Vault 7, WikiLeaks'in 7 Mart 2017'de yayınladığı, Amerika Birleşik Devletleri Merkezi Haberalma Teşkilatı'nın elektronik gözetimi ve siber harekâtı gerçekleştirme etkinlik ve yeteneklerini açıklayan bir dizi belgedir. 2013-2016 tarihli dosyalar, teşkilatın yazılım yetenekleri hakkındaki ayrıntıları, örneğin otomobillerden, akıllı TV'lerden, internet tarayıcılarından (Google Chrome, Microsoft Edge, Mozilla Firefox, ve Opera Software ASA dâhil) ve çoğu akıllı telefon işletim sistemi (Apple'ın iOS'u ve Google'ın Android işletim sistemi dâhil) yanı sıra Microsoft Windows, MacOS ve Linux gibi diğer işletim sistemlerinden veri ve bilgi çekmesi olayını anlatmaktadır.
WikiLeaks, Şubat 2007 başında, bir dizi esrarlı tweet ile "Vault 7"nin yayınlanmasına başladı.1 16 Şubat 2017'de WikiLeaks, CIA'nın 2012 Fransa başkanlık seçimini nasıl izlediğini anlatan CIA belgelerini yayımladı.2 Bu sızıntı için yapılan basın açıklamasında, "gelecek CIA Vault 7 serisinin bağlamı" olarak yayınlandığı bildirildi.3
8 Mart 2017'de ABD istihbarat ve kolluk yetkilileri, uluslararası haber ajansı Reuters'e 2016 yılı sonundan bu yana Vault 7'ye yol açan CIA güvenlik ihlalinden haberdar olduklarını söyledi. İki yetkili, sızıntının en olası kaynağı olarak "anlaşmalı taraf"lara odaklandıklarını belirtti.4
"Year Zero" (Anlamı: Yıl Sıfır) olarak adlandırılan ilk belge kümesi, 7 Mart 2017'de WikiLeaks tarafından yayınlandı ve daha önce eski NSA personeli ve sızdırıcısı olan Edward Snowden'ın NSA yayımından daha fazla sayfa içeren Siber İstihbarat Merkezi'nden5 943 ek dosya içeren 7,818 web sayfasını içeriyordu.6 WikiLeaks kaynağa isim vermedi ancak dosyaların "eski ABD hükûmetinin bilgisayar korsanları ve anlaşmalı taraflar arasında yetkisiz olarak dolaştırıldığını ve bunlardan birinin arşivin bir bölümünü WikiLeaks'e vermiş olduğunu" söyledi.7 WikiLeaks'e göre, kaynak "güvenlik, yaratma, kullanma, çoğaltılma ve siber silahların demokratik kontrolü konusunda kamuya açık bir tartışma başlatmak istiyor" çünkü bu araçlar kamuoyunda acil bir şekilde tartışılması gereken CIA'nın saldırıları da dahil olmak üzere yeteneklerini, yetki güçlerini ve kurumun kamu gözetim problemini aşıyor"du.8
WikiLeaks, insanlar arasındaki bağlantıların WikiLeaks tarafından üretilen benzersiz tanımlayıcılar yardımıyla çizilmeye çalışılmasına neden olurken, belgeler serbest bırakılmadan önceki belgelerden9 isimleri ve diğer tanımlayıcı bilgileri silerek belgeleri tekrar düzenlemiştir.1011 Ayrıca, bildirildiğine göre birkaç yüz milyon satır uzunluğundaki siber silahların kaynak kodunun serbest bırakılmasının erteleneceğini de belirtti ve "CIA programının teknik ve siyasi niteliği konusunda bir fikir birliğine varılıncaya kadar ve bu tür 'silahların' nasıl olması gerektiği de analiz edildi, silahsızlandırma çalışması yapıldı ve yayınlandı."12 WikiLeaks kurucusu Julian Assange, bunun daha büyük bir serinin sadece bir parçası olduğunu iddia etti.13
CIA açıklamasında, "Amerikan kamuoyu, İstihbarat Topluluğu'nun Amerika'yı teröristlere veya diğer düşmanlara karşı koruma kabiliyetine zarar verecek şekilde tasarlanmış WikiLeaks açıklamalarıyla derinden rahatsız edilmektedir ve bu tür açıklamalar sadece ABD personelini ve operasyonlarını tehlikeye atmakla kalmamakla birlikte rakiplerimizin, bize zarar verebilecek araç ve bilgilere sahip olmalarını sağlamaktadır" diye söyledi.14
Assange, Vault 7'de, teknoloji kuruluşlarının, birlikte yayınlanmamış verileri paylaşmak için 9 Mart'ta düzenlediği basın toplantısında, ayrıntılarıyla açıklanan güvenlik açıklarını düzeltmelerini sağladı. Toplam sızıntının yalnızca %1'inin serbest olduğunu ve kaçağın geri kalan kısmının düzeltilmemiş güvenlik açıklarını içerdiğini belirtti; ancak bu güvenlik açıklarını düzeltmek için Microsoft, Apple ve Google ile birlikte çalıştığını belirtti; Halk tehlikeye girecek ve üreticiler tarafından düzeltmeler yapıldığında güvenlik açıklarının ayrıntılarını açıklayacaktı. Bu nedenle, şu anda piyasaya çıkan güvenlik açıklarından hiçbiri sıfır gün açığı (zero-day exploit) değildir. Bu basın bülteninde, Assange, hükûmet siber silahlarından insanları koruyacak "bir sonraki Cenevre Sözleşmesi"'ne ilişkin Microsoft'un, önceki Cenevre Sözleşmelerinin savaşa karşı savaşan kişileri korumadığı şeklindeki resmi bir açıklamasını da okudu.15
Assange, 19 Mart 2017'de yayınlanan bildiride, temas kuran teknoloji şirketlerinin WikiLeaks'in standart endüstri açıklama planı olarak gördüğü şeyi kabul etmediklerini, görüş alışverişinde bulunmadıklarını veya şirketlerin bunu sorgulamadıklarını söyledi. Bir güvenlik açığı için standart açıklama süresi, yazılımın yüklenmesinden sorumlu şirkete bu kusurun tüm ayrıntılarını verdikten sonra 90 gündü.16 WikiLeaks'e göre, "Google ve diğer bazı şirketler" yalnızca ilk bildirimin alındığını doğrularken, güvenlik açıklarıyla ilgili olarak yalnızca Mozilla'ya bilgi sağlamıştı. WikiLeaks şunları söyledi: "Bu geciken şirketlerin çoğu, ABD devlet kurumlarıyla yaptıkları gizli çalışmaları nedeniyle çıkar çatışması yaşamaktadır." Uygulamada bu gibi ortaklıklar, ABD güvenlik açıkları konusunda endüstri personelini, CIA'den sızdırılmış bilgilere dayanarak delik açmaya zorlar. Bu tür şirketler kullanıcılarını CIA veya NSA saldırılarına karşı korumamayı seçerse, kullanıcılar, hükûmet sözleşmeleri üzerinden kullanıcılarına öncelik veren Mozilla veya Avrupalı şirketler gibi oluşumları tercih edebilir"di.1718
23 Mart 2017'de WikiLeaks, Vault 7 bölüm 2 "Dark Matter"'ı (Anlamı: Karanlık Madde) yayınladı. Bu yayın, Apple'ın iPhone'larını ve Mac'lerini çentmek (hack) için yapılan birkaç CIA çabasıyla ilgili belgeleri içermektedir.192021
31 Mart 2017'de WikiLeaks Vault 7 bölüm 3 "Marble"'ı (Anlamı: Mermer) yayınladı. CIA'in "Marble Framework"'ü 676 kaynak kod dosyası içeriyordu. Virüsten koruma şirketlerinin veya araştırmacıların kodu anlayamayacakları veya kaynak kodlamayacakları bir hale getirmek için kötücül yazılım kodunu karartmak veya karıştırmak için kullanılmaktadır. WikiLeaks'e göre, kod ayrıca, karartma etkilerini tersine çevirmek için bir 'de-obfuscator' da (kodları parçalara ayırıcı araç) içeriyordu.222324
7 Nisan 2017'de WikiLeaks, "Grasshopper" (Anlamı: Çekirge) olarak adlandırılan Vault 7 bölüm 4'ü yayınladı. Yayın, CIA'in Grasshopper çatısından 27 belge içermektedir. Microsoft Windows işletim sistemleri için özelleştirilmiş ve sürekli malware yükleri oluşturmak için CIA tarafından kullanılmıştır. Grasshopper, Kişisel Güvenlik Ürünlerini (PSP - Personal Security Product) önlemeye odaklanmıştır. PSP'ler Microsoft Security Essentials, Symantec Endpoint veya Kaspersky Internet Security gibi virüsten koruma yazılımlarıdır.2526
14 Nisan 2017'de WikiLeaks "HIVE" (Anlamı: Kovan) başlıklı Vault 7 bölüm 5'i yayınladı. Temeli "Gömülü Geliştirme Kolu" (EDB - Embedded Development Branch) tarafından oluşturulan CIA'nın çok gizli virüs programına dayanmaktadır. WikiLeaks tarafından yayınlanan altı belgelik 'HIVE' çoklu platformlu CIA kötü amaçlı yazılım paketiyle ilgilidir. Hedef masaüstü bilgisayarlardan ve akıllı telefonlardan CIA'ye bilgi aktarmak için CIA tarafından kullanılan halka açık bir HTTPS arayüzüne sahip bir CIA arka uç altyapısı ve bu cihazları belirli görevleri yürütmek için CIA operatörlerinden gelen diğer komutları almak üzere açan araç ve görevlerden oluşur. Dinleme Kartı (LP - Listening Post) ve Komuta ve Kontrol (C2 - Command and Control) olarak da adlandırılır. Varlığını her şeyden önce kuşkucu olmayan kamu alan adlarının (Public domain) arkasına gizlenerek sürdürüyordu. Bu maskeleme arabirimi "Switchblade" olarak bilinir.27
21 Nisan 2017'de WikiLeaks, "Weeping Angel" (Anlamı: Ağlayan Melek) kod adlı Vault 7 bölüm 6'yı yayınladı. Bu, CIA ve MI5 tarafından ortak olarak geliştirilen bir kırıcı araçtır (hacking tool). Gizli istihbarat toplama amacıyla bir dizi akıllı TV'de kullanıldı. Bir USB çubukla (USB stick) uygun televizyonlara kurulduktan sonra, bu hack aracı, dahili mikrofonların ve muhtemelen video kameraların bulunduğu televizyonların çevresini kaydetmesini sağlarken, televizyonlar yanlışlıkla kapanmış gibi görünür. Kaydedilen veriler ya yerel olarak televizyon belleğine kaydedilir ya da internet üzerinden CIA'ya gönderilir. İddiaya göre hem CIA hem de MI5 organları bu kötü amaçlı yazılımları geliştirmek için işbirliği yaptı ve çalışmalarını Ortak Çalıştay İşliklerinden eşgüdümlü olarak kontrol etti.282930 Bu bölüm 6 yayınından itibaren "Weeping Angel", İngiliz televizyon programında Dr. Who'da "Dark Matter" başlıklı "Sonic Screwdriver" ile birlikte gösterilen ikinci önemli CIA hack aracıdır.3132
28 Nisan 2017'de WikiLeaks, "Scribbles" (Anlamı: Karalamalar) kod adlı Vault 7 bölüm 7'yi yayınladı. Sızıntı, belgeleri sızdıran kişiyi tam olarak izlemek için sınıflandırılmış belgelere web işareti etiketleri yerleştirerek, ihbarcılara ve gazetecilere sızdırılan belgeleri izlemek için tasarlanan bir aracın belgelerini ve kaynak kodunu içerir.3334
5 Mayıs 2017'de WikiLeaks, Vault 7 bölüm 8 "Archimedes"'i (Anlamı: Arşimet) yayınladı. Yayınlanan belgeleri çözümleyen ABD SANS Enstitüsü öğretim üyesi Jake Williams'a göre Archimedes, daha önce kod adı "Fulcrum" (Anlamı: Dayanak noktası) olan bir virüstür. Siber güvenlik uzmanı ve ENISA üyesi Pierluigi Paganini'ye göre, CIA uygulayıcıları kullanıcılara oturumlarda yönlendirmeden önce hedef alan bir bilgisayardan CIA tarafından denetlenen bilgisayar aracılığıyla yerel ağ (LAN) web tarayıcı oturumlarını yeniden yönlendirmek için 'Archimedes' kullanmaktadırlar. Bu tip bir saldırı, Aradaki adam saldırısı (MitM - Man-in-the-middle) olarak bilinir. Yayınlarıyla WikiLeaks, Archimedes virüsünü potansiyel olarak tanımlamak ve gelecekte buna karşı koruma sağlamak için kullanılabilecek yöntemleri öne süren bir dizi karma işlemi içermektedir. Paganini, olası hedef bilgisayarların sistemlerindeki karmaşaları sistemlerinin CIA tarafından saldırıya uğramış olup olmadığını kontrol etmek için içlerini tarayabileceğini belirtmiştir.35
12 Mayıs 2017'de WikiLeaks Vault 7 bölüm 9 "AfterMidnight and Assassin"i (Anlamı: Geceyarısından Sonra ve Suikastçı) yayınladı. 'After Midnight', hedef kişisel bilgisayarda yüklü olan ve bir DLL dosyası olarak gizlenmiş kötü amaçlı bir yazılımdır. Bu dosya işlemi, kullanıcının bilgisayarının yeniden başlatılması sırasında yürütülür. Ardından, CIA'nın Komuta ve Kontrol (C2 - Command and Control) bilgisayarıyla bağlantı kurarak çeşitli modülleri indirir. 'Assassin'e gelince, 'AfterMidnight' ile çok benzerdir, ancak aldatıcı bir şekilde Windows hizmeti sürecinde çalışır. CIA operatörleri, bir dizi görevi yürütmek, bilgi toplamak ve ardından kullanıcı verilerini CIA Dinleme Kartına (LP - Listening Post) düzenli olarak göndermek için Assassin'i Komuta ve Kontrol amacıyla kullanmıştır. Çalışma şekli bir arka kapı Truva atı davranışına benzer. Hem AfterMidnight hem de Assassin Windows işletim sistemlerinde çalışır, kalıcıdır ve görevlerini istemek veya CIA'e özel bilgi göndermek için belirli bir tarih ve saatte otomatik olarak kendiliğinden kaldırmaya yapılandırılmış Dinleme Kartına düzenli olarak işaret verirler.36
19 Mayıs 2017'de WikiLeaks, WikiLeaks Vault 7 bölüm 10 "Athena"yı yayınladı. Yayınlanan kullanım kılavuzu, gösterim ve ilgili belgeler Eylül 2015 ile Şubat 2016 arasında oluşturulmuştu. Bunların hepsi, Ağustos 2015'te CIA için geliştirilmiş olduğu iddia edilen bir kötücül yazılımla ilgiliydi. Microsoft'un Windows 10'u piyasaya sürdükten yaklaşık bir ay sonra kabaca Windows 10'dan ödün verilmesinin zor olduğunu açıklayan sert ifadeleriyle dikkat çekiyordu. Her iki birincil "Athena" zararlı yazılımı ve "Hera" adında ikincil bir kötücül yazılım, teoride bazı önemli farklar hariç Grasshopper ve AfterMidnight'taki kötü amaçlı yazılımlara benzemekteydi. Bu farklılıklardan biri Athena ve Hera'nın CIA tarafından Siege Technologies adlı New Hampshire merkezli özel şirketi ile geliştirilmiş olmasıdır. 2014'te Bloomberg'le yapılan bir röportaj sırasında Siege Technologies kurucusu bu gibi kötü amaçlı yazılımların geliştirilmelerini doğruladı. Hera, Windows Dnscache hizmetini gaspederken Athena zararlı yazılımı Windows'un Uzaktan Erişim hizmetlerini tamamen sekteye uğrattı. Hem Athena hem de Hera, Windows Server 2012 ve Windows 10'u kapsayan ancak bunlarla sınırlı olmayan Windows'un geçerli sürümlerini etkiler. Başka bir fark ise, virüslü bilgisayarlar ve CIA Dinleme Yayınları (LP - Listening Posts) arasında kullanılan şifreleme türleridir. Benzerlikler konusunda söylenecek olan, kalıcı DLL dosyalarını CIA LP'siyle iletişim kurmak, özel verileri çalmak, daha sonra CIA sunucularına göndermek veya hedef bilgisayardaki özel verileri silmek için bir arka kapı oluşturmak için kullanılmakta olunduğudur. CIA yetkilileri, saldırıya uğrayan bilgisayarda belirli görevleri daha da ileriye taşımak için ek zararlı yazılımlar göndermede Komuta ve Kontrol (C2) yapısını kullanmıştır. Yukarıdakilerin hepsi bilgisayar güvenlik yazılımını aldatmak için tasarlanmıştır.
Yayınlanan ayrıntılı belgelere rağmen, WikiLeaks, CIA'nin Athena'yı kullanıp kullanmadığını gösteren herhangi bir kanıt sunmamıştır.373839
1 Haziran 2017'de WikiLeaks Vault 7 bölüm 11 "Pandemic"i (Anlamı: Salgın) yayınladı. Bahsi geçen araç, paylaşılan klasörlerle ilgili olarak Windows makinelerini etkileyen kalıcı bir implant (nakil) görevi görmektedir. Etkilenen bir bilgisayarda bir dosya sistemi filtre sürücüsü olarak işlev görmekte ve yerel ağdaki diğer bilgisayarlardan indirme denemelerini algılarken Sunucu İleti Bloğu (SMB - Server Message Block) trafiğini dinlemektedir. "Pandemic", virüslü bilgisayar adına bir indirme isteğine cevap verecek yapıdadır. Ancak, geçerli dosyanın yerine kötü niyetli yazılımlar konabilir. Etkinliklerini karmakarışık hale getirmek için "Pandemic", asıl dosyayı değiştirmeden aktarmada yalnızca meşru dosyayı değiştirmekte veya vekil tayin etmektedir. Implant, bir seferde 20 dosyanın değiştirilmesini ve en çok 800 MB'lik bir dosya boyutuna sahip olmasını sağlar. "Pandemic" dosya sunucuları, aktarılan implant'ın yerel bir ağ üzerinde yeni hedeflere ulaşmasına izin verir.40
15 Haziran 2017'de WikiLeaks Vault 7 bölüm 12 "Cherry Blossom"ı (Anlamı: Kiraz çiçeği) yayınladı.
22 Haziran 2017'de WikiLeaks Vault 7 bölüm 13 "Brutal Kangaroo"yu (Anlamı: Vahşi Kanguru) yayınladı.
28 Haziran 2017'de WikiLeaks Vault 7 bölüm 14 "Elsa"yı yayınladı.
29 Haziran 2017'de WikiLeaks Vault 7 bölüm 15 "OutlawCountry"yi (Anlamı: Yasadışı Ülke) yayınladı.
6 Temmuz 2017'de WikiLeaks Vault 7 bölüm 16 "BothanSpy"ı yayınladı.
13 Temmuz 2017'de WikiLeaks Vault 7 bölüm 17 "Highrise"ı (Anlamı: Çok katlı) yayınladı.
UCL / Raytheon - 19 Temmuz 2017
Imperial - 27 Temmuz 2017
Dumbo - 3 Ağustos 2017
CouchPotato - 10 Ağustos 2017
ExpressLane - 24 Ağustos 2017
Angelfire - 31 Ağustos 2017
Protego - 7 Eylül 2017
Eski CIA Direktörü Michael Hayden özgünlükleri sorulduğunda, örgütün "söz konusu istihbarat belgelerinin esaslılığı veya içeriği hakkında yorum yapmayın" dedi.41 Bununla birlikte, anonimliği koşuluyla konuşan şu anki ve eski istihbarat yetkilileri, belgelerin aslî olduğu görüşündeydi.42 Belgelerin yayınlanmasından kısa süre sonra Edward Snowden, otantik görünüyor diye tweet attı.43 Texas Üniversitesi'nden hukuk profesörü ve Stratejik ve Uluslararası Çalışmalar Merkezi (CSIS - Center for Strategic and International Studies) Teknoloji ve Kamu Politikaları Programı Direktörü olan Robert M. Chesney, Vault 7'de bildirilen araçları NSA'in hack araçlarına benzetti ve kendisine Gölge Komisyoncuları olarak adlandıran bir grup tarafından 2016'da açıklandığını söyledi.44
15 Mart 2017'de Başkan Donald Trump bir röportaj sırasında "CIA saldırıya uğradı ve çok şey alındı" dedi.45 İddianamede ertesi gün, Meclis İstihbarat Komitesi'nin Sıralama Üyesi olan Adam Schiff, "Obama'yı bir kez daha suçlamak için yaptığı çaba gösterildiğinde, Başkan, doğru ve kesin olursa, aksi takdirde gizlilik derecesinde sınıflandırılmış bilgiler olarak düşünülmesi gereken bir şey yapmasını istedi" dedi.46
WikiLeaks, belgelerin "Langley, Virginia'da CIA'nın Siber İstihbarat Merkezi (CCI - Center for Cyber Intelligence) içinde yer alan, çevresinden yalıtılmış, yüksek güvenlikli bir ağdan geldiğini" belirtti.47 Belgeler, WikiLeaks'in Siber İstihbarat Merkezi'nin yapısını ve örgütlenmesini kısmen belirlemesine izin verdi. Bildirildiğine göre CCI'nin Apple ürünlerini tehlikeye atmaya adanmış bir birimi var.48
Siber güvenlik şirketi Symantec, Vault 7 belgelerini çözümledi ve açıklanan yazılımlardan bazılarının 2014 yılından beri izlediği "Longhorn" adlı grup tarafından yakınlarda bulunan siber saldırılara eşdeğer olduğunu tespit etti. Symantec, daha önce "Longhorn"'un hükûmet sponsorluğunda olduğunu ve 16 ülkedeki 40 hedefe karşı kullanımını izlediğinden şüpheleniyordu.4950
Vault 7 belgelerinin ilk kısmı 7 Mart 2017'de "Year Zero" kod adıyla kamuoyuna açıklandı ve Avrupa, Çin ve Orta Doğu saldırılarına başlangıç noktası olarak çok gizli bir CIA biriminin Alman kenti Frankfurt'u kullandığını açıkladı. Belgelere göre, ABD hükûmeti, Frankfurt'taki Başkonsolosluk Bürosu'nu siber operasyonlar için bir bilgisayar korsanlığı üssü olarak kullanıyor. WikiLeaks belgeleri, Avrupa Siber İstihbarat Merkezi'nin (CCIE - Center for Cyber Intelligence Europe) bir parçası olan Frankfurt bilgisayar korsanlarına, Almanya'ya giriş yapabilmeleri için gümrük memurlarına karmakarışık kimlik belgeleri ve diplomatik pasaportlar verildiğini ortaya koydu.5152
Karlsruhe'daki Federal Adalet Divanı Savcısı Peter Frank, 8 Mart 2017'de, hükûmetin bir soruşturma başlattığını açıkladı ve konsolosluğun yürüttüğü etkinlikler ve ayrıca Almanya'daki kişilerin CIA tarafından saldırıya uğramış olup olmadığı konusunda kapsamlı soruşturma başlattı.5354 Almanya Sosyal Demokrat Partisi'nden Almanya Dışişleri Bakanı olan Sigmar Gabriel, Vault 7 "Year Zero" belgelerine göre CIA'nın dijital casusluk operasyonları için bir üs olarak Frankfurt'u kullandığını ve Almanya'nın siber saldırılarla ilgili herhangi bir bilgiye sahip olmadığını söylediğini bildirdi.55
Bildirilen bu belgeler, teşkilatın diğer bilgisayar korsanları tarafından üretilen geniş bir siber saldırı teknikleri ve kötü amaçlı yazılım koleksiyonu bulunduğunu ortaya koydu. Bu kütüphanenin CIA'nın Uzak Aygıtlar Şubesi'nin UMBRAGE grubu tarafından "Umbrage Bileşen Kütüphanesi" git deposunda yer alan bu tekniklerin ve kaynak kodun kullanıldığı örneklerle sağlandığı bildirildi. WikiLeaks'e göre, UMBRAGE yoluyla üçüncü tarafların tekniklerini geri dönüştürerek, CIA, sadece toplam saldırı sayısını56 arttırmakla kalmaz, aynı zamanda bu saldırıları diğer grupların ve ulusların çalışması gibi gizleyerek adli araştırmacıları yanıltabilir.5758 UMBRAGE tarafından ödünç alınan teknikler arasında Shamoon uygulamasını silme dosyası da vardı. PC World'e göre, bazı teknikler ve kod parçacıkları CIA tarafından dahili projelerde kullanıldı ve sonuçta sızıntılardan ayrıştırılamadı. PC World, atıfları engellemek için "sahte bayrak"ları dikme uygulamasının siyaha karşı yeni bir gelişme olmadığını kaydetti: sahte bayraklar kullandığından şüphelenilenlerin arasında Rus, Kuzey Koreli ve İsrailli hacker grupları vardı.59
The Intercept'de Kim Zetter tarafından yapılan bir araştırmaya göre, UMBRAGE, muhtemelen 'sahte bayrak'lar dikmekten ziyade mevcut araçları yeniden geliştirmeyi amaçlayan hızlandırmaya odaklanmıştı.60 Errata Security CEO'su Robert Graham, Intercept'i (Önleme) anlattı ve "UMBRAGE" belgelerinde atıfta bulunulan kaynak kodun "son derece açık" olduğunu ve büyük olasılıkla çok sayıda grup ve devlet aktörü tarafından kullanıldığını söyledi. Graham ekledi: "Belgelerdeki kanıtlardan kesin olarak bahsedebileceğimiz şey, diğer projelerde kullanılmak üzere kod parçacıkları hazırladıklarını ve internette buldukları kodda yöntemleri tekrar kullandıklarının farkındalar. [...] Başka yerlerde saldırıları gizlemekten bahsediyorlar Nereden geldiğini göremiyorum, ancak sahte bayrak işlemi yapmak için somut bir plan yok. 'Bunu Rusya gibi yapacağız' demeye çalışıyorlar."61
Vault 7 belgelerinin ilk yayınlandığı gün, WikiLeaks, UMBRAGE'i "Rusya Federasyonu dahil olmak üzere diğer devletlerde üretilen malware'den "'çalıntı' önemli bir saldırı teknikleri kütüphanesi" olarak nitelendirdi ve "CIA, diğer gruplar için virüs ve sahte bayrak saldırılarını kolaylaştıran kötü amaçlı yazılımları çaldı" şeklinde tweetledi.62 CIA'nın Rus hükûmetinin 2016 ABD seçimlerine müdahale ettiği konusunda itiraf ettiği iddia edilen bir komplo teorisi ortaya çıktı. Sean Hannity ve Ann Coulter gibi muhafazakâr yorumcular bu olasılık hakkında Twitter'da spekülasyon yapmış ve Rush Limbaugh'un radyo programında tartışmışlardır.63 Rusya dışişleri bakanı Sergey Lavrov, Vault 7'nin "CIA'nin bu tür parmak izlerine erişebileceğini ve bunları kullanabileceğini gösterdiğini" söyledi.64
Ben Buchanan ve Kevin Poulsen gibi siber güvenlik yazarları bu teorilere kuşkuluydu.6566 Poulsen, "Sızdırılan katalog, menşe ülke tarafından düzenlenmedi ve Rus DNC adlı bilgisayar korsanlarının kullandığı belirli zararlı yazılımlar listede yer almadı" dedi.67
Belgeler, marble framework'ü, kötü amaçlı yazılımlardaki metin parçalarını görsel denetimden gizlemek için kullanılan bir dize obfuscator'u olarak tarif eder. Programın bir parçası olarak CIA saldırılarının kaynağını örtbas etmek için yabancı diller kullanıldı.686970 WikiLeaks'e göre, 2015 yılında Marble Framework 1.0'a ulaştı ve 2016 boyunca CIA tarafından kullanıldı.71
WikiLeaks yayımladığında, "Marble"'ın birincil amacının, virüsleri, truva atlarını ve hack saldırılarını maskelemek için kötücül yazılıma yabancı dil metni eklemek olduğunu; CIA tarafından izlenmelerinin zorlaşmasına ve adli araştırmacıların yanlış bir şekilde ulusları yanlış koda sahip kılmasına neden oluyordu.72 Kaynak kodu, Marble'ın Çince, Rusça, Korece, Arapça ve Farsça örnekleri olduğunu ortaya koydu.73 Bunlar ABD'nin ana siber düşmanlarının - Çin, Rusya, Kuzey Kore ve tarihsel olarak en azından İran'ın dilleriydi.74 Çözümlemeciler, WikiLeaks'in "Marble'ın ana amacını açıklamasıyla" "The Hill"'in ana amacının antivirüs programlarının algılanmasını önlemek olduğunu söyledi.75 Marble ayrıca, CIA'nın metin şaşırtma/gizleme işini tersine çevirebileceği bir deobfuscator aracı içeriyordu.76
Berkeley Uluslararası Bilgisayar Bilimleri Enstitüsü'ndeki güvenlik araştırmacısı Nicholas Weaver, Washington Post'a şunları söyledi: "Bu, devam eden CIA operasyonlarını doğrudan bozmak üzere tasarlandığından, WikiLeaks tarafından yapılan en teknik olarak yapılmış zararlı sızıntılardan biri gibi görünüyor.”7778
HammerDrill, CD/DVD ekleme ve çıkarma olaylarını kaydetmenin yanı sıra dizin yürüyüşlerini ve dosyalarını yapılandırılmış bir dizine ve dosya adı modeline toplayan bir CD/DVD derleme aracıdır. Sürüm 2.0 (v2.0), Truva atlarının 32 bitlik yürütülebilir dosyaları, Nero tarafından diske yazıldıkça boşa atlama yeteneği ekler. Buna ek olarak, v2.0, HammerDrillStatus.dll, HammerDrillKiller.dll ve HammerDrillCollector.dll tarafından kontrol edilen bir durum, sonlandırma ve isteğe bağlı toplama özelliğini ekler. Günlüğe kaydetme, ayrıca, ISO görüntüsünün ilk iki bloğunu birleştirerek diskleri parmak izi ile karma olarak saklar; bu, veri eklendiğinde veya kaldırıldığında bile, çok oturumlu disklerin benzersiz olarak tanımlanmasını sağlar. HammerDrill tarafından truva atsız bir ikili disk üzerinde görüldüğünde günlük ayrıca günlüğe kaydedilir.7980
WikiLeaks Vault 7'nin ilk bölümü "Year Zero"'yu yayımladıktan sonra Apple, "bugün sızdırılan pek çok sorunun zaten en son sürüm iOS'da düzeltildiğini" ve şirketin "tanımlanmış tüm açıkları hızla ele almaya devam edeceğini" söyledi.81
23 Mart 2017'de WikiLeaks, Vault 7 serisindeki ikinci belge topluluğu olan "Dark Matter"'ı piyasaya sürdü ve tümü CIA Gömülü Geliştirme Şubesi (EDB) tarafından geliştirilen Apple ürünlerine odaklanan hack tekniklerini ve araçlarını ayrıntılarıyla açıkladı. Sızıntı ayrıca CIA'nin cihaz açıklandıktan bir yıl sonra 2008 yılından beri iPhone'u hedef aldığını ortaya koydu. Bu EDB projeleri Apple'ın ürün yazılımına saldırmış, yani sistem yeniden başlatılsa bile saldırı kodunun devam edeceği anlamına geliyordu.8283 "Dark Matter" arşivinde 2009 ve 2013 yılları arasındaki belgeler yer alıyordu. Apple, "ilk çözümleme temelinde iPhone'un güvenlik açığı yalnızca iPhone 3G'yi etkiledi ve 2009'da iPhone 3GS piyasaya sürüldüğünde düzeltildi" şeklinde ikinci bir bildiri yayınladı. Buna ek olarak, bir ön değerlendirme "iddia edilen Mac zayıflıkları daha önce 2013'ten sonra başlatılan tüm Mac'lerde düzeltildi" idi.8485
24 Mart 2017'de WikiLeaks, Apple'ı güvenlik kusurlarını düzeltme durumunu "yinelenen" olarak nitelendirdi: “Apple'ın DARKMATTER'da açıklanan" açıklarının "değişmez" olduğu” iddiasını yineledi. “EFI sistemli bir sorundur, sıfır gün açığı değildir” dedi. Apple'a olan güven eksikliğini yineleyen Alman-Fin İnternet girişimcisi Kim Dotcom şunu yazdı: "Apple bildirisi güvenilir değil".86
WikiLeaks, 19 Mart 2017'de Twitter'da “CIA'nın, Vault 7 belgeleri sayesinde keşfedilen çok sayıda Cisco yönlendirici modelindeki bir güvenlik açığını gizlice sömürdüğünü” söyledi.8788 CIA, bir yıl önce, Cisco'nun yaygın olarak kullanılan internet switch kusurlarını, elektronik trafiği yönlendiren ve dinlemeyi etkinleştirmek için kullanmayı öğrendi. Cisco, yalnızca saldırıyı analiz etme ve CIA hack hilelerinin nasıl çalıştığını anlamaya odaklanmak için diğer projelerden personel atamıştı; böylece müşterilere sistemlerini düzeltmelerinde yardımcı olmakta ve ceza korsanları veya casusların aynı yöntemleri kullanmalarını önleyebilirdi.89
20 Mart'ta Cisco araştırmacıları Vault 7 belgelerinin incelenmesiyle, CIA'nın, Cisco'nun anahtar modellerinin 318'inde bulunan bir kusurdan istifade edebilecek ve ağın kontrolünü ele geçiren veya kontrol altına alabilecek kötü amaçlı yazılım geliştirdiğini doğruladı.90
Cisco, güvenlik riskleri konusunda bir uyarı yayınladı, yamalar mevcut değildi, ancak Cisco hafifletme önerisinde bulundu.91
Elektronik araçların hem Apple'ın iOS hem de Google'ın Android işletim sisteminden ödünç alınabileceği bildirildi. Bildirildiğine göre Android işletim sistemine kötü amaçlı yazılım eklenerek, araçlar bir cihazda yapılan güvenli iletişimlere erişebilir.92
WikiLeaks'e göre, bir Android akıllı telefona bir kez girildiğinde, teşkilat "şifreleme uygulanmadan önce sesli ve mesajlı trafiği" toplayabilir.93 Teşkilatın yazılımlarından bazılarının, anında mesajlaşma servisleri tarafından gönderilen mesajlara erişebildiği bildirildi.94 İletilere erişmenin bu yöntemi, zaten şifrelenmiş bir iletinin şifresini çözerek erişim elde etmekten farklıdır.95 Telegram, WhatsApp ve Signal gibi uçtan uca şifreleme sunan mesajlaşma yazılımlarının şifrelenmesinde kırılma olduğu bildirilmemesine rağmen, şifreleme, şifreleme uygulanmadan önce girdiyi yakalama, tuş takımı kaydedicisi ve kullanıcıların dokunmatik girişli tuş vuruşturma ve kaydetme gibi eylemleri takip edilebilir.96 Yorumcular, aralarında Snowden ve kriptografçı ve güvenlik uzmanı Bruce Schneier, Wikileaks'in mesajlaşma uygulamalarının kendilerinin ve altta yatan şifrelemelerinin tehlikeye atıldığını ima ettiği yanlışlıkla New York Times ve diğer ana akım yayın organlarının bir dönem bildirdiğini gözlemledi.9798
Bir bildiride CIA'nin araç kontrol sistemlerine bulaşma yollarını araştırdığı bildirildi. WikiLeaks belirtti, "Böyle bir kontrolün amacı belirtilmedi, ancak CIA'nın neredeyse keşfedilmemiş suikastlarla meşgul olmasına izin verecekti."99100 Bu bildiri, Michael Hastings'in ölümünü çevreleyen komplo teorilerine yeniden dikkatleri çekti.101102
Belgeler, Windows XP, Windows Vista ve Windows 7 işletim sistemlerinde "Windows FAX DLL enjeksiyonu" istismarına atıfta bulunmaktadır.103 Bu, kötü niyeti bulunan bir kullanıcının kendi zararlı yazılımını başka bir uygulamanın DLL dosyası altında gizleyebilmesini sağlar. Bununla birlikte, bir bilgisayara enjeksiyonun gerçekleşmesi için başka bir yöntemle bulaştırılmış olması gerekir.104
Edward Snowden, 7 Mart 2017'de, Amerika Birleşik Devletleri Hükûmetinin "ABD ürünlerinin zayıf noktalarını geliştirme"ye ve "kasıtlı olarak delikleri açık tutma"ya devam edeceğini belirten açıklamanın önemine değinmiş ve son derece dikkatsizliği değerlendirmiştir.105
7 Mart 2017'de, İnternet savunuculuğu grubunun Kıdemli Yasama Yöneticisi Nathan White Access Now'da şöyle yazmıştır:106
8 Mart 2017'de Forbes'a katkıda bulunan Lee Mathews, Vault 7'de açıklanan kilitleme tekniklerinin birçoğunun birçok siber güvenlik uzmanı tarafından zaten bilindiğini yazdı.107
Bazıları, 8 Mart 2017'de ortaya çıkan tekniklerin ve araçların, Edward Snowden tarafından ortaya konulan daha fazla hedefli gözetim108109 için kullanılmasının muhtemel olduğunu belirtmektedir.110 Bir basın toplantısında Assange, sızıntıların içeriği "en azından daha pahalı ve daha fazla sipariş izine sahip hedeflenmiş saldırılara girmek zorunda oldukları anlamına gelmekte" diye eklemiş ve CIA'nın "otomatikleştirilmiş nakil dalı"nı ortaya koyduklarını belirtmiştir. Sadece virüs geliştirilmekte ve kullanılmakta, "fakat aynı zamanda bunun nasıl yapıldığı otomatikleştirilmektedir" diye konuşmuştur.111
8 Nisan 2017'de, Amerikan Sivil Özgürlükler Birliği avukatı Ashley Gorski, "bu açıkların yalnızca hükûmetimiz tarafından değil, yabancı hükûmetler ve dünyanın çeşitli yerlerindeki siber suçlular tarafından sömürülebileceğini" anlamak için "kritik" olarak nitelendirmiştir. New York Üniversitesi Bilgisayar Bilimi ve Mühendisliği bölümünde profesör olan Justin Cappos, "eğer telefonunuzdaki kötü bir adamın kötü adamların telefonunuzu çentmek için kullanabilecekleri ve sizi gözetleyebilecek bir sorun olduğunu hükûmet biliyorsa, bu bir zayıflık mı? Kendilerini terörle mücadele için mi bu işe adadılar yoksa kendi casusluk yetenekleri için mi açıkları kullanmaları gerekiyor; yoksa bu herkes için düzeltmesi gereken bir sorun mu?" diye ekledi.112
8 Nisan 2017'de, San Francisco Elektronik Sınır Vakfı'nda kurulu uluslararası kâr amacı gütmeyen dijital haklar grubunun icra müdürü Cindy Cohn şunları söyledi: "Eğer CIA ön kapınızın önünden yürüyor ve kilidinizin kırıldığını görüyorsa, en azından size bunu söylemeli ve belki de kilidin sabitlenmesine yardımcı olmalıdır." "Ve daha da kötüsü, daha sonra senden edindikleri bilgileri kaybettiler, böylece suçlular ve düşman yabancı hükûmetler kırık kilidi bildireceklerdi."113 Dahası, CIA'nın "güvenlik açıklarını açıklamama riskini doğru bir şekilde değerlendirmediğini ve CIA gibi casusların bile Amerikalıların güvenliğini ve mahremiyetini koruma sorumluluğu bulunduğunu söyledi."114 "Özel görüşme yapma özgürlüğü –düşmanca bir hükûmet, haydut bir devlet görevlisi ya da bir rakip ya da bir suçlu dinlediğinde endişe duymazsınız– özgür bir topluluğun merkezinde yer alır." Avrupa'daki gizlilik kanunları kadar sıkı olmamakla birlikte, ABD Anayasası'nın Dördüncü değişikliği, mantıksız aramalar ve nöbetlerden özgür olma hakkını garanti altına almaktadır.115
12 Mayıs 2017'de Microsoft Başkan ve Baş Hukuk Müşaviri Brad Smith, "Bu 2017'de ortaya çıkmakta olan bir modeldi. CIA tarafından saklanan zayıf noktaların WikiLeaks'te olduğunu gördük" dedi; başka bir deyişle, Smith, CIA'nın bu tür bilgisayar güvenlik açıklarını elinde bulundurduğu gerçeğinden yola çıkarak endişelerini dile getirdi; bu güvenlik açıkları, onlardan çalındı, güvenlik ihlalleri konusunda Microsoft'a zamanında bilgi verilmedi. Dünya çapındaki müşterileri uzun süre olumsuz olarak etkilenmiş ve müşteri sistemlerinde yaygın hasarlara neden olmuştur.116117
Orijinal kaynak: vault 7. Creative Commons Atıf-BenzerPaylaşım Lisansı ile paylaşılmıştır.
Reuters: U.S intel, law enforcement officials aware of CIA breach since late last year , 8 Mart 2017 ↩
Chris Evans, Ben Hawkes: Feedback and data-driven updates to Google’s disclosure policy , Google’ın Project Zero blogu, 13 Şubat 2015 ↩
Sam Varghese: Vault 7: Plans to expose firms that do not patch flaws , iTWire, 20 Mart 2017 ↩
Assange chastises companies that haven't responded to CIA vulnerability offers , The Hill, 20 Mart 2017 ↩
ZDNet|son=Tung|ilk=Liam|tarih=22 Mayıs 2017|çalışma=CBS Interactive ZDNet|erişimtarihi=29 Mayıs 2017|dil=İngilizce|arşivurl=https://web.archive.org/web/20170527120745/http://www.zdnet.com/article/cias-windows-xp-to-windows-10-malware-wikileaks-reveals-athena/|arşivtarihi=27 Mayıs 2017|ölüurl=hayır}} ↩
German Foreign Minister Gabriel fears new arms race with Russia , Deutsche Welle, 9 Mart 2017 ↩
Jacques Cheminat: Marble Framework: le double jeu perfide des hackers de la CIA , silicon.fr, 31 Mart 2017 ↩
Stefania Maurizi: WikiLeaks, così la Cia depista i raid nei computer: svelato il 'Marble Framework' , La Repubblica, 31 Mart 2017 ↩
Jean-Marc Manach: WikiLeaks joue à cache-cache avec la CIA , Libération, 31 Mart 2017 ↩
Sam Varghese: WikiLeaks releases third tranche of CIA files , ''iTWire', 1 Nisan 2017 ↩
John Leyden: WikiLeaks exposes CIA anti-forensics tool that makes Uncle Sam seem fluent in enemy tongues , The Register, 31 Mart 2017 ↩
The Washington Post: WikiLeaks’ latest release of CIA cyber-tools could blow the cover on agency hacking operations , The Washington Post, 31 Mart 2017 ↩
Wikileaks releases code that could unmask CIA hacking operations , Ars Technica, 2 Nisan 2017 ↩
Releases Dark Matter , WikiLeaks, 23 Mart 2017 ↩
WikiLeaks CIA files: New 'Dark Matter' release details how US 'hacked into Apple products' , The Independent, 23 Mart 2017 ↩
William Suberg: Vault 7 Volume II: Apple Patch Claims “Duplicitous,” Says WikiLeaks , The Cointelegraph, 24 Mart 2017 ↩
Joseph Menn: A scramble at Cisco exposes uncomfortable truths about U.S. cyber defense , Reuters, 29. Mart 2017 ↩
Olivia Solon: With the latest WikiLeaks revelations about the CIA – is privacy really dead? , The Guardian, 8 Mart 2017 ↩
Ne Demek sitesindeki bilgiler kullanıcılar vasıtasıyla veya otomatik oluşturulmuştur. Buradaki bilgilerin doğru olduğu garanti edilmez. Düzeltilmesi gereken bilgi olduğunu düşünüyorsanız bizimle iletişime geçiniz. Her türlü görüş, destek ve önerileriniz için iletisim@nedemek.page