A Symantec
publicou recentemente
os resultados de um estudo das informações publicadas pelo WikiLeaks. Estamos falando do
Vault 7 , um pacote de documentos que descreve os princípios do software usado pela CIA para quebrar computadores e sistemas de computadores de indivíduos e organizações.
A espionagem da CIA foi realizada por um grupo especial que a Symantec apelidou de Longhorn. Seus participantes infectaram as redes de computadores de órgãos governamentais de diferentes estados e os sistemas de telecomunicações e empresas de energia, além de empresas de aeronaves, também foram infectados. A caixa de ferramentas anunciada pelos representantes do WikiLeaks foi usada, de acordo com a Symantec, de 2007 a 2011. Durante esse período, o grupo comprometeu pelo menos 40 metas em 16 estados diferentes, incluindo o Oriente Médio, Europa, Ásia, África e EUA (neste caso, provavelmente, por engano).
O kit de ferramentas do grupo Longhorn foi muito extenso. A Symantec conseguiu encontrar uma correspondência entre as informações fornecidas pelo WikiLeaks e os ataques realizados no passado usando vários métodos. Isso é uma coincidência de protocolos criptográficos (por exemplo, o protocolo RC5 personalizado), alterações no compilador usado e os métodos de ataque a redes e sistemas de computadores. Como
se viu , a própria Symantec monitora de perto, da melhor maneira possível, as atividades do Longhorn desde 2014. De qualquer forma, foi então que a Symantec descobriu um novo malware espalhado nos documentos do Word.
"A Longhorn usou ferramentas cibernéticas modernas e vulnerabilidades de dia zero para atingir alvos em todo o mundo", disse a empresa em seu blog. "O sistema de métodos, ferramentas e métodos usados por Longhorn se destacou entre todos os outros, então há pouca dúvida de que o grupo esteve envolvido em todos esses ataques."
Um dos indicadores que foram monitorados foi o
malware Fluxwire. As alterações pelas quais o software foi submetido correspondem ao programa descrito pela Symantec. Os especialistas desta empresa, no entanto, chamaram o malware detectado de Corentry. Mas, tanto quanto se pode julgar, corresponde exatamente ao software que aparece nos arquivos do WikiLeaks como FluxWire. Por exemplo, as alterações do FluxWare documentadas pelo WikiLeaks são totalmente consistentes com as alterações do Symantec Corentry. Se mais simples, esse é o mesmo software com elementos específicos de "comportamento", descritos pela Symantec e pelo WikiLeals. Em 25 de fevereiro de 2015, os especialistas da Symantec observaram que os desenvolvedores deste software agora usam o compilador Microsoft Visual C ++. Os mesmos dados estão contidos no arquivo do Vault 7.
Muito mais semelhanças podem ser encontradas no software, que no Vault7 aparece sob o nome Arcanjo. Nos arquivos da Symantec, ele é executado como o Plexor. As especificações e os módulos deste software são descritos quase de forma idêntica nos arquivos da CIA e da Symantec. Não há dúvida - este também é o mesmo programa. O Vault7 possui informações sobre os recursos criptográficos da atividade de rede da CIA. A Symantec também observa esses recursos.
“Antes de direcionar seu malware para o alvo, a Longhorn estava pré-configurando o pacote de software, cujos traços podiam ser detectados por palavras específicas, domínios C&C e endereços IP com os quais esse software deveria“ se comunicar ”. Longhorn usou palavras em maiúsculas, geralmente “groupid” e “siteid”, que foram usadas para identificar campanhas e vítimas. Mais de 40 desses identificadores foram estudados, muitas vezes palavras de filmes, incluindo personagens, comida ou música. Um exemplo é uma referência ao grupo "The Police", com as palavras de código REDLIGHT e ROXANNE ", diz o relatório de especialistas da Symantec.
O WikiLeaks publicou a primeira parte da coleção de documentos classificados da CIA em 8 de março. Esta coleção, apelidada de Vault 7, fornece uma boa idéia da escala do trabalho de espionagem cibernética dessa organização. Com a ajuda de programas desenvolvidos por seus funcionários, a CIA teve a oportunidade de penetrar nas redes de computadores de quase qualquer organização. Após a publicação desses documentos, ficou claro que os recursos da CIA são superiores aos da NSA.
Agora o WikiLeaks
não publica o código fonte das ferramentas, informações sobre as quais estão contidas na primeira parte do arquivo. Isso é feito por vários motivos, incluindo o perigo de que essas informações caiam nas mãos dos cibercriminosos.
Bem, a reação da CIA é bastante natural. “Como dissemos anteriormente, Julian Assange não é de forma alguma um bastião da verdade e da honestidade. A sociedade americana deve estar profundamente empolgada com a divulgação de documentos do Wikileaks, que limitarão a capacidade da CIA de proteger os EUA de terroristas e outros intrusos ", disse o porta-voz.