Vault 7

גלו את Vault 7: ההדלפה שחשפה את יכולות המעקב ולוחמת הסייבר של ה-CIA, כולל פריצה למכשירים ומערכות הפעלה.

~7 min readMay 6, 2026 · 10:21 AM

Listen to article

Speed1.0x

כספת 7 (Vault 7) היא סדרה של מסמכים שהארגון ויקיליקס (WikiLeaks) החל לפרסם ב-7 במרץ 2017, המפרטים את הפעילויות והיכולות של סוכנות הביון המרכזית (CIA) של ארצות הברית לביצוע מעקב אלקטרוני ולוחמת סייבר. הקבצים, המתוארכים לשנים 2013 עד 2016, כוללים פרטים על יכולות התוכנה של הסוכנות, כגון היכולת לפרוץ למכוניות, טלוויזיות חכמות, דפדפני אינטרנט (כולל גוגל כרום, מיקרוסופט אדג', מוזילה פיירפוקס ואופרה), מערכות הפעלה של רוב הטלפונים החכמים (כולל iOS של אפל ואנדרואיד של גוגל), ומערכות הפעלה של מחשבים (כולל Windows, macOS ולינוקס).

ביקורת פנימית של ה-CIA זיהתה כי מתוך יותר מ-500 כלי תקיפה שהיו בשימוש בשנת 2016, 91 כלי נוזקה (malware) נחשפו במסגרת ההדלפה. הכלים פותחו על ידי ענף התמיכה במבצעים של ה-CIA.

פרסום "כספת 7" הוביל את ה-CIA להגדיר מחדש את ויקיליקס כ"שירות מודיעין עוין שאינו מדינה". ביולי 2022, מהנדס התוכנה לשעבר של ה-CIA, ג'ושוע שולטה (Joshua Schulte), הורשע בהדלפת המסמכים לוויקיליקס. בפברואר 2024, הוא נידון ל-40 שנות מאסר בגין סעיפי ריגול, ובנוסף ל-80 חודשי מאסר בגין עבירות של פורנוגרפיית ילדים.

היסטוריה

בפברואר 2017, על פי דיווחים בתקשורת, ויקיליקס החל לרמוז על פרסומה של "כספת 7" בסדרת ציוצים אניגמטיים בטוויטר (כיום X). מאוחר יותר באותו חודש, פרסם הארגון מסמכים מסווגים שתיארו כיצד ה-CIA עקב אחר הבחירות לנשיאות צרפת בשנת 2012. בהודעה לעיתונות שנלוותה לפרסום נכתב כי הוא מהווה "הקשר לסדרת 'כספת 7' של ה-CIA שתפורסם בקרוב".

במרץ 2017, בכירים בקהילת המודיעין ואכיפת החוק בארה"ב מסרו לסוכנות הידיעות רויטרס כי הם היו מודעים לפרצת האבטחה ב-CIA שהובילה ל"כספת 7" כבר מסוף 2016. שני בכירים ציינו כי הם מתמקדים ב"קבלנים" כמקור אפשרי להדלפה.

בשנת 2017, רשויות אכיפת החוק הפדרליות זיהו את מהנדס התוכנה של ה-CIA, ג'ושוע אדם שולטה, כמקור החשוד להדלפת "כספת 7". שולטה כפר באשמה אך הורשע ביולי 2022 בהדלפת המסמכים לוויקיליקס.

ב-13 באפריל 2017, ראש ה-CIA דאז, מייק פומפאו, הכריז על ויקיליקס כ"שירות מודיעין עוין". בספטמבר 2021, !Yahoo News דיווח כי בשנת 2017, בעקבות הדלפות "כספת 7", ה-CIA שקל לחטוף או להתנקש בחייו של מייסד ויקיליקס, ג'וליאן אסאנג'. ה-CIA שקל גם לרגל אחר מקורביו של הארגון, לזרוע מחלוקת בין חבריו ולגנוב את מכשיריהם האלקטרוניים. לאחר חודשים רבים של דיונים, כל התוכניות המוצעות נגנזו בשל שילוב של התנגדויות משפטיות ומוסריות. על פי הדיווח, בכיר לשעבר בביטחון הלאומי בממשל טראמפ צוטט כאומר: "אסור לנו לעולם לפעול מתוך רצון לנקמה".

פרסום "כספת 7" הוביל את ה-CIA להגדיר מחדש את ויקיליקס כ"שירות מודיעין עוין שאינו מדינה". ביולי 2022, מהנדס התוכנה לשעבר של ה-CIA, ג'ושוע שולטה, הורשע בהדלפת המסמכים לוויקיליקס, ובפברואר 2024 הוא נידון ל-40 שנות מאסר.

פרסומים

חלק 1 – "שנת האפס" (Year Zero)

החלק הראשון של המסמכים, שזכה לשם "שנת האפס", פורסם על ידי ויקיליקס ב-7 במרץ 2017. המסמכים, שמקורם לכאורה במרכז ללוחמת סייבר של ה-CIA, כללו 7,818 דפי אינטרנט עם 943 קבצים מצורפים – היקף גדול יותר מהדלפות ה-NSA של אדוארד סנודן ב-2013. ויקיליקס העלה את "שנת האפס" לארכיון מקוון מוצפן מוקדם יותר באותו שבוע, וחשף את סיסמת הפתיחה ב-7 במרץ. הסיסמה התייחסה לציטוט של הנשיא ג'ון פ. קנדי, בו הביע את רצונו "לרסק את ה-CIA לאלף רסיסים ולפזר אותם לכל רוח".

ויקיליקס לא נקב בשם המקור, אך ציין שהקבצים "הופצו בקרב האקרים וקבלנים לשעבר של ממשלת ארה"ב באופן לא מורשה, ואחד מהם סיפק לוויקיליקס חלקים מהארכיון". לדברי הארגון, המקור "מבקש ליזום דיון ציבורי בנוגע לאבטחה, יצירה, שימוש, הפצה ושליטה דמוקרטית בכלי נשק קיברנטיים", שכן כלים אלו מעלים שאלות "הדורשות דיון ציבורי דחוף, לרבות השאלה האם יכולות הפריצה של ה-CIA חורגות מהסמכויות המוקנות לו, ובעיית הפיקוח הציבורי על הסוכנות".

ויקיליקס ניסה לצנזר שמות ופרטים מזהים אחרים מהמסמכים לפני פרסומם, אך ספג ביקורת על כך שהותיר פרטי מפתח מסוימים גלויים. הארגון הצהיר כי ידחה את פרסום קוד המקור של כלי הסייבר, שאורכו מוערך במאות מיליוני שורות קוד, "עד שתתגבש הסכמה לגבי האופי הטכני והפוליטי של תוכנית ה-CIA, וכיצד יש לנתח, לנטרל ולפרסם 'כלי נשק' שכאלה".

בתגובה, ה-CIA פרסם הצהרה לפיה "הציבור האמריקאי צריך להיות מוטרד עמוקות מכל חשיפה של ויקיליקס שנועדה לפגוע ביכולתה של קהילת המודיעין להגן על אמריקה מפני טרוריסטים או יריבים אחרים. חשיפות כאלה לא רק מסכנות אנשי צוות ומבצעים אמריקאיים, אלא גם מציידות את יריבינו בכלים ובמידע כדי להזיק לנו".

חלק 2 – "חומר אפל" (Dark Matter)

ב-23 במרץ 2017, ויקיליקס פרסם את החלק השני בסדרה, תחת השם "חומר אפל". הפרסום כלל תיעוד של מספר מאמצים של ה-CIA לפרוץ למכשירי אייפון ומחשבי מק של אפל. בין הכלים נכללה נוזקה בשם "Sonic Screwdriver", שהייתה מסוגלת לנצל את ממשק ה-Thunderbolt כדי לעקוף את הגנת הקושחה של אפל המבוססת על סיסמה.

חלק 3 – "שיש" (Marble)

ב-31 במרץ 2017, פורסם החלק השלישי, "שיש", שהכיל 676 קבצי קוד מקור של תשתית (Framework) של ה-CIA בשם Marble. התשתית משמשת לטשטוש (obfuscation) או ערבול של קוד נוזקה, במטרה למנוע מחברות אנטי-וירוס או חוקרים להבין את הקוד או לשייך אותו למקורו. על פי ויקיליקס, הקוד כלל גם כלי לביטול הטשטוש (de-obfuscator).

חלק 4 – "חגב" (Grasshopper)

ב-7 באפריל 2017, פורסם החלק הרביעי, "חגב". הפרסום כלל 27 מסמכים מתשתית ה-"Grasshopper" של ה-CIA, המשמשת לבניית מטענים ייעודיים (payloads) של נוזקות מותאמות אישית ועמידות עבור מערכות ההפעלה של מיקרוסופט ווינדוס. "חגב" התמקד בהתחמקות ממוצרי אבטחה אישיים (PSP), כגון תוכנות אנטי-וירוס דוגמת MS Security Essentials, Symantec Endpoint או Kaspersky IS.

חלק 5 – "כוורת" (HIVE)

ב-14 באפריל 2017, פרסם ויקיליקס את החלק החמישי, "כוורת", החושף תוכנית וירוסים סודית ביותר של ה-CIA שנוצרה על ידי "ענף הפיתוח המשובץ" (EDB). ששת המסמכים שפורסמו קשורים לחבילת הנוזקות הרב-פלטפורמית HIVE. זוהי תשתית עורפית של ה-CIA עם ממשק HTTPS הפונה לרשת הציבורית, ומשמשת להעברת מידע ממחשבי יעד וטלפונים חכמים אל ה-CIA, כמו גם לקבלת פקודות נוספות מהמפעילים. כל זאת תוך הסתרת נוכחותה מאחורי דומיינים ציבוריים תמימים למראה.

חלק 6 – "מלאך בוכה" (Weeping Angel)

ב-21 באפריל 2017, פורסם החלק השישי, "מלאך בוכה" (על שם מפלצת מסדרת הטלוויזיה "דוקטור הו"). זהו כלי פריצה שפותח במשותף על ידי ה-CIA וסוכנות הביון הבריטית MI5, ונועד לנצל סדרות מוקדמות של טלוויזיות חכמות לצורכי איסוף מודיעין חשאי. לאחר התקנתו באמצעות התקן USB, הכלי מאפשר הפעלה של המיקרופונים המובנים (ואולי גם מצלמות הווידאו) להקלטת הסביבה, בעוד הטלוויזיה נראית כבויה באופן מטעה. המידע המוקלט נשמר בזיכרון המכשיר או נשלח דרך האינטרנט אל ה-CIA.

חלק 7 – "שרבוטים" (Scribbles)

ב-28 באפריל 2017, פורסם החלק השביעי, "שרבוטים". ההדלפה כוללת תיעוד וקוד מקור של כלי שנועד לעקוב אחר מסמכים שהודלפו למדליפים ועיתונאים. הכלי מטמיע "משואות רשת" (web beacons) בלתי נראות במסמכים מסווגים של Microsoft Office. כאשר מסמך כזה נפתח, תמונה בלתי נראית המאוחסנת בשרת של הסוכנות נטענת, ובכך נוצרת בקשת HTTP המתעדת בשרת מי פתח את המסמך והיכן. הכלי יעיל נגד מגוון גרסאות אופיס, אך אינו עובד על מסמכים נעולים או מוצפנים.

חלק 8 – "ארכימדס" (Archimedes)

ב-5 במאי 2017, פורסם החלק השמיני, "ארכימדס". על פי ניתוח של מומחה אבטחה, "ארכימדס" הוא וירוס ששם הקוד הקודם שלו היה "Fulcrum". הכלי מאפשר למפעילי ה-CIA לבצע התקפת "אדם בתווך" (Man-in-the-Middle) בתוך רשת מקומית (LAN), ולנתב מחדש את תעבורת הגלישה של מחשב היעד דרך מחשב הנשלט על ידי הסוכנות, לפני שהיא מועברת ליעדה המקורי.

חלק 9 – "אחרי חצות" (AfterMidnight) ו"מתנקש" (Assassin)

ב-12 במאי 2017, פורסם החלק התשיעי. "אחרי חצות" היא נוזקה המותקנת במחשב היעד, מסתווה לקובץ DLL, ומופעלת בעת אתחול המחשב. לאחר מכן היא יוצרת קשר עם שרת השליטה והבקרה (C2) של ה-CIA כדי להוריד מודולים נוספים. "מתנקש" דומה מאוד, אך פועל בצורה חשאית יותר בתוך תהליך שירות של חלונות (Windows service). שתי הנוזקות עמידות, פועלות על מערכת ההפעלה חלונות, יוצרות קשר תקופתי עם שרתי ה-CIA, ומסוגלות להסיר את עצמן באופן אוטומטי בתאריך ושעה שנקבעו מראש.

חלק 10 – "אתנה" (Athena)

ב-19 במאי 2017, פורסם החלק העשירי, "אתנה". המסמכים קשורים לנוזקה שפותחה לכאורה עבור ה-CIA באוגוסט 2015, כחודש לאחר שמיקרוסופט שחררה את Windows 10. הנוזקה הראשית, "אתנה", ונוזקת המשנה "הרה" (Hera), פותחו בשיתוף פעולה עם חברה פרטית מניו המפשייר בשם Siege Technologies. הנוזקות "חוטפות" שירותים במערכת ההפעלה כדי ליצור דלת אחורית, לגנוב מידע, לשלוח אותו לשרתי ה-CIA או לבצע פקודות נוספות, תוך התחמקות מתוכנות אבטחה.