Nadat gisteren het Amerikaanse beveiligingsbedrijf Symantec een analyse over de vermeende hacktools van de CIA online zette heeft ook het Russische anti-virusbedrijf Kaspersky Lab dit gedaan. De beveiligingsbedrijven baseren zich op documenten die door WikiLeaks openbaar zijn gemaakt.
Het gaat om documenten die van de CIA afkomstig zouden zijn en informatie over allerlei tools, malware en exploits bevatten. De beveiligingsbedrijven zagen overeenkomsten tussen informatie uit de documenten en in het wild aangetroffen malware. Volgens Symantec, dat de groep Longhorn noemt, is de malware bij 40 aanvallen in 16 landen aangetroffen. Kaspersky Lab, dat de groep The Lamberts noemt, geeft geen aantallen aanvallen of landen, maar stelt dat de groep zeker sinds 2008 al geraffineerde tools tegen doelen inzet. Bij één van die aanvallen werd een zerodaylek in Windows gebruikt.
Naast malware voor Windows is er ook malware voor macOS van The Lamberts aangetroffen. De onderzoekers stellen dat er een grote kans is dat malware van deze groep hackers ook voor Linux beschikbaar is. Als het gaat om complexiteit vergelijkt Kaspersky Lab The Lamberts met andere groepen zoals Regin, ProjectSauron, Equation Group en Duqu2. De Equation Group is volgens verschillende beveiligingsbedrijven een groep hackers die voor de Amerikaanse inlichtingendienst NSA werkt.
Wat verder opvalt zijn de namen die de vermeende CIA-hacktools gebruiken, zoals Beard Blue, Gordon Flash, Funnelcake Carnival, Doublesided Scoobysnack, True Crime, Prosper Spock, Cod Fish, Gai Shu, Ringtoss Carnival, Inverted Shot, Ape Escape, Spock Logical, Pizza Assault en Snow Blower. Het gaat hier om referenties naar Amerikaanse carnavalsevenementen, Star Trek en computerspelletjes. Ondanks de complexiteit en bijna foutloze operaties en code vonden de onderzoekers in één malware-exemplaar een verwijzing naar het systeem waarop de malware was gemaakt.
"The Lamberts-toolkit omspant meerdere jaren, waarbij de meeste activiteit zich in 2013 en 2014 voordeed. De toolkit bestaat uit zeer geraffineerde malware, die van verschillende geavanceerde technieken gebruikmaakt om netwerkverkeer te sniffen, plug-ins in het geheugen te draaien zonder data naar de harde schijf te schrijven en exploits te gebruiken tegen gesigneerde drivers om ongesigneerde code op 64-bit Windows te draaien", aldus de conclusie van de onderzoekers. Ze merken op dat het om één van de meeste geavanceerde cyberspionagetoolkits gaat die ze ooit hebben gezien.
Deze posting is gelocked. Reageren is niet meer mogelijk.