Symantec mener å ha funnet bevis for at hackerverktøyene og protokollene som er beskrevet i den omfattende Vault 7-lekkasjen til Wikileaks har blitt brukt i angrep mot minst 40 mål i 16 ulike land. Bak samtlige skal det stå en gruppe som Symantec har fulgt i tre år og gitt kallenavnet Longhorn.
Vault 7-samlingen skal angivelig stamme fra CIA.
Ifølge Symantec har man kunnet se at bruken av angrepsverktøyene stemmer godt overens med utviklingstidslinjene og de tekniske spesifikasjonene som har blitt avslørt i dokumentene som har blitt lekket av Wikileaks.
Les mer: Wikileaks med diger lekkasje om CIAs eget skadevarearsenal
Kompilatorskifte
Blant annet nevnes det et tilfelle hvor man har sett at en skadevarefamilie på et tidspunkt har gått over fra å bli kompilert med gcc til å bli kompilert med en Microsoft Visual Studio-kompilator. Dette tidspunktet stemmer overens med tidspunkter oppgitt i Vault 7-dokumentene.
Blant annet benyttes de samme kryptografiske protokollene og de samme retningslinjene for å unngå å bli oppdaget.
Ifølge Symantec har Longhorn vært aktive i alle fall siden 2011. De skal i stor grad ha benyttet trojanere som oppretter bakdører, men også utnyttet nulldagssårbarheter i programvaren til målene.
Innbruddene skal ha skjedd hos både nasjonale myndigheter, internasjonale virksomheter, samt selskaper i bransjer som finans, energi, luftfart, informasjonsteknologi, utdanning og naturressurser.
Les også: Wikileaks-lekkasje minner mer om Bond enn om Snowden
Knapt noe funn i USA
Symantec oppgir i liten grad hvilke enkeltland som har blitt berørt av angrepene, men forteller at landene ligger i Midtøsten, Europa, Asia og Afrika. I ett tilfelle skal en datamaskin i USA ha blitt kompromittert og infisert. Men der ble skadevare avinstallert igjen etter noen få timer, noe som får Symantec til å tro at det dreier seg om en utilsiktet infisering.
Sikkerhetsselskapet opplyser også at det er mye som indikerer at Longhorn er fra et engelsktalende, nordamerikansk land. Dette dreier seg blant annet om akronymer og uttrykk som er brukt i skadevaren. Et eksempel er MTWRFSU (Monday Tuesday Wednesday ThuRsday Friday Saturday SUnday), som er vanlig å bruke i akademiske kalendere i Nord-Amerika.
Av ulike tidsstempler kan man også se at gruppen har fulgt vanlig arbeidstid, fra mandag til fredag, noe som kjennetegner statssponsede hackergrupper, men ikke bare i USA.
Leste du denne? Flere spionverktøy fra både CIA og NSA skal ha blitt lekket