Η Symantec ανακοίνωσε ότι κατάφερε να συνδέσει τουλάχιστον 40 επιθέσεις σε 16 χώρες, που πραγματοποιήθηκαν με εργαλεία και που ανακοίνωσε για πρώτη φορά το WikiLeaks μέσω του Vault 7 που αποκαλύπτει τις τακτικές κατασκοπείας της CIA.
Σε μια μακροσκελή έκθεση, η Symantec μιλά για μια πολύ οργανωμένη ομάδα που ονομάζεται Longhorn και σύμφωνα με την εταιρεία ασφαλείας πραγματοποίησε αυτές τις επιθέσεις. Η εταιρεία τονίζει ότι η Longhorn αποτελείται από πράκτορες της CIA, και παρουσιάζει άφθονα αποδεικτικά στοιχεία.
«Τα εργαλεία που χρησιμοποιούνται από την Longhorn ακολουθούν ακριβώς το χρονοδιάγραμμα ανάπτυξης και τις τεχνικές προδιαγραφές που ορίζονται στα έγγραφα που δημοσίευσε το Wikileaks. Η ομάδα Longhorn μοιράζεται τα ίδια πρωτόκολλα κρυπτογράφησης που καθορίζονται στα έγγραφα του Vault 7, εκτός του ότι ακολουθούν τις ίδιες κατευθυντήριες γραμμές τακτικής για να αποφύγουν τον εντοπισμό. Λαμβάνοντας υπόψη τις ομοιότητες μεταξύ των εργαλείων και τεχνικών, δεν μπορεί να υπάρχει αμφιβολία ότι οι δραστηριότητες της Longhorn και τα έγγραφα που διέρρευσαν μέσω του Vault 7 είναι έργο της ίδιας ομάδας,” αναφέρει η εταιρεία ασφαλείας.
Ποιοι είναι στη Longhorn;
Η Longhorn είναι μια ομάδα που δραστηριοποιείται τουλάχιστον από το 2011, χρησιμοποιώντας μια σειρά από backdoors trojans και ευπάθειες zero-day για να αποκτήσει πρόσβαση στους στόχους της. Η ομάδα έχει καταφέρει να διεισδύσει σε κυβερνητικές οργανώσεις και εταιρείες με διεθνή δραστηριότητα. Οι στόχοι της είναι εταιρείες και κυβερνητικοί οργανισμοί που ασχολούνται με οικονομικά, τηλεπικοινωνίες, ενέργεια, αεροδιαστημική, τεχνολογία των πληροφοριών, εκπαίδευση, τομείς φυσικών πόρων, αναφέρει η Symantec αλλά δεν τις κατονομάζει επακριβώς.
Αυτοί οι στόχοι ήταν σε 16 χώρες σε όλη τη Μέση Ανατολή, την Ευρώπη, την Ασία και την Αφρική. Μία φορά μάλιστα, παραβιάστηκε ένας υπολογιστής στις Ηνωμένες Πολιτείες, αλλά το κακόβουλο λογισμικό απεγκαταστάθηκε μέσα σε λίγες ώρες, υποδεικνύοντας ότι η μόλυνση ήταν κατά πάσα πιθανότητα ακούσια.
Μόλις το WikiLeaks ξεκίνησε την δημοσίευση των αρχείων της CIA, η Symantec διαπίστωσε ότι ορισμένα από τα έγγραφα αυτά περιείχαν πληροφορίες που συνδέονται στενά με την ανάπτυξη ενός εργαλείου της Longhorn, που ονομάζεται Corentry trojan. Η Symantec ανακοίνωσε ότι το εργαλείο διαθέτει νέα χαρακτηριστικά που ανακάλυψε όταν κατάφερε να συλλέξει παραπάνω δείγματα.
Η Symantec αναφέρει ότι έχει εντοπίσει την Longhorn από το 2014 όταν τράβηξε την προσοχή τους με τη χρήση ενός zero-day exploit που είχαν ενσωματώσει σε ένα έγγραφο του Word. Άλλα malware που έχουν χρησιμοποιηθεί από την Longhorn είναι τα Corentry, Backdoor.Trojan.LH1, και Backdoor.Trojan.LH2.
Πριν από τις αποκαλύψεις του WikiLeaks, η Symantec πίστευε ότι η ομάδα Longhorn ήταν μια ομάδα με πολύ καλή χρηματοδότηση που ασχολείται με επιχειρήσεις συλλογής πληροφοριών. Οι χρονικές σφραγίδες για το έργο της ομάδας δείχνει ότι οι hackers εργάζονται από Δευτέρα έως Παρασκευή, κάτι που έκανε αρκετά σαφές ότι η ομάδα ήταν κάποιας κρατικής υπηρεσίας.