Symantec povezao sajber napade sa CIA hakerskim alatima koje je otkrio Vikiliks

Previše sličnosti između CIA i aktivnosti hakerske grupe da bi bila slučajnost.

Symantec povezao sajber napade sa CIA hakerskim alatima koje je otkrio Vikiliks

Stručnjaci iz Symanteca su potvrdili da su hakerski alati (koji se povezuju sa CIA) o kojima je nedavno pisao Vikiliks korišćeni u napadu na najmanje 40 vlada i privatnih organizacija u 16 zemalja. Vikiliks je od marta ove godine objavio seriju dokumenata (ukupno 8.761) i drugih poverljivih informacija za koje se sumnja da su potekle od CIA.

Ovih 40 napada je izvela Longhorn hakerska grupa iz Severne Amerike. Grupa postoji od 2011. godine i koristi backdoor trojance i zero-day napade, a mete su im vlade, kao i sektori finansija, energetike, telekomunikacija, edukacije, avijacije i prirodnih resursa. Iako su mete bile organizacije sa Srednjeg Istoka, Evrope, Azije i Afrike, zabeležen je i slušaj inficiranja računara u SAD-u. Međutim, u slučaju napada na računar u SAD-u, pokrenut je program za deinstalaciju posle sat vremena što upućuje na to da je napad bio nenameran.

Longhorn hakerska grupa ima potrebne resurse za hakerske operacije, a aktivna je od ponedeljka do petka u regularnom radnom vremenu po američkoj vremenskoj zoni. To ukazuje da grupa najverovatnije ima podršku neke državne agencije. Longhornovi napredni malver alati su specijalno dizajnirani za sajber-špijunažu sa detaljnim fingerprint sistemom i sposobnostima otkrivanja i izvlačenja informacija. Malver je napravljen tako da ga je jako teško detektovati.

Symantec je povezao određene CIA hakerske alate i malver varijante (koje je objavio Vikiliks u seriji “Vault 7”) sa sajber-špijunskim operacijama Longhorn grupe.

Sličnosti između Fluxwire (koji je napravila CIA) i Corentry (koji je napravio Longhorn)

Fluxwire, sajber-špijunski malver koji je navodno razvila CIA i koji se pominje u Vault 7 dokumentima, sadrži u changelogu datume kada su dodate nove funkcionalnosti, a to je slično razvojnom ciklusu Corentryja, malvera koji je napravila Longhorn hakerska grupa. Sličnosti se ogledaju u određenom PDB (program database) fajlu kao i u kompajleru koji koriste (Corentry je ranije koristio GCC – GNU Compiler Collection, a od 25. februara 2015. godine i Fluxwire i Corentry koriste MSVC kompajler).

Slični malver moduli

U Vault 7 dokumentu postoji specifikacija 'Fire and Forget' za payload i malver modul loader pod imenom Archangel koji se po tvrdnjama stručnjaka iz Symanteca skoro savršeno poklapa za Longhornovim backdoor trojancem pod imenom Plexor.

Slični kriptografski protokoli

U još jednom CIA dokumentu koji je zahvaljujući Vikiliksu procureo u javnost preporučuje se da se koriste kriptografski protokoli sa malver alatima. Predlaže se korišćenje AES enkripcije sa 32-bitnim ključem, unutrašnja kriptografija u okviru SSL-a kako bi se sprečili man-in-the-middle napadi i razmena ključeva prilikom svake konekcije. Zatim, dalje se preporučuje korišćenje in-memory string de-obfuscation i Real-time Transport Protocol (RTP) za komunikaciju sa C&C serverima. Iz Symanteca tvrde da je ove kriptografske protokole i komunikacijske prakse takođe koristila Longhorn grupa u svim svojim hakerskim alatima.

Previše koincidencija između informacija iz CIA dokumenata i aktivnosti Longhorn grupe ukazuje na to da postoji velika verovatnoća da su Longhorn i CIA povezani.

Zaštita od Longhorn malvera

Symantec i Norton proizvodi štite od Longhorn malvera pomoću ovih detekcija:

Izvor: Symantec Connect