أكد باحثون أمنيون أن أدوات القرصنة المزعومة لوكالة المخابرات المركزية التي كشف عنها مؤخراً ويكيليكس قد استخدمت ضد ما لا يقل عن 40 حكومة ومنظمات خاصة في 16 دولة.
منذ مارس / آذار ، كجزء من سلسلة " Vault 7 " ، نشرت ويكيليكس أكثر من 8761 وثيقة ومعلومات سرية أخرى تفيد بأن مزاعم المجموعة المبلغ عنها جاءت من وكالة المخابرات المركزية الأمريكية (CIA).
الآن، والباحثين في مجال الأمن السيبراني شركة سيمانتيك يقال تمكن من ربط تلك الأدوات القرصنة CIA إلى العديد من الهجمات السيبرانية حقيقي في السنوات الأخيرة التي نفذت ضد القطاعين الحكومي والخاص في جميع أنحاء العالم.
وقد نفذت هذه الهجمات عبر الإنترنت من قبل Longhorn - وهي مجموعة قرصنة في أمريكا الشمالية نشطت منذ عام 2011 على الأقل واستخدمت أحصنة طروادة المستعرة وهجمات اليوم الواحد لاستهداف قطاعات الحكومة والمالية والطاقة والاتصالات والتعليم والفضاء والموارد الطبيعية. .
على الرغم من أن أهداف المجموعة كانت كلها في الشرق الأوسط وأوروبا وآسيا وأفريقيا ، إلا أن الباحثين قالوا إن المجموعة كانت تصيب جهاز كمبيوتر في الولايات المتحدة ، لكن تم إطلاق برنامج إلغاء التثبيت في غضون ساعة ، مما يشير إلى أن " الضحية كانت مصابة دون قصد " .
ما يثير الاهتمام هو أن سيمانتيك ربطت بين بعض أدوات الاختراق التي تستخدمها وكالة المخابرات المركزية ومختلف أنواع البرامج الضارة التي كشف عنها ويكيليكس في ملفات Vault 7 لعمليات التجسس عبر الإنترنت في لونغهورن.
Fluxwire (التي أنشأتها وكالة المخابرات المركزية) ≅ Corentry (التي أنشأتها قرون طويلة)
تحتوي Fluxwire ، وهي برمجيات خبيثة تجسس على الإنترنت تم إنشاؤها بواسطة وكالة المخابرات المركزية الأمريكية ، والتي ورد ذكرها في وثائق Vault 7 ، على تغيير في التواريخ عند إضافة ميزات جديدة ، والتي تتشابه تمامًا مع دورة تطوير برنامج "Corentry" ، وهي برامج ضارة تم إنشاؤها بواسطة مجموعة القرصنة Longhorn.
"الإصدارات المبكرة من Corentry التي شاهدتها Symantec تحتوي على مرجع لمسار الملف لملف قاعدة بيانات برنامج (Flowwire) ،" يوضح Symantec . "يسرد مستند Vault 7 إزالة المسار الكامل لـ PDB كواحدة من التغييرات التي تم تنفيذها في الإصدار 3.5.0."
"حتى عام 2014 ، تم تجميع إصدارات Corentry باستخدام GCC [مجموعة مترجم GNU]. وفقًا لمستند Vault 7 ، انتقلت Fluxwire إلى مترجم MSVC للإصدار 3.3.0 في 25 فبراير 2015. وقد انعكس هذا في نماذج من Corentry ، حيث استخدمت نسخة تم تجميعها في 25 فبراير 2015 ، MSVC كمجمجم. "
وحدات البرامج الضارة المشابهة
تفاصيل أخرى عن Vault 7 تفاصيل "Fire and Forget" للحمولة المحمولة ومحمل وحدة برامج ضارة تسمى Archangel ، والتي تزعم Symantec ، تتطابق تمامًا مع خلفية الباب الطويل الطويل التي تسمى Plexor.
يقول سيمانتك: "تم مطابقة مواصفات الحمولة والواجهة المستخدمة في تحميلها بشكل كبير في أداة أخرى لـ Longhorn تسمى Backdoor.Plexor".
استخدام ممارسات بروتوكول التشفير المشابهة
حددت وثيقة CIA مسربة أخرى بروتوكولات التشفير التي يجب استخدامها ضمن أدوات البرمجيات الخبيثة ، مثل استخدام التشفير AES مع مفتاح 32 بت ، التشفير الداخلي داخل SSL لمنع هجمات الرجل في الوسط ، والتبادل الرئيسية مرة واحدة لكل اتصال.
كما توصي إحدى وثائق CIA التي تم تسريبها باستخدام إزالة التشوه في الذاكرة و بروتوكول النقل في الوقت الحقيقي (RTP) للتواصل مع خوادم الأوامر والتحكم (C & C).
وفقًا لـ Symantec ، تم استخدام بروتوكول التشفير وممارسات الاتصال هذه أيضًا بواسطة مجموعة Longhorn في جميع أدوات القرصنة.
المزيد عن LongHorn Hacking Group
تم وصف Longhorn على أنه مجموعة قرصنة ذات موارد جيدة تعمل على مستوى يومي من الاثنين إلى الجمعة في الأسبوع - من المحتمل أن يكون سلوك مجموعة ترعاها الدولة - وتعمل في منطقة زمنية أمريكية.
صممت أدوات البرمجيات الخبيثة المتقدمة Longhorn خصيصًا للتجسس عبر الإنترنت مع البصمات التفصيلية للنظام والاكتشاف وإمكانات الترشيح. تستخدم المجموعة قدرات التخفي للغاية في برامجها الخبيثة لتجنب الكشف.
يوضح تحليل سيمانتيك لأنشطة المجموعة أيضًا أن لونغهورن من بلد أمريكا الشمالية الناطقة باللغة الإنجليزية مع استخدام كلمات الرموز المستخدمة في الإشارة ، والفرقة The Police مع الكلمات البرمجية REDLIGHT و ROXANNE ، والمصطلحات العامية مثل "scoobysnack".
بصورة شاملة،"القليل من الشك في أن أنشطة لونغهورن ووثائق Vault 7 هي عمل المجموعة نفسها ."