Σύμφωνα με μια νέα έρευνα από την εταιρεία ThreatConnect της Virginia, αποκαλύφθηκε πιθανή σύνδεση ανάμεσα στο WikiLeaks και σε κυβερνητικούς ιρανούς hackers. Στοιχεία δείχνουν ότι και οι δύο χρησιμοποιούσαν έναν server στη Μόσχα.
Η έρευνα αποκαλύπτει ότι πρόκειται για μια εκστρατεία hacking, με τη χρήση phising επιθέσεων, με σκοπό την εγκατάσταση κακόβουλων λογισμικών ή την κλοπή κωδικών. Στόχοι των επιθέσεων ήταν περίπου 500 διπλωμάτες, δημοσιογράφοι, εργαζόμενοι σε οργανισμούς που προασπίζονται τα ανθρώπινα δικαιώματα, επιστήμονες και ερευνητές (κυρίως στη Μέση Ανατολή).
Η ισραηλινή εταιρεία ασφαλείας ClearSky ανίχνευσε την εκστρατεία τον Μάιο του 2015 και βασισμένη σε κάποιες ενδείξεις, θεώρησε ότι πίσω από τις επιθέσεις κρύβεται η οργάνωση hacking “Rocket Kitten”, γνωστή επίσης ως “APT33”, η οποία είχε στο παρελθόν σχέσεις με την κυβέρνηση του Ιράν.
Η ThreatConnect, στην έκθεση της, αναφέρει ότι η σύνδεση κάποιων γεγονότων την οδηγεί στο συμπέρασμα ότι το WikiLeaks συνεργάστηκε με την ομάδα Rocket Kitten για τη διαρροή πληροφοριών που αφορούσαν Σαουδάραβες διπλωμάτες.
Η έρευνα έρχεται να συμπληρώσει τη σύλληψη του ιδρυτή του WikiLeaks, Julian Assange στο Λονδίνο. Οι ομοσπονδιακοί εισαγγελείς στη Virginia, κατηγορούν τον Assange ότι έστησε μια συνωμοσία για να βοηθήσει την Chelsea Manning, πρώην στρατιωτικό, η οποία είχε καταδικαστεί σε φυλάκιση για τη δημοσιοποίηση απόρρητων στρατιωτικών και διπλωματικών εγγράφων των ΗΠΑ.
Το 2015 το WikiLeaks άρχισε να επεκτείνεται και χρησιμοποίησε και έναν server στη Μόσχα.
Αυτό που τράβηξε την προσοχή της ThreatConnect, είναι ότι η διεύθυνση IP του νέου server του WikiLeaks, τον Ιούλιο του 2015, είχε εμφανιστεί τελευταία φορά τον Μάιο του 2015. Τότε, χρησιμοποιούνταν για το website login-users [.] Com, το οποίο ήταν μια ψεύτικη σελίδα σύνδεσης στο Google Drive και χρησιμοποιούνταν στις phishing επιθέσεις του Rocket Kitten.
“Αυτή η διεύθυνση IP ήταν μέρος μιας σειράς ειδικών HostKey servers”, σύμφωνα με την έκθεση. “Αυτό δείχνει ότι ένα μόνο άτομο ή κάποιο συλλογικό όργανο είχε τον έλεγχο της υποδομής που φιλοξενείται σε αυτή την IP”.
Αυτό μάλλον δείχνει ότι το WikiLeaks φιλοξένησε το phising site για να βοηθήσει τους hackers του Ιράν.
“Δεν μπορούμε να είμαστε σίγουροι για το ποιος ήταν πίσω από την επίθεση, που είχε ως αποτέλεσμα την κυκλοφορία των αρχείων από το WikiLeaks”, δήλωσε ο Kyle Ehmke, ερευνητής στο ThreatConnect. “Όμως, το χρονικό διάστημα και η κοινή τοποθεσία δεν μπορεί να είναι σύμπτωση».
Ωστόσο, υπάρχουν κάποιοι που υποστηρίζουν ότι θα μπορούσε να είναι απλή σύμπτωση. Υπάρχει πιθανότητα η IP διεύθυνση να χρησιμοποιήθηκε αφού οι Ιρανοί hackers είχαν τελειώσει μαζί της.
Για παράδειγμα, ο Eyal Sela, επικεφαλής στην ClearSky, υποστηρίζει τη δεύτερη άποψη. Θεωρεί ότι το WikiLeaks είναι πιθανό να απέκτησε τυχαία την παλιά διεύθυνση του Rocket Kitten στην περίπτωση που και οι δύο ομάδες έκαναν χρήση του ίδιου «bulletproof hosting» παρόχου.
Άλλωστε, το Rocket Kitten του Ιράν μπορεί να μην είναι η μοναδική ομάδα hackers, που χρηματοδοτείται από το κράτος.
Το WikiLeaks, από την πλευρά του, ισχυρίστηκε ότι η διαρροή των δεδομένων για τους Σαουδάραβες προήλθε από μια άλλη ομάδα hackers, την Yemen Cyber Army, που είχε βάλει στο στόχαστρο τους Σαουδάραβες διπλωμάτες τον Μάιο του 2015.
