Symantec hat kürzlich
die Ergebnisse einer Studie zu den von WikiLeaks veröffentlichten Informationen veröffentlicht. Wir sprechen über
Vault 7 , ein Paket von Dokumenten, die die Prinzipien der Software beschreiben, die von der CIA verwendet wird, um Computer und Computersysteme von Einzelpersonen und Organisationen zu knacken.
Die CIA-Spionage wurde von einer speziellen Gruppe verwaltet, die Symantec Longhorn nannte. Die Teilnehmer infizierten die Computernetzwerke von Regierungsstellen verschiedener Staaten, und auch die Systeme von Telekommunikations- und Energieunternehmen sowie Flugzeugunternehmen wurden infiziert. Die von WikiLeaks-Vertretern angekündigte Toolbox wurde laut Symantec von 2007 bis 2011 verwendet. In dieser Zeit hat die Gruppe mindestens 40 Ziele in 16 verschiedenen Staaten kompromittiert, darunter im Nahen Osten, in Europa, Asien, Afrika und den USA (in diesem Fall höchstwahrscheinlich aus Versehen).
Das Toolkit der Longhorn-Gruppe war sehr umfangreich. Symantec konnte eine Entsprechung zwischen den von WikiLeaks bereitgestellten Informationen und Angriffen finden, die in der Vergangenheit mit verschiedenen Methoden ausgeführt wurden. Dies ist ein Zusammentreffen von kryptografischen Protokollen (z. B. dem angepassten RC5-Protokoll), Änderungen im verwendeten Compiler und den Methoden zum Angriff auf Computernetzwerke und -systeme. Wie
sich herausstellte , hat Symantec selbst die Aktivitäten von Longhorn seit 2014 nach besten Kräften genau überwacht. In jedem Fall entdeckte Symantec dann eine neue Malware, die in Word-Dokumenten verbreitet wurde.
"Longhorn nutzte moderne Cyber-Tools und Zero-Day-Schwachstellen, um Ziele auf der ganzen Welt zu erreichen",
sagte das Unternehmen in seinem Blog. "Das von Longhorn verwendete System von Methoden, Werkzeugen und Methoden stach unter allen anderen hervor, so dass es kaum Zweifel gibt, dass die Gruppe an all diesen Angriffen beteiligt war."
Einer der überwachten Indikatoren war die Fluxwire-
Malware . Die Änderungen, die die Software vorgenommen hat, entsprechen dem von Symantec beschriebenen Programm. Die Spezialisten dieses Unternehmens nannten die erkannte Malware jedoch Corentry. Soweit man das beurteilen kann, stimmt es jedoch genau mit der Software überein, die in den WikiLeaks-Archiven als FluxWire angezeigt wird. Beispielsweise stimmen die von WikiLeaks dokumentierten FluxWare-Änderungen vollständig mit den Symantec Corentry-Änderungen überein. Wenn dies einfacher ist, handelt es sich um dieselbe Software mit bestimmten Elementen des „Verhaltens“, die von Symantec und WikiLeals beschrieben wird. Am 25. Februar 2015 stellten Symantec-Experten fest, dass die Entwickler dieser Software jetzt den Microsoft Visual C ++ - Compiler verwenden. Die gleichen Daten sind im Vault 7-Archiv enthalten.
Viel mehr Ähnlichkeiten finden sich in der Software, die in Vault7 unter dem Namen Archangel erscheint. In den Symantec-Archiven läuft es wie Plexor. Die Spezifikationen und Module dieser Software sind in den CIA- und Symantec-Archiven nahezu identisch beschrieben. Es besteht kein Zweifel - dies ist auch das gleiche Programm. Vault7 enthält Informationen zu den kryptografischen Funktionen der CIA-Netzwerkaktivität. Symantec stellt diese Funktionen ebenfalls fest.
„Bevor Longhorn seine Malware an das Ziel weiterleitete, konfigurierte er das Softwarepaket vor, dessen Spuren durch bestimmte Wörter, C & C-Domänen und IP-Adressen erkannt werden konnten, mit denen diese Software„ kommunizieren “sollte. Longhorn verwendete großgeschriebene Wörter, oft "Gruppen-ID" und "Site-ID", die zur Identifizierung von Kampagnen und Opfern verwendet wurden. Es wurden mehr als 40 solcher Identifikatoren untersucht, sehr oft waren dies Wörter aus Filmen, einschließlich Charakteren, Essen oder Musik. Ein Beispiel ist ein Verweis auf die Gruppe „The Police“ mit den Codewörtern REDLIGHT und ROXANNE “, heißt es in dem Bericht von Symantec-Experten.
WikiLeaks veröffentlichte am 8. März den ersten Teil der CIA-Sammlung klassifizierter Dokumente. Diese als Vault 7 bezeichnete Sammlung gibt einen guten Überblick über den Umfang der Cyberspionagearbeit dieser Organisation. Mit Hilfe von Programmen, die von ihren Mitarbeitern entwickelt wurden, erhielt die CIA die Möglichkeit, in Computernetzwerke fast aller Organisationen einzudringen. Nach der Veröffentlichung dieser Dokumente wurde klar, dass die Fähigkeiten der CIA den Fähigkeiten der NSA überlegen sind.
Jetzt veröffentlicht WikiLeaks
nicht den Quellcode von Tools, deren Informationen im ersten Teil des Archivs enthalten sind. Dies geschieht aus verschiedenen Gründen, einschließlich der Gefahr, dass solche Informationen in die Hände von Cyberkriminellen gelangen.
Nun, die Reaktion der CIA ist ganz natürlich. „Wie wir bereits sagten, ist Julian Assange überhaupt keine Bastion der Wahrheit und Ehrlichkeit. Die amerikanische Gesellschaft sollte von der Offenlegung von Wikileaks-Dokumenten zutiefst begeistert sein, was die Fähigkeit der CIA einschränken wird, Amerika vor Terroristen und anderen Eindringlingen zu schützen “, sagte der Sprecher.