Η Kaspersky Lab έδωσε σήμερα στη δημοσιότητα μια νέα έρευνα που χαρτογραφεί μια μαζική, διεθνή υποδομή, η οποία χρησιμοποιείται για τον έλεγχο των malware εμφυτευμάτων “Remote Control System” (RCS). Παράλληλα, εντοπίστηκαν άγνωστα μέχρι σήμερα mobile Trojans που επιτίθενται σεAndroid καιiOS. Αυτές οι μονάδες είναι μέρος του αποκαλούμενου «νόμιμου» εργαλείου spyware RCS, γνωστού και ως Galileo, που αναπτύχθηκε από την ιταλική εταιρεία HackingTeam.
Σύμφωνα με τη νέα έρευνα που πραγματοποίησε η Kaspersky Lab, σε συνεργασία με τη Citizen Lab, ο κατάλογος των θυμάτων περιλαμβάνει ακτιβιστές και υποστηρικτές των ανθρωπίνων δικαιωμάτων, καθώς και δημοσιογράφους και πολιτικούς.
Υποδομή RCS
Η Kaspersky Labαξιοποίησε διάφορες προσεγγίσεις ασφάλειας για να εντοπίσει τους Command & Control servers (C&C) του Galileoσε όλο τον κόσμο. Για τη διαδικασία ταυτοποίησης, οι ειδικοί της Kaspersky Lab βασίστηκαν σε ειδικούς δείκτες και δεδομένα συνδεσιμότητας που απέκτησαν από υπάρχοντα δείγματα αντίστροφης μηχανικής.
Κατά τη διάρκεια της έρευνας, οι ερευνητές της Kaspersky Labκατέγραψαν πάνω από 320 RCS C&C servers, σε περισσότερες από 40 χώρες. Η πλειοψηφία των serversβρισκόταν στις ΗΠΑ, στο Καζακστάν, στο Εκουαδόρ, στο Ηνωμένο Βασίλειο και στον Καναδά.
Σχολιάζοντας τα τελευταία ευρήματα, ο Sergey Golovanov, Principal Security Researcher της Kaspersky Lab, δήλωσε: «Η παρουσία αυτών των serversσε μια συγκεκριμένη χώρα δεν συνεπάγεται ότι χρησιμοποιούνται από τις διωκτικές αρχές της εν λόγω χώρας. Ωστόσο, είναι λογικό για τους χρήστες του RCSνα αναπτύσσουν C&C servers στις περιοχές που ελέγχουν, όπου οι κίνδυνοι διασυνοριακών νομικών ζητημάτων ή πιθανών κατασχέσεων των servers είναι μικρότεροι».
Μobile εμφυτεύματα RCS
Αν και στο παρελθόν είχε γίνει γνωστή η ύπαρξη mobile Trojansγια iOSκαι Androidτης HackingTeam, κανείς δεν τα είχε ταυτοποιήσει στην πραγματικότητα – ή κανείς δεν είχε παρατηρήσει ότι χρησιμοποιούνταν για επιθέσεις. Οι ειδικοί της Kaspersky Labερευνούν το RCS malware τα δύο τελευταία χρόνια. Στις αρχές της χρονιάς, κατάφεραν να εντοπίσουν συγκεκριμένα δείγματα από mobile modulesπου ταίριαζαν με τις ρυθμίσεις άλλων κακόβουλων λογισμικών RCS που είχαν ήδη συλλέξει. Κατά τη διάρκεια της τελευταίας έρευνας, συνέλλεξαν νέες παραλλαγές δειγμάτων από τα θύματα, μέσα από το Kaspersky Security Network, το cloud-based δίκτυο της Kaspersky Lab. Επιπλέον, οι ειδικοί της εταιρείας συνεργάστηκαν στενά με τον Morgan Marquis-Boire από τη Citizen Lab, ο οποίος έχει ερευνήσει εκτενώς το malware που αναπτύσσει η HackingTeam.
Φορείς «μόλυνσης»
Οι διαχειριστές που βρίσκονται πίσω από το RCS Galileo αναπτύσσουν ένα συγκεκριμένο κακόβουλο εμφύτευμα για κάθε συγκεκριμένο στόχο. Μόλις ετοιμαστεί το δείγμα, ο επιτιθέμενος το μεταφέρει στη mobile συσκευή του θύματος. Στις γνωστές μεθόδους «μόλυνσης» περιλαμβάνεται το spearphishingμέσω κοινωνικής μηχανικής. Συχνά, αυτό συνδυάζεται με τη χρήση exploits, όπως τα zero-day exploits, καθώς και με τοπικές «μολύνσεις» μέσω καλωδίων USB κατά τη διάρκεια της διαδικασίας συγχρονισμού των φορητών συσκευών.
Μία από τις πιο σημαντικές ανακαλύψεις της Kaspersky Lab αφορά στον ακριβή τρόπο με τον οποίο ένα Galileo mobile Trojan μολύνει ένα iPhone. Αυτό γίνεται μέσω του jailbreaking («σπασίματος») της συσκευής. Ωστόσο, ακόμα και τα iPhoneστα οποία δεν έχει γίνει «σπάσιμο», μπορούν να γίνουν ευάλωτα. Συγκεκριμένα, ένας εισβολέας μπορεί να τρέξει ένα εργαλείο jailbreaking, όπως το “Evasi0n”, μέσω ενός ήδη μολυσμένου υπολογιστή, για να πραγματοποιήσει απομακρυσμένο jailbreakingκαι να «μολύνει» τη συσκευή. Για να αποφευχθεί ο κίνδυνος «μόλυνσης», οι ειδικοί της Kaspersky Labσυνιστούν αρχικά να μην πραγματοποιείται jailbreakingστο iPhone από τους χρήστες, Δεύτερον, οι χρήστες πρέπει να αναβαθμίζουν συνεχώς το λειτουργικό iOSστην πιο πρόσφατη έκδοση.
Προσαρμοσμένη Κατασκοπεία
Τα mobile modules RCS έχουν αναπτυχθεί με ιδιαίτερη σχολαστικότητα, ώστε να λειτουργούν με διακριτικό τρόπο. Για παράδειγμα, δίνουν ιδιαίτερη προσοχή στη διάρκεια ζωής της μπαταρίας των φορητών συσκευών. Αυτό επιτυγχάνεται μέσα από προσεκτικά προσαρμοσμένες δυνατότητες κατασκοπείας ή μέσω ειδικών λειτουργιών ενεργοποίησης. Για παράδειγμα, η διαδικασία ηχογράφησης μπορεί να ξεκινήσει μόνο όταν το θύμα συνδεθεί σε ένα συγκεκριμένο δίκτυο Wi-Fi (όπως το δίκτυο ενός media house) ή όταν αλλάξει την κάρτα SIMή όσο φορτίζεται η συσκευή.
Σε γενικές γραμμές, τα RCS mobile Trojans μπορούν να εκτελέσουν πολλά διαφορετικά είδη παρακολούθησης, όπως η αναφορά της θέσης του στόχου, η λήψη φωτογραφιών, η αντιγραφή σημειώσεων από το ημερολόγιο, η καταγραφή νέων καρτών SIM που εισέρχονται στη μολυσμένη συσκευή και η υποκλοπή τηλεφωνημάτων και μηνυμάτων. Πέρα από τα κλασικά SMS, υποκλοπή γίνετια και σε μηνύματα που στέλνονται από συγκεκριμένες εφαρμογές, όπως το Viber, το WhatsAppκαι το Skype.
Εντοπισμός
Τα προϊόντα της Kaspersky Lab ανιχνεύουν τα RCS/DaVinci/Galileo εργαλεία spyware, τα οποία έχουν καταχωρηθεί με τις ονομασίες: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan–Dropper.Win32.Korablin, Trojan–PSW.Win32.Agent, Trojan–Spy.AndroidOS.Mekir and Backdoor.AndroidOS.Criag.