Stručnjaci iz Symanteca su potvrdili da su hakerski alati (koji se povezuju sa CIA) o kojima je nedavno pisao Vikiliks korišćeni u napadu na najmanje 40 vlada i privatnih organizacija u 16 zemalja. Vikiliks je od marta ove godine objavio seriju dokumenata (ukupno 8.761) i drugih poverljivih informacija za koje se sumnja da su potekle od CIA.

Ovih 40 napada je izvela Longhorn hakerska grupa iz Severne Amerike. Grupa postoji od 2011. godine i koristi backdoor trojance i zero-day napade, a mete su im vlade, kao i sektori finansija, energetike, telekomunikacija, edukacije, avijacije i prirodnih resursa. Iako su mete bile organizacije sa Srednjeg Istoka, Evrope, Azije i Afrike, zabeležen je i slušaj inficiranja računara u SAD-u. Međutim, u slučaju napada na računar u SAD-u, pokrenut je program za deinstalaciju posle sat vremena što upućuje na to da je napad bio nenameran.

Longhorn hakerska grupa ima potrebne resurse za hakerske operacije, a aktivna je od ponedeljka do petka u regularnom radnom vremenu po američkoj vremenskoj zoni. To ukazuje da grupa najverovatnije ima podršku neke državne agencije. Longhornovi napredni malver alati su specijalno dizajnirani za sajber-špijunažu sa detaljnim fingerprint sistemom i sposobnostima otkrivanja i izvlačenja informacija. Malver je napravljen tako da ga je jako teško detektovati.

Symantec je povezao određene CIA hakerske alate i malver varijante (koje je objavio Vikiliks u seriji “Vault 7”) sa sajber-špijunskim operacijama Longhorn grupe.

Sličnosti između Fluxwire (koji je napravila CIA) i Corentry (koji je napravio Longhorn)

Fluxwire, sajber-špijunski malver koji je navodno razvila CIA i koji se pominje u Vault 7 dokumentima, sadrži u changelogu datume kada su dodate nove funkcionalnosti, a to je slično razvojnom ciklusu Corentryja, malvera koji je napravila Longhorn hakerska grupa. Sličnosti se ogledaju u određenom PDB (program database) fajlu kao i u kompajleru koji koriste (Corentry je ranije koristio GCC – GNU Compiler Collection, a od 25. februara 2015. godine i Fluxwire i Corentry koriste MSVC kompajler).

Slični malver moduli

U Vault 7 dokumentu postoji specifikacija 'Fire and Forget' za payload i malver modul loader pod imenom Archangel koji se po tvrdnjama stručnjaka iz Symanteca skoro savršeno poklapa za Longhornovim backdoor trojancem pod imenom Plexor.

Slični kriptografski protokoli

U još jednom CIA dokumentu koji je zahvaljujući Vikiliksu procureo u javnost preporučuje se da se koriste kriptografski protokoli sa malver alatima. Predlaže se korišćenje AES enkripcije sa 32-bitnim ključem, unutrašnja kriptografija u okviru SSL-a kako bi se sprečili man-in-the-middle napadi i razmena ključeva prilikom svake konekcije. Zatim, dalje se preporučuje korišćenje in-memory string de-obfuscation i Real-time Transport Protocol (RTP) za komunikaciju sa C&C serverima. Iz Symanteca tvrde da je ove kriptografske protokole i komunikacijske prakse takođe koristila Longhorn grupa u svim svojim hakerskim alatima.

Previše koincidencija između informacija iz CIA dokumenata i aktivnosti Longhorn grupe ukazuje na to da postoji velika verovatnoća da su Longhorn i CIA povezani.

Zaštita od Longhorn malvera

Symantec i Norton proizvodi štite od Longhorn malvera pomoću ovih detekcija:

• Backdoor.Plexor
• Trojan.Corentry
• Backdoor.Trojan.LH1
• Backdoor.Trojan.LH2

Izvor: Symantec Connect