Video: AMONG US - Bad Timing (Septembra 2024)
Vedci v oblasti bezpečnosti rozobrali a analyzovali mobilné komponenty komerčného spywaru, ktoré používajú vlády na celom svete a ktoré možno použiť na tajné zaznamenávanie a odcudzenie údajov z mobilných zariadení.
Podľa výskumníkov spoločností Kaspersky Lab a Citizen Lab umožňujú mobilné moduly systému Remote Control System, ktoré vyvinula talianska spoločnosť Hacking Team, orgány činné v trestnom konaní a spravodajské služby vykonávať širokú škálu monitorovacích akcií na zariadeniach s Androidom, iOS, Windows Mobile a BlackBerry. na Munk School of Global Affairs na University of Toronto. Hacking Team predáva vládam RCS, známe tiež ako Da Vinci a Galileo, aby špehovali stolné počítače, laptopy a mobilné zariadenia. V niektorých krajinách sa RCS používa na špehovanie politických disidentov, novinárov, obhajcov ľudských práv a odporujúcich politických osobností.
Vedci spoločností Kaspersky Lab a Citizen Lab spoločne mobilne navrhli mobilné moduly a Morgan Marquis-Boire a Kaspersky Sergey Golovanov predstavili svoje zistenia na tlačovej udalosti v utorok v Londýne.
„Je známe, že produkty HackingTeam už nejaký čas zahŕňajú malware pre mobilné telefóny. Tieto však boli zriedkavo vidieť, “ napísal Golovanov na blog Securelist.
Čo môže RCS urobiť
Komponenty iOS a Android môžu protokolovať stlačenia klávesov, získavať údaje z histórie vyhľadávania a umožňujú skryté zhromažďovanie e-mailov, textových správ (dokonca aj tých, ktoré sa odosielajú z aplikácií ako WhatsApp), histórie hovorov a adresárov. Môžu snímať snímky obrazovky obete, fotografovať fotoaparátom telefónu alebo zapnúť GPS a sledovať polohu obete. Môžu tiež zapnúť mikrofón na nahrávanie telefónnych a Skype hovorov, ako aj konverzácií prebiehajúcich v blízkosti zariadenia.
„Tajná aktivácia mikrofónu a pravidelné fotografovanie s kamerou zaisťuje neustále sledovanie cieľa - čo je oveľa silnejšie ako tradičné operácie maskovania a dýky, “ napísal Golovanov.
Vedci tvrdia, že mobilné komponenty sú zostavené na mieru pre každý cieľ. „Keď je vzorka pripravená, útočník ju doručí do mobilného zariadenia obete. Medzi známe infekčné vektory patrí spearphishing prostredníctvom sociálneho inžinierstva - často spojené s zneužívaním vrátane nulových dní; a lokálne infekcie prostredníctvom káblov USB pri synchronizácii mobilných zariadení. zariadenia, “povedal Golovanov.
Dlhá kontrola
RCS má obrovský globálny dosah. Vedci zistili, že identifikovali 326 serverov vo viac ako 40 krajinách. Väčšina príkazových serverov bola umiestnená v Spojených štátoch, nasledovaný Kazachstanom, Ekvádorom, Spojeným kráľovstvom a Kanadou. Skutočnosť, že veliteľské servery sú v týchto krajinách, nevyhnutne neznamená, že v týchto krajinách orgány činné v trestnom konaní používajú RCS, uviedli vedci.
„Je však logické, aby používatelia RCS nasadili C&C na miestach, ktoré kontrolujú - kde sú minimálne riziká cezhraničných právnych problémov alebo zabavenia serverov, “ uviedol Golovanov.
Posledné zistenia vychádzajú z predchádzajúcej správy z marca, v ktorej vedci zistili, že najmenej 20 percent infraštruktúry RCS sa nachádzalo v tucte dátových centier v Spojených štátoch.
Skrytie v utajenom režime
Vedci Citizen Lab našli v aplikácii pre Android užitočné zaťaženie hackerského tímu, ktoré sa zdalo byť kópiou arabskej spravodajskej aplikácie Qatif Today. Tento druh taktiky, keď sa škodlivé užitočné zaťaženie vkladá do kópií legitímnych aplikácií, je vo svete Android pomerne bežný. Užitočné zaťaženie sa pokúša zneužiť zraniteľnosť v starších verziách operačného systému Android na získanie prístupu root v zariadení.
„Aj keď by toto zneužitie nebolo účinné v porovnaní s najnovšou verziou operačného systému Android, vysoké percento používateľov stále používa staršie verzie, ktoré môžu byť zraniteľné, “ uviedli vedci Citizen Lab v blogovom príspevku.
Modely Android a iOS využívajú pokročilé techniky, aby sa predišlo vybitiu batérie telefónu, čo obmedzuje vykonávanie určitých úloh na konkrétne podmienky a diskrétne pracuje tak, aby obete nevedeli. Mikrofón môže byť napríklad zapnutý a zvukové nahrávky môžu byť zaznamenané iba vtedy, keď je obeť pripojená k určitej sieti WiFi, uviedol Golovanov.
Vedci zistili, že modul iOS ovplyvňuje iba zariadenia s väzenskými väzeniami. Ak je však zariadenie iOS pripojené k počítaču infikovanému počítačovou alebo prenosnou verziou softvéru, malware môže na diaľku spustiť nástroje na útek z väzenia, ako je Evasi0n, aby sa mohol načítať škodlivý modul. To všetko by sa stalo bez vedomia obete.
Citizen Lab tiež dostala kópiu toho, čo vyzerá ako používateľská príručka hackingového tímu z anonymného zdroja. Dokument podrobne vysvetľuje, ako vybudovať monitorovaciu infraštruktúru na doručovanie škodlivého užitočného zaťaženia obetiam, ako spravovať spravodajské údaje zozbierané z obetí a ako získať certifikáty na podpísanie kódu.
V príručke sa napríklad navrhuje používať certifikáty Verisign, Thawte a GoDaddy. Útočníci dostanú pokyn, aby si kúpili „vývojový certifikát“ priamo od TrustCenter, ak bude cieľom používať zariadenie Symbian, a aby sa zaregistrovali na účet Microsoft a účet Windows Phone Dev Center, aby mohli infikovať Windows Phone.
Predpokladom tohto druhu sledovacieho softvéru je to, že kupujúci budú tieto nástroje používať predovšetkým na účely presadzovania práva a že k nim nebudú mať prístup zločinecké prvky. Skutočnosť, že sú k dispozícii, však znamená, že sa dajú použiť proti politicky motivovaným cieľom, čo má vážne dôsledky pre celkovú bezpečnosť a súkromie.
