Обнаружена связь между ЦРУ и кибершпионской группировкой Longhorn

Исследователи Symantec обнаружили связь между опубликованными в прошлом месяце хакерскими инструментами ЦРУ и кибершпионской группой, ответственной как минимум за 40 кибератак в 16 странах. О группе впервые стало известно в 2014 году, когда эксперты зафиксировали атаки, имеющие североамериканское происхождение. В Symantec ее назвали Longhorn, а в «Лаборатории Касперского» – Lamberts.

Когда в прошлом месяце портал WikiLeaks начал публикацию секретных документов, предположительно похищенных у ЦРУ, исследователи Symantec взялись за их изучение. В большинстве своем документы представляют собой инструкции для различных хакерских инструментов. Как оказалось, во многих из них описываются техники и методы, характерные для Longhorn.

По словам экспертов, время разработки и технические спецификации используемых группировкой инструментов совпадают с данными из документов ЦРУ. Longhorn использует те же криптографические протоколы и методы обхода обнаружения, что были описаны в документах.

Характеристики трояна, детектируемого продуктами Symantec как Trojan.Corentry, совпадают с характеристиками описанного в документах ЦРУ инструментом Fluxwire. Время обновления программы соответствует времени обнаружения экспертами в Corentry новых функций. Функционал инструмента Fire and Forget для загрузки в пользовательском режиме ПО Archangel, совпадает с функционалом бэкдора Plexor (по версии Symantec).