Skip to main content
    🕵️Snowden Archive

    Vault 7

    כספת 7: חשיפת יכולות הריגול של ה-CIA. ויקיליקס פרסמה מסמכים על פריצות למכשירים, דפדפנים ומערכות הפעלה.

    ~7 min readMay 6, 2026 · 10:21 AM
    Listen to article
    Speed1.0x

    כספת 7 (Vault 7) היא סדרה של מסמכים שהאתר ויקיליקס (WikiLeaks) החל לפרסם ב-7 במרץ 2017, המפרטים את הפעילויות והיכולות של סוכנות הביון המרכזית (CIA) של ארצות הברית לביצוע מעקב אלקטרוני ולוחמת סייבר. הקבצים, המתוארכים לשנים 2013 עד 2016, כוללים פרטים על יכולות התוכנה של הסוכנות, כגון היכולת לפרוץ למכוניות, טלוויזיות חכמות, דפדפני אינטרנט (כולל גוגל כרום, מיקרוסופט אדג', מוזילה פיירפוקס ואופרה), מערכות ההפעלה של רוב הטלפונים החכמים (כולל iOS של אפל ואנדרואיד של גוגל), ומערכות הפעלה של מחשבים (כולל מיקרוסופט וינדוס, macOS ולינוקס).

    בדיקה פנימית של ה-CIA זיהתה כי מתוך יותר מ-500 כלים שהיו בשימוש בשנת 2016, 91 כלי נוזקה נחשפו בהדלפה. הכלים פותחו על ידי ענף התמיכה המבצעית (Operations Support Branch) של ה-CIA.

    פרסום "כספת 7" הוביל את ה-CIA להגדיר מחדש את ויקיליקס כ"שירות מודיעין עוין שאינו מדינתי". ביולי 2022, מהנדס התוכנה לשעבר ב-CIA, ג'ושוע שולטה (Joshua Schulte), הורשע בהדלפת המסמכים לוויקיליקס, ובפברואר 2024 נגזרו עליו 40 שנות מאסר בגין סעיפי ריגול, ובנוסף 80 חודשים בגין עבירות של החזקת פורנוגרפיית ילדים.

    רקע היסטורי

    בפברואר 2017, על פי דיווחים בתקשורת, ויקיליקס החל לרמוז על פרסום "כספת 7" באמצעות סדרה של מסרים מסתוריים בטוויטר (כיום X). מאוחר יותר באותו חודש, ויקיליקס פרסם מסמכים מסווגים שתיארו כיצד ה-CIA עקב אחר הבחירות לנשיאות צרפת ב-2012. בהודעה לעיתונות שליוותה את ההדלפה נכתב כי היא פורסמה "כהקשר לסדרת 'כספת 7' של ה-CIA שתפורסם בקרוב".

    במרץ 2017, גורמי מודיעין ואכיפת חוק אמריקאים מסרו לסוכנות הידיעות רויטרס כי הם היו מודעים לפרצת האבטחה ב-CIA שהובילה ל"כספת 7" כבר מסוף 2016. שני גורמים ציינו כי הם מתמקדים ב"קבלנים" כמקור אפשרי להדלפות. בשנת 2017, רשויות אכיפת החוק הפדרליות זיהו את מהנדס התוכנה של ה-CIA, ג'ושוע אדם שולטה, כמקור החשוד להדלפת "כספת 7". שולטה כפר באשמה אך הורשע ביולי 2022 בהדלפת המסמכים לוויקיליקס.

    ב-13 באפריל 2017, מנהל ה-CIA דאז, מייק פומפאו (Mike Pompeo), הכריז על ויקיליקס כ"שירות מודיעין עוין". בספטמבר 2021, דיווח אתר יאהו! ניוז כי בשנת 2017, בעקבות הדלפות "כספת 7", ה-CIA שקל לחטוף או להתנקש בחייו של מייסד ויקיליקס, ג'וליאן אסאנג' (Julian Assange). כמו כן, הסוכנות שקלה לרגל אחר מקורביו של ויקיליקס, לזרוע מחלוקות בין חברי הארגון ולגנוב את המכשירים האלקטרוניים שלהם. לאחר חודשים רבים של דיונים, כל התוכניות המוצעות נגנזו בשל שילוב של התנגדויות משפטיות ומוסריות. לפי הדיווח, בכיר לשעבר בביטחון הלאומי בממשל טראמפ ציין: "אסור לנו לעולם לפעול מתוך רצון לנקמה".

    הפרסומים

    חלק 1 – "שנת האפס" (Year Zero)

    החלק הראשון של המסמכים, שנקרא "שנת האפס", פורסם על ידי ויקיליקס ב-7 במרץ 2017. המסמכים, שלכאורה הגיעו מהמרכז למודיעין סייבר (Center for Cyber Intelligence), כללו 7,818 דפי אינטרנט עם 943 קבצים מצורפים – יותר דפים מאשר בהדלפה של עובד ה-NSA לשעבר, אדוארד סנודן, ב-2013. ויקיליקס העלה את "שנת האפס" לארכיון מקוון נעול מוקדם יותר באותו שבוע, וחשף את הסיסמה ב-7 במרץ. הסיסמה התייחסה לציטוט של הנשיא ג'ון פ. קנדי, שבו הביע את רצונו "לנפץ את ה-CIA לאלף רסיסים ולפזרם לכל עבר".

    ויקיליקס לא נקב בשם המקור, אך ציין כי הקבצים "הופצו בקרב האקרים וקבלנים לשעבר של ממשלת ארה"ב באופן לא מורשה, ואחד מהם סיפק לוויקיליקס חלקים מהארכיון". לדברי ויקיליקס, המקור "מבקש ליזום דיון ציבורי בנוגע לאבטחה, יצירה, שימוש, הפצה ושליטה דמוקרטית בכלי נשק קיברנטיים", שכן כלים אלו מעלים שאלות ש"צריך לדון בהן בדחיפות בציבור, כולל האם יכולות הפריצה של ה-CIA חורגות מהסמכויות שהוקנו לו ובעיית הפיקוח הציבורי על הסוכנות".

    ויקיליקס ניסה לצנזר שמות ופרטים מזהים אחרים מהמסמכים לפני פרסומם, אך ספג ביקורת על שהשאיר כמה פרטי מפתח לא מצונזרים. הארגון מסר כי ידחה את פרסום קוד המקור של כלי הנשק הקיברנטיים, המכיל לפי הדיווחים כמה מאות מיליוני שורות קוד, "עד שתתגבש הסכמה לגבי האופי הטכני והפוליטי של תוכנית ה-CIA, וכיצד יש לנתח, לנטרל ולפרסם 'כלי נשק' כאלה".

    ה-CIA פרסם הצהרה בה נאמר: "הציבור האמריקאי צריך להיות מודאג עמוקות מכל חשיפה של ויקיליקס שנועדה לפגוע ביכולתה של קהילת המודיעין להגן על אמריקה מפני טרוריסטים או יריבים אחרים. חשיפות כאלה לא רק מסכנות אנשי צוות ומבצעים אמריקאים, אלא גם מציידות את אויבינו בכלים ובמידע כדי להסב לנו נזק".

    חלק 2 – "חומר אפל" (Dark Matter)

    ב-23 במרץ 2017, ויקיליקס פרסם את החלק השני של "כספת 7", תחת הכותרת "חומר אפל". הפרסום כלל תיעוד של מספר מאמצים של ה-CIA לפרוץ למכשירי אייפון ומחשבי מקינטוש של אפל. בין הכלים נכללה הנוזקה "בורג על-קולי" (Sonic Screwdriver), שיכלה לנצל את ממשק ה-Thunderbolt כדי לעקוף את הגנת הסיסמה של קושחת המכשיר.

    חלק 3 – "מַרְבְּל" (Marble)

    ב-31 במרץ 2017, ויקיליקס פרסם את החלק השלישי, "מַרְבְּל". הוא הכיל 676 קובצי קוד מקור של תשתית ה"מַרְבְּל" (Marble Framework) של ה-CIA. תשתית זו משמשת לעַרְפֵּל (obfuscate) או לערבל קוד של נוזקות, במטרה למנוע מחברות אנטי-וירוס או חוקרים להבין את הקוד או לשייך אותו למקור מסוים. לפי ויקיליקס, הקוד כלל גם כלי "דה-ערפול" (de-obfuscator) כדי לבטל את השפעות הערפול.

    חלק 4 – "גראסהופר" (Grasshopper)

    ב-7 באפריל 2017, פרסם ויקיליקס את החלק הרביעי, "גראסהופר". הפרסום מכיל 27 מסמכים מתשתית "גראסהופר" של ה-CIA, המשמשת לבניית מטענים זדוניים (payloads) מותאמים אישית ועמידים עבור מערכות ההפעלה של מיקרוסופט וינדוס. "גראסהופר" התמקד בעקיפת מוצרי אבטחה אישיים (PSP), כגון תוכנות אנטי-וירוס כמו MS Security Essentials, Symantec Endpoint או Kaspersky IS.

    חלק 5 – "HIVE"

    ב-14 באפריל 2017, ויקיליקס פרסם את החלק החמישי, "HIVE". חשיפה זו מתייחסת לתוכנית וירוסים סודית ביותר של ה-CIA, שנוצרה על ידי "הענף לפיתוח משובץ" (EDB). ששת המסמכים שפורסמו קשורים ל-"HIVE", חבילת נוזקה רב-פלטפורמית של ה-CIA. מדובר בתשתית אחורית (back-end) של הסוכנות עם ממשק HTTPS הפונה לציבור, ששימשה להעברת מידע ממחשבי יעד וטלפונים חכמים אל ה-CIA, וכן לפתיחת מכשירים אלו לקבלת פקודות נוספות ממפעילי הסוכנות. כל זאת, תוך הסתרת נוכחותה מאחורי דומיינים ציבוריים תמימים למראה באמצעות ממשק מיסוך המכונה "Switchblade".

    חלק 6 – "המלאך הבוכה" (Weeping Angel)

    ב-21 באפריל 2017, ויקיליקס פרסם את החלק השישי, "המלאך הבוכה" (על שם מפלצת מסדרת הטלוויזיה "דוקטור הו"). זהו כלי פריצה שפותח במשותף על ידי ה-CIA ו-MI5 הבריטי ושימש לניצול סדרת טלוויזיות חכמות מדורות מוקדמים לצורך איסוף מודיעין סמוי. לאחר התקנתו באמצעות התקן USB, הכלי מאפשר למיקרופונים המובנים בטלוויזיה, ואולי גם למצלמות הווידאו, להקליט את סביבתם, בזמן שהטלוויזיה נראית כבויה. הנתונים המוקלטים נשמרים מקומית בזיכרון הטלוויזיה או נשלחים דרך האינטרנט ל-CIA.

    חלק 7 – "שרבוטים" (Scribbles)

    ב-28 באפריל 2017, ויקיליקס פרסם את החלק השביעי, "שרבוטים". ההדלפה כוללת תיעוד וקוד מקור של כלי שנועד לעקוב אחר מסמכים שמודלפים לחושפי שחיתויות ועיתונאים, באמצעות הטמעת תגיות "משואת רשת" (web beacon) במסמכים מסווגים. הכלי משפיע על מסמכי Microsoft Office, במיוחד על גרסאות 97 עד 2016. כאשר מסמך עם "סימן מים" כזה נפתח, תמונה בלתי נראית בתוך המסמך, המאוחסנת בשרת של הסוכנות, נטענת ויוצרת בקשת HTTP. הבקשה נרשמת בשרת, ומספקת לסוכנות המודיעין מידע על מי פתח את המסמך והיכן. עם זאת, התיעוד מציין שאם המסמך נצפה במצב לא מקוון או במצב "תצוגה מוגנת", התמונה לא תוכל ליצור קשר עם השרת.

    חלק 8 – "ארכימדס" (Archimedes)

    ב-5 במאי 2017, ויקיליקס פרסם את החלק השמיני, "ארכימדס". על פי ניתוח המסמכים, "ארכימדס" הוא וירוס ששם הקוד הקודם שלו היה " Fulcrum". מומחה אבטחת הסייבר פיירלואיג'י פגאניני הסביר כי מפעילי ה-CIA משתמשים ב"ארכימדס" כדי להפנות תעבורת אינטרנט ברשת מקומית (LAN) ממחשב היעד דרך מחשב הנשלט על ידי ה-CIA, לפני שהיא מנותבת למשתמשים. סוג זה של התקפה ידוע כהתקפת "אדם בתווך" (Man-in-the-Middle / MitM).

    חלק 9 – "אפטר-מידנייט" (AfterMidnight) ו"אססין" (Assassin)

    ב-12 במאי 2017, ויקיליקס פרסם את החלק התשיעי. "אפטר-מידנייט" היא נוזקה המותקנת במחשב היעד, ומתחזה לקובץ DLL המופעל בעת אתחול המחשב. לאחר מכן, היא יוצרת קשר עם שרת השליטה והבקרה (C2) של ה-CIA, וממנו מורידה מודולים שונים להרצה. "אססין" דומה מאוד, אך פועל באופן חמקני בתוך תהליך שירות של וינדוס (Windows service). שתי הנוזקות פועלות על מערכת ההפעלה וינדוס, נשארות פעילות לאורך זמן, ומתקשרות מעת לעת עם תחנת ההאזנה (LP) של ה-CIA כדי לבקש משימות או לשלוח מידע פרטי לסוכנות, וכן להסיר את עצמן באופן אוטומטי בתאריך ושעה שנקבעו מראש.

    חלק 10 – "אתנה" (Athena)

    ב-19 במאי 2017, ויקיליקס פרסם את החלק העשירי, "אתנה". המסמכים עוסקים בנוזקה שפותחה לכאורה עבור ה-CIA באוגוסט 2015, כחודש לאחר שמיקרוסופט שחררה את Windows 10. הנוזקה "אתנה" ונוזקת המשנה שלה "הרה" (Hera) פותחו על ידי ה-CIA בשיתוף עם חברה פרטית בשם Siege Technologies. הן משתלטות לחלוטין על שירותי גישה מרחוק ושירותי DNS של וינדוס. בדומה לכלים אחרים, הן יוצרות "דלת אחורית" לתקשורת עם שרתי ה-CIA, גונבות מידע פרטי, שולחות אותו לסוכנות, או מוחקות אותו ממחשב היעד, וכל זאת תוך ניסיון לחמוק מתוכנות אבטחה.

    חלק 11 – "פנדמיק" (Pandemic)

    ב-1 ביוני 2017, ויקיליקס פרסם את החלק ה-11, "פנדמיק". כלי זה הוא שתל קבוע (persistent implant) הפוגע ב...

    מקור: ויקיפדיה https://en.wikipedia.org/wiki/Vault_7

    More videos in Snowden Archive

    View category

    More articles you might enjoy

    Back to all articles
    🕵️
    🕵️ Snowden Archive

    ICREACH — Sharing Metadata Across Agencies

    ICREACH הוא מנוע חיפוש מסווג של ה-NSA שנחשף ב-2014 על ידי The Intercept ממסמכי סנודן: 850 מיליארד רשומות מטא-דאטה, 1,000 אנליסטים מ-23 סוכנויות.

    6 min read5/6/2026
    🕵️
    🕵️ Snowden Archive

    CSE Airport Wi-Fi Tracking (Canada)

    חשיפת פרשת סנודן: קנדה ריגלה אחר אזרחים באמצעות Wi-Fi בשדות תעופה, בשיתוף פעולה עם ה-NSA. צפו בתוכנית המעקב האלחוטית.

    2 min read5/6/2026
    🕵️
    🕵️ Snowden Archive

    Targeting Huawei (Operation Shotgiant)

    מבצע סייבר חשאי: ה-NSA חדרו לוואווי במבצע "שוטג'יאנט" כדי לחפש קשרים לצבא הסיני ולרגל אחרי ענקית התקשורת. פרטים ממסמכי סנודן.

    2 min read5/6/2026

    Cookies & Privacy 🍪

    We use cookies to improve your experience

    For more information, see our Privacy Policy