Video: Del1. Olika typer av regeringar (September 2024)
Säkerhetsforskare har dissekerat och analyserat mobilkomponenterna i kommersiella spionprogram som används av regeringar runt om i världen som kan användas för att på ett grymt sätt spela in och stjäla data från mobila enheter.
Utvecklad av det italienska företaget Hacking Team, mobilmodulerna för fjärrkontrollsystemet låter brottsbekämpande och underrättelsebyråer utföra en mängd övervakningsåtgärder på Android, iOS, Windows Mobile och BlackBerry-enheter, enligt forskare från Kaspersky Lab och Citizen Lab vid Munk School of Global Affairs vid University of Toronto. Hacking Team säljer RCS, även känd som Da Vinci och Galileo, till regeringar för att spionera på stationära datorer, bärbara datorer och mobila enheter. I vissa länder används RCS för att spionera på politiska dissidenter, journalister, människorättsförespråkare och motsatta politiska personer.
Kaspersky Lab- och Citizen Lab-forskare omarbetade gemensamt de mobila modulerna, och Citizen Labs Morgan Marquis-Boire och Kasperskys Sergey Golovanov presenterade sina resultat vid ett pressevenemang i London tisdag.
"Det var ett välkänt faktum under ganska lång tid att produkterna från HackingTeam inkluderade skadlig programvara för mobiltelefoner. Dessa sågs emellertid sällan, " skrev Golovanov på Securelist-bloggen.
Vad RCS kan göra
IOS- och Android-komponenterna kan logga in tangenttryckningar, skaffa sökhistorikdata och tillåta dold samling av e-postmeddelanden, textmeddelanden (även de som skickas från appar som WhatsApp), samtalshistorik och adressböcker. De kan ta skärmdumpar av offrets skärm, ta bilder med telefonens kamera eller slå på GPS för att övervaka offrets plats. De kan också sätta på mikrofonen för att spela in telefon- och Skype-samtal samt konversationer som inträffar i närheten av enheten.
"Att hemligt aktivera mikrofonen och ta vanliga kamerabilder ger konstant övervakning av målet - vilket är mycket kraftfullare än traditionella kapp- och dolkoperationer, " skrev Golovanov.
De mobila komponenterna är specialbyggda för varje mål, säger forskare. "När provet är klart levererar angriparen det till offrets mobila enhet. Några av de kända infektionsvektorerna inkluderar spearphishing via social engineering - ofta i kombination med exploater, inklusive nolldagar; och lokala infektioner via USB-kablar medan du synkroniserar mobil enheter, "sade Golovanov.
Den långa arm av övervakning
RCS har en massiv global räckvidd, där forskare hittar 326 servrar i mer än 40 länder. Majoriteten av kommandoservrarna var värd i USA följt av Kazakstan, Ecuador, Storbritannien och Kanada. Det faktum att kommandoservrarna finns i dessa länder betyder inte nödvändigtvis att brottsbekämpande myndigheter i dessa länder använder RCS, sade forskarna.
"Det är emellertid vettigt för användare av RCS att distribuera C & C på platser som de kontrollerar - där det finns minimala risker för gränsöverskridande juridiska problem eller serverbeslag, " sade Golovanov.
De senaste fynden bygger på en tidigare rapport från mars där forskare fann att minst 20 procent av RCS-infrastrukturen var belägen inom ett dussin datacentra i USA.
Gömmer sig i Stealth Mode
Citizen Lab-forskare fann en nyttolast i Hacking Team i en Android-app som tycktes vara en kopia av Qatif Today, en arabisk nyhetsapp. Denna typ av taktik, där skadliga nyttolaster injiceras i kopior av legitima appar, är ganska vanligt i Android-världen. Nyttolasten försöker utnyttja en sårbarhet i äldre versioner av Android-operativsystemet för att få root-åtkomst på enheten.
"Även om denna exploatering inte skulle vara effektiv mot den senaste versionen av Android-operativsystemet, använder en hög andel användare fortfarande äldre versioner som kan vara sårbara", skrev Citizen Lab-forskare i ett blogginlägg.
Både Android- och iOS-modulerna använder avancerade tekniker för att undvika att tömma telefonens batteri, begränsa när den utför vissa uppgifter till specifika förhållanden och fungera diskret så att offren förblir ovetande. Till exempel kan mikrofonen slås på och en ljudinspelning görs endast när offret är anslutet till ett visst WiFi-nätverk, sade Golovanov.
Forskarna fann att iOS-modulen endast påverkar jailbroken-enheter. Men om iOS-enheten är ansluten till en dator som är infekterad med skrivbords- eller bärbar datorversionen av programvaran, kan skadlig programvara på distans köra jailbreaking-verktyg som Evasi0n för att ladda den skadliga modulen. Allt detta skulle göras utan offrets vetskap.
Citizen Lab fick också en kopia av vad som verkar vara Hacking Teams användarmanual från en anonym källa. Dokumentet förklarar i detalj hur man bygger övervakningsinfrastrukturen för att leverera skadliga nyttolaster till offren, hur man hanterar underrättelsedata som skördats från offerenheter och till och med hur man kan få certifikat för kodsignering.
Till exempel föreslår manualen att du använder Verisign, Thawte och GoDaddy för certifikaten. Angripare instrueras att köpa ett "utvecklarcertifikat" direkt från TrustCenter om målet kommer att använda en Symbian-enhet och att registrera sig för ett Microsoft-konto och ett Windows Phone Dev Center-konto för att infektera Windows Phone.
Antagandet bakom denna typ av övervakningsprogramvara är att köpare kommer att använda dessa verktyg främst för brottsbekämpande syften och att kriminella element inte har tillgång till dem. Men det faktum att dessa finns tillgängliga innebär att de kan användas mot politiskt motiverade mål, vilket har några allvarliga konsekvenser för allmän säkerhet och integritet.
