ויקיליקס: ה-CIA השתמש בסוס טרויאני רוסי לשתילת תוכנות זדוניות

פרסום חדש של ויקיליקס (WikiLeaks) מציג טענה שלפיה ה-CIA האמריקני "לווה" חלק מקוד של סוס טרויאני שנחשד כרוסי במקורו, ושדלף לאינטרנט לפני כארבע שנים. מטרתו של ארגון הביון הייתה לחזק את פעולות הפריצה מטעמו.

בחודש שעבר החל ארגון ויקיליקס לשחרר אוסף של קבצים סודיים שהושגו לכאורה על ידי ה-CIA ועוררו סערה בעולם ההיי-טק. ארגון ההדלפות פרסם מסמכים מפורטים שלדבריו, מקורם בסוכנות הביון האמריקנית, שמעידים על יכולתה, כביכול, לחדור למכשירים טכנולוגיים רבים ולפצח את תוכנם. האתר טוען כי היכולות הללו מסוכנות, והן הסיבה לחשיפות.

ההדלפות הראשונות, מתחילת מרץ, תיארו כיצד הסוכנות מתחזקת ספרייה שלמה של טכניקות פריצה שהשאילה מתוכנות זדוניות אחרות שמסתובבות בשטח.

חלקים מקוד Carberp Trojan בתוך Grasshopper

בסוף השבוע (ו') פרסם ארגון חושפי השחיתויות 27 מסמכים שלכאורה מפרטים כיצד ה-CIA התאים את התוכנות הזדוניות ל-Windows. לפי הדברים, ה-CIA "לווה" כמה אלמנטים מהתוכנה הזדונית הפיננסית Carberp לצורך פיתוח כלי פריצה משלה המכונה Grasshopper (חגב).

אל Carberp מתייחסים בעולם הסייבר כאל סוס טרויאני שיכול לגנוב נתונים בנקאיים שנמצאים ברשת ומידע פיננסי אחר ממחשבי הקורבנות. הסוס הטרויאני, שככל הנראה הגיע במקור מעולם הפשע, השאיר חותם בעייתי במיוחד ברוסיה ובשאר מדינות ברית המועצות לשעבר. כשקוד המקור דלף ב-2013, הוא עורר דאגה גדולה בקהילת האבטחה, בשל החשש שהוא יכול להביא ליותר מתקפות ופשעי סייבר.

הפרסומים האחרונים של ויקיליקס כוללים מדריכים לכאורה של ה-CIA, שמראים שהסוכנות התעניינה בתוכנה הזדונית בכלל, ובפרט בדרך שבה היא יכולה לשרוד ולהתיישב על מחשבים מבוססי Windows.

באחד המדריכים, שיצא בינואר 2014, כתב ארגון הביון, על פי הפרסום, כי "ה-Persistence module וחלקים מקובץ ההתקנה נלקחו ושונו, כך שיתאימו לצרכינו".

המטרה: לסייע לאנשים לזהות את כלי הפריצה של ה-CIA

לא ברור מדוע בחרה הסוכנות דווקא ב-Carberp. עם זאת, האלמנטים השאולים היו בשימוש רק ב-Persistence module אחד, שיועד ל-Grasshopper של ה-CIA. באחד המסמכים נטען כי כלי זה נועד לבנות תוכנות זדוניות מותאמות אישית עם תצורות שונות.

פרסומיה האחרונים של ויקיליקס מתארים מספר מודולים נוספים שעובדים עם Grasshopper בכדי לאפשר לתוכנות זדוניות להישאר במחשב, כגון על ידי מינוף ה-Windows Task Scheduler או מפתח הרישום של Windows. בפרסומים מיום ו' לא נכלל אמנם קוד מקור, אך המסמכים יסייעו, ככל הנראה, לאנשים לזהות את כלי הפריצה של ה-CIA – מה שנראה שעומד מאחורי הבחירה של ויקיליקס לשחרר את המידע המסווג.

עד כה סירבה סוכנות הריגול האמריקנית להגיב על האותנטיות של המסמכים שאותם מפרסמת ויקיליקס באחרונה.