Wikileaks hat ja unter dem Namen Vault 7 angebliche CIA-Hacker-Tools geleakt. Sicherheitsspezialist Symantec berichtet jetzt, dass Tools aus diesem Leak von einer Gruppe namens Longhorn weltweit für Angriffe verwendet wird.
Anzeige
Die Informationen finden sich im Symantec-Blog – Arstechnica (Englisch) und heise.de (Deutsch) haben entsprechende Artikel mit den Erkenntnissen veröffentlicht.
Aktivitäten der Gruppe Longhorn, die Firmen, Organisationen und Regierungen in mindestens 16 Ländern in der Vergangenheit angegriffen hat, lassen sich bis in das Jahr 2011 zurück verfolgen. Laut Symantec lassen sich ziemliche Übereinstimmungen bei den bekannten 40 Angriffen mit Informationen aus dem Vault 7 Leak feststellen.
Der für die Angriffe verwendete Trojaner Corentry gleicht erstaunlich dem im Vault 7 Leak beschriebenen Fluxwire. Schaut man sich die Entwicklung von Fluxwire in den Vault 7-Informationen an, wird man stutzig. Bei Fluxwire haben die Entwickler z.B. am 25. Februar 2015 den Compiler ausgetauscht und sind von GCC zu MS Visual C gewechselt. Am gleichen Tag wurde auch der Compiler für den Trojaner Corentry mit Visual C übersetzt.
Merkwürdig ist laut Symantec auch, dass keine Ziele in den USA angegriffen wurden. Wenn man nun annimmt, dass die Vault 7 Tools aus den Arsenalen des CIA stammen, drängt sich schon auf, dass die Gruppe Longhorn direkten Zugriff auf diese CIA-Infrastruktur hat. Möglicherweise arbeiten die im Auftrag von – ja wem wohl? Weitere Details findet ihr in den verlinkten Artikeln.
Anzeige
Anzeige
Ich habe bisher leider keine weiteren Informationen zu meinen folgenden Fragen gefunden:
Erfolgt eine Infektion alleine durch Öffnen der Dateien mit Office ohne weiteres Zutun (wie Inhalte aktivieren klicken) ?
Kann eine Infektion auch durch Öffnen der Dateien mit OpenOffice/LibreOffice stattfinden ?
Es soll sich um ein OLE-Problem handeln, könnte das auch durch ein Windows-Update (nicht Office-Update) gefixt werden ?