Symantec mener å ha funnet bevis for at hackerverktøyene og protokollene som er beskrevet i den omfattende Vault 7-lekkasjen til Wikileaks har blitt brukt i angrep mot minst 40 mål i 16 ulike land. Bak samtlige skal det stå en gruppe som Symantec har fulgt i tre år og gitt kallenavnet Longhorn.
Vault 7-samlingen skal angivelig stamme fra CIA.
Ifølge Symantec har man kunnet se at bruken av angrepsverktøyene stemmer godt overens med utviklingstidslinjene og de tekniske spesifikasjonene som har blitt avslørt i dokumentene som har blitt lekket av Wikileaks.
Les mer: Wikileaks med diger lekkasje om CIAs eget skadevarearsenal
Kompilatorskifte
Blant annet nevnes det et tilfelle hvor man har sett at en skadevarefamilie på et tidspunkt har gått over fra å bli kompilert med gcc til å bli kompilert med en Microsoft Visual Studio-kompilator. Dette tidspunktet stemmer overens med tidspunkter oppgitt i Vault 7-dokumentene.
Blant annet benyttes de samme kryptografiske protokollene og de samme retningslinjene for å unngå å bli oppdaget.
Ifølge Symantec har Longhorn vært aktive i alle fall siden 2011. De skal i stor grad ha benyttet trojanere som oppretter bakdører, men også utnyttet nulldagssårbarheter i programvaren til målene.
Innbruddene skal ha skjedd hos både nasjonale myndigheter, internasjonale virksomheter, samt selskaper i bransjer som finans, energi, luftfart, informasjonsteknologi, utdanning og naturressurser.
Les også: Wikileaks-lekkasje minner mer om Bond enn om Snowden
Knapt noe funn i USA
Symantec oppgir i liten grad hvilke enkeltland som har blitt berørt av angrepene, men forteller at landene ligger i Midtøsten, Europa, Asia og Afrika. I ett tilfelle skal en datamaskin i USA ha blitt kompromittert og infisert. Men der ble skadevare avinstallert igjen etter noen få timer, noe som får Symantec til å tro at det dreier seg om en utilsiktet infisering.
%2520og%2520Magnus%2520Oxenwaldt%2520.jpg)
Sikkerhetsselskapet opplyser også at det er mye som indikerer at Longhorn er fra et engelsktalende, nordamerikansk land. Dette dreier seg blant annet om akronymer og uttrykk som er brukt i skadevaren. Et eksempel er MTWRFSU (Monday Tuesday Wednesday ThuRsday Friday Saturday SUnday), som er vanlig å bruke i akademiske kalendere i Nord-Amerika.
Av ulike tidsstempler kan man også se at gruppen har fulgt vanlig arbeidstid, fra mandag til fredag, noe som kjennetegner statssponsede hackergrupper, men ikke bare i USA.
Leste du denne? Flere spionverktøy fra både CIA og NSA skal ha blitt lekket
