Vault 7: CIA angeblich für Cyberangriffe in 16 Ländern verantwortlich

Symantec hat eine Verbindung zwischen Cyberangriffen in mindestens 16 Ländern und dem US-Geheimdienst Central Intelligence Agency (CIA) gefunden. Einige der in den Vault-7-Dokumenten beschriebenen Hacking-Tools der CIA entsprechen Werkzeugen, die bei diesen Angriffen eingesetzt wurden. Unter anderem benutzt die bisher von Symantec nur als Longhorn bezeichnete Gruppe Kryptografie-Protokolle, die in den von Wikileaks veröffentlichten Unterlagen erwähnt werden.

„Die von Longhorn eingesetzten Werkzeuge folgen der zeitlichen Entwicklung und den technischen Spezifikationen in den von Wikileaks öffentlich gemachten Dokumenten“, schreibt Symantec in seinem Blog. „Angesichts der vielen Gemeinsamkeiten zwischen den Tools und Techniken kann es nur wenig Zweifel daran geben, dass die Aktivitäten von Longhorn und die Vault-7-Dokumente die Arbeit derselben Gruppe sind.“

Als Beleg für diese Behauptung führt Symantec unter anderem ein Vault-7-Dokument an, das ein Changelog mit Datumsangaben für die Entwicklung neuer Funktionen einer CIA-Malware namens Fluxwire enthalten soll. Diese Daten sollen mit der Entwicklung eines Longhorn-Tools übereinstimmen, das Symantec als Trojan.Corentry identifiziert. „Neue Funktionen von Corentry erschienen stets in den Symantec vorliegenden Mustern am in den Vault-7-Dokumenten genannten Tag oder wenige Tage später, was wenig Zweifel daran lässt, dass Corentry die in dem Dokument genannte Malware ist“, ergänzte das Unternehmen.

Darüber hinaus enthalten beide Schadprogramme Hinweise auf dieselben Dateipfade für eine Programm-Datenbank. Auch ein Wechsel des Compilers von GCC zu MSVC, wie Symantec ihn bei Corentry festgestellt hat, soll in den Unterlagen zu Fluxwire für dasselbe Datum dokumentiert sein. Weitere Parallelen entdeckte Symantec zwischen einem CIA-Tools namens Archangel und der Longhorn-Malware Backdoor.Plexor.

Longhorn ist laut Symantec seit mindestens 2011 aktiv. In der Zeit habe die Gruppe 40 Ziele in mindestens 16 Ländern im Mittleren Osten, Europa, Asien und Afrika infiziert. Nur in einem Fall sei ein Computer in den USA kompromittiert worden, für den innerhalb weniger Stunden ein Uninstaller gestartet worden sei. Das wertet Symantec als Beleg dafür, dass dieser Rechner versehentlich angegriffen wurde.

Unter anderem seien Regierungen und internationale Organisationen sowie Ziele in den Bereichen Finanzen, Telekommunikation, Energie, Luftfahrt, Informationstechnologie, Bildung und Bodenschätze infiltriert worden. Longhorn nutze eine Vielzahl an Zero-Day-Lücken und Backdoor-Trojanern, um gegen seine Opfer vorzugehen. Plexor sei beispielsweise über die 2014 entdeckte Word-Zero-Day-Lücke CVE-2014-4148 verbreitet worden.

Abschließend betont Symantec in seinem Blog, dass die im Zusammenhang mit Longhorn entdeckten Tools, Techniken und Verfahren nur von dieser Gruppe eingesetzt wurden. Das sieht das Unternehmen als weiteren Beweis dafür an, dass die Vault-7-Unterlagen der CIA Aktivitäten von Longhorn beschreiben.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

17 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

19 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

20 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

23 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

23 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

24 Stunden ago