CIA-hacktools ingezet bij aanval op organisaties in 16 landen
Een onderzoek dat door Symantec werd uitgevoerd naar het gebruik van de CIA-tools die door WikiLeaks werden gepubliceerd in de Vault 7-bestanden heeft aan het licht gebracht dat de tools worden gebruikt om doelwitten verspreid over 16 verschillende landen aan te vallen.
Het bedrijf heeft de aanvallen toegeschreven aan de zogenaamde Longhorn-groep. Het betreft een groep die reeds actief is sinds het jaar 2011.
De doelwitten waarop de focus wordt gelegd zijn actief in verschillende regio’s van de wereld. Het zou alles bij elkaar dan ook gaan om meer dan 40 bedrijven die zijn gevestigd in niet alleen Europa, maar ook in het Midden-Oosten, Azië en Afrika. Bovendien zouden verschillende cruciale organisaties zijn aangevallen. De aanval zou dan ook niet alleen zijn gericht tegen ict-ondernemingen, maar ook tegen energie- en telecombedrijven evenals banken en overheden. Opvallend is dat er slechts in een enkel geval sprake was van een aanval tegen een bedrijf dat is gevestigd in de Verenigde Staten. Binnen een paar uur werd bij dit bedrijf bovendien een uninstaller gedraaid wat aangeeft dat ze waarschijnlijk per ongeluk was aangevallen.
Sterke overeenkomsten met WikiLeaks-publicatie
Ondertussen wordt duidelijk dat er zeer sterke overeenkomsten zijn tussen de tools die door Longhorn zijn ingezet en de beschrijving uit de WikiLeaks-publicatie van begin maart. De vernieuwingen in de zogenaamde changelog van de Fluxwire-tool vertonen met name sterke overeenkomsten met de data waarop Symantec de veranderingen vaststelde in een tool die ze zelf ‘Corentry’ heeft gedoopt. Er zijn bovendien nog meer overeenkomsten. Wat bijvoorbeeld te denken van de link tussen de CIA-specificatie ‘Fire and Forget’ en de specificatie van Symantec die bekend staat onder de benaming ‘Plexor-backdoor’? Ook de eisen voor de cryptografische protocollen vertonen tot slot aanzienlijke overeenkomsten met de bevindingen van het beveiligingsbedrijf.