Symantec dokumentiert Verbindung zwischen angeblichen CIA-Tools und weltweiten Attacken
In mindestens 16 Ländern attackierte eine Gruppe namens Longhorn Firmen, Organisationen und Regierungen. Und Longhorn nutzte dabei die jetzt von Wikileaks als Vault 7 veröffentlichten, angeblichen CIA-Tools, stellt Symantec fest.
Bis ins Jahr 2011 reichen die Spuren für Angriffe, die Symantec einer Gruppe namens Longhorn zuschreibt: 40 Ziele in über 16 Ländern. Oft waren Regierungen oder internationale Konzerne die Opfer. Das interessante dabei: Die Vorgehensweise und Tools der "Hacker" zeigen erstaunliche Übereinstimmungen mit dem, was sich in den Vault-7-Leaks findet. Und das stammt mit ziemlicher Sicherheit von der amerikanischen CIA.
Besonders hebt Symantec den Longhorn-Trojaner Corentry hervor. Dessen Entwicklung korreliert auffällig mit der von Fluxwire, dessen detaillierte Timeline sich in den Vault-7-Dokumenten findet, erklärt Symantec in einem Blog-Beitrag. So wechselten laut Vault7 die Entwickler von Fluxwire am 25. Februar 2015 den Compiler von GCC zu MS Visual C. Am gleichen Tag wurde offenbar auch die erste mit MSVC übersetzte Corentry-Version kompiliert, die Symantec ins Netz ging.
Keine Ziele in den USA attackiert
Darüber hinaus deckt sich die Art und Weise wie das in Vault7 beschriebene Backdoor-Programm Archangel operiert, demnach recht deutlich mit einer von Longhorn eingesetzten Malware namens Plexor. Auffällig ist auch, dass Longhorn anscheinend keine Ziele in den USA attackierte. In nur einem einzigen Fall registrierte Symantec eine Longhorn-Infektion auf einem Computer in den USA; die Malware deinstallierte sich jedoch innerhalb weniger Stunden selbst.
Es spricht einiges dafür, dass die Longhorn-Gruppe tatsächlich zumindest im Auftrag der CIA agierte. Was jedoch verwundert: Unter den Zielen von Longhorn-Angriffen finden sich neben Regierungen auch Firmen aus den Bereichen Finanzen, Telekommunikation, Energie, Luftfahrt und IT; klassische Terroristen hingegen, wie man sie eigentlich im Fokus der CIA-Aktivitäten vermuten würde, finden sich nicht auf der Liste. Aber vielleicht liegt das ja auch daran, dass der IS kein Norton benutzt. (ju)