 套用打開這些文檔，請部署之前進行一些測試和評估。”

7. Scribbles（Snowden stopper）

2017年5月5日，維基解密曝光“七號保險庫”第八部分，名為“Archimedes”（阿基米德）。這是CIA用來攻擊通常在辦公室使用的區域網路（LAN）的惡意電腦程式。它可以將在區域網路的目標主機發出的流量進行重定向，但同時讓目標計算機的瀏覽器會話視窗看起來似乎一切正常。這份檔案同時還說明了一種在“受保護環境”中的一種攻擊方式，即將該工具植入現有的本地網路，濫用現有的機器，使目標計算機受到控制和利用。

8. Archimedes

2017年5月12日，維基解密曝光“七號保險庫”第九部分，共有兩份Vault7 文檔，揭示美國中央情報局（ CIA ）使用惡意軟體 AfterMidnight（午夜過後） 、 Assassin （刺客）後門功能操控與監視 Microsoft Windows 系統設備。惡意軟體 AfterMidnight 允許黑客在目標系統中動態載入與執行惡意 payload。其主要 payload 被偽裝成系統自身的動態程式庫 ( DLL ) 檔案並進行 “ Gremlins ”操作，以便黑客摧毀目標軟體、收集信息或為其他 “ Gremlins ” 提供內部服務。此外，惡意軟體 AfterMidnight 基於 HTTPS 的 Listening Post（ LP ）服務會檢查所有預設計畫和執行情況，每次接收新任務後，AfterMidnight 都會下載系統組件並存儲於記憶體之中。Assassin 則是一個自動化植入軟體，為遠程運行 Microsoft Windows 作業系統的計算機提供簡單的數據收集平台。一旦工具安裝在目標系統中，Assassin 將在 Windows 服務過程中運行並定期返回數據。此外，Assassin C2（指揮與控制）和 LP （聽力後勤）子系統能夠相互配合以便 CIA 通過受感染系統執行特定任務。

9. AfterMidnight

中央情報局前主任麥可·海登（Michael Hayden）回答說，維基解密確實“不對所謂的情報檔案的真實性或內容進行評論”。然而，據要求匿名的現任和前任情報官員說這些檔案是真實可信的。

愛德華·斯諾登（Edward Snowden）在檔案發布後不久就在網上發帖表示這些檔案是真實的。

2017年3月15日，美國現任總統唐納德·特朗普總統在接受採訪時表示，“中情局被黑客入侵了，很多東西被拿走了”。