Kali ini para peneliti dari Symantec melaporkan bahwa berhasil menghubungkan tool hacking CIA ke berbagai cyber attack yang nyata. Kejadian cyber attack tersebut terjadi beberapa tahun terakhir yang dilakukan terhadap sektor pemerintah dan swasta di seluruh dunia. Katanya, 40 kejadian cyber attack dilakukan oleh Longhorn.
Longhorn, sebuah grup hacking Amerika Utara yang sudah aktif setidaknya sejak 2011. Mereka sudah didentifikasi menggunakan trojan backdoor dan meluncurkan serangan zero-day. Yang mana peluncuran serangan mereka menargetkan pemerintah, keuangan, energi, telekomunikasi, pendidikan, aerospace, dan sektor SDA.
Meskipun target mereka semua di Timur Tengah, Eropa, Asia, dan Afrika, para peneliti mengatakan mereka sesekali menginfeksi komputer di AS. Namun, uninstaller segera diluncurkan dalam waktu satu jam. Yang mana menunjukan bahwa korban terinfeksi secara tidak sengaja.
Menariknya, Symantec menghubungkan tool dan varian malware CIA yang diungkap WikiLeaks ke operasi spionase cyber dan hacking Longhorn.
Fluxwire (Dibuat oleh CIA) ≅ Corentry (Dibuat oleh Longhorn)
Fluxwire, sebuah spionase cyber malware yang diduga dibuat oleh CIA. Dan disebutkan dalam dokumen Vault 7, berisi changelog dari tanggal ketika fitur baru yang ditambahkan. Yang mana menurut Symantec, sangat mirip dengan siklus pengembangan “Corentry”. Sebuah malware yang diciptakan oleh grup hacking Longhorn.
“Versi awal Corentry dilihat oleh Symantec terkandung referensi ke path file untuk program database (PDB) Fluxwire,” Symantec menjelaskan. “Penghapusan list path lengkap untuk PDB dalam dokumen Vault 7 sebagai salah satu perubahan yang diimplementasikan dalam versi 3.5.0.”
“Sampai 2014, versi Corentry disusun menggunakan GCC [GNU Compiler Collection]. Menurut dokumen Vault 7, Fluxwire beralih ke compiler MSVC untuk versi 3.3.0 pada 25 Februari 2015. Hal ini tercermin dalam sampel Corentry, di mana versi dikompilasi pada 25 Februari 2015, telah menggunakan MSVC sebagai kompilator.”
Modul Malware Yang Sama
Spesifikasi lain dari Vault 7 rincian dokumen ‘Fire and Forget’ payload dan modul loader malware yang disebut Archangel. Yang diklaim Symantec, “kecocokan hampir sempurna dengan backdoor Longhorn yang disebut Plexor”.
“Spesifikasi payload dan antarmuka yang digunakan untuk load itu sangat cocok dengan tool Longhorn lain yang disebut Backdoor.Plexor,” kata Symantec.
Penggunaan Praktek Protokol Kriptografi Yang Sama
Dokumen CIA lain yang bocor menguraikan protokol kriptografi yang digunakan dalam malware. Seperti enkripsi AES dengan key 32-bit, kriptografi inner dalam SSL untuk mencegah serangan man-in-the-middle, dan pertukaran key sekali per koneksi.
Satu dokumen CIA yang bocor juga merekomendasikan penggunaan memori string de-obfuscation dan Real-time Transport Protocol (RTP) untuk berkomunikasi dengan command-and-control (C&C) server.
Menurut Symantec, rute protokol dan komunikasi praktek kriptografi tersebut juga digunakan oleh grup Longhorn di semua tool hacking-nya.
Secara keseluruhan, fungsi yang dijelaskan dalam dokumen CIA dan kegiatan grup Longhorn meninggalkan “sedikit keraguan bahwa kegiatan Longhorn dan tool dalam dokumen Vault 7 adalah karya dari kelompok yang sama.“
