Η Kaspersky Lab έδωσε στη δημοσιότητα μια νέα έρευνα που χαρτογραφεί μια μαζική, διεθνή υποδομή, η οποία χρησιμοποιείται για τον έλεγχο των malware εμφυτευμάτων “Remote Control System” (RCS).
Παράλληλα, εντοπίστηκαν άγνωστα μέχρι σήμερα mobile Trojans που επιτίθενται σε Android και iOS. Αυτές οι μονάδες είναι μέρος του αποκαλούμενου «νόμιμου» εργαλείου spyware RCS, γνωστού και ως Galileo, που αναπτύχθηκε από την ιταλική εταιρεία Hacking Team.
Σύμφωνα με τη νέα έρευνα που πραγματοποίησε η Kaspersky Lab, σε συνεργασία με τη Citizen Lab, ο κατάλογος των θυμάτων περιλαμβάνει ακτιβιστές και υποστηρικτές των ανθρωπίνων δικαιωμάτων, καθώς και δημοσιογράφους και πολιτικούς.
Υποδομή RCS
Η Kaspersky Lab αξιοποίησε διάφορες προσεγγίσεις ασφάλειας για να εντοπίσει τους Command & Control servers (C&C) του Galileo σε όλο τον κόσμο. Για τη διαδικασία ταυτοποίησης, οι ειδικοί της Kaspersky Lab βασίστηκαν σε ειδικούς δείκτες και δεδομένα συνδεσιμότητας που απέκτησαν από υπάρχοντα δείγματα αντίστροφης μηχανικής.
Κατά τη διάρκεια της έρευνας, οι ερευνητές της Kaspersky Lab κατέγραψαν πάνω από 320 RCS C&C servers, σε περισσότερες από 40 χώρες. Η πλειοψηφία των servers βρισκόταν στις ΗΠΑ, στο Καζακστάν, στο Εκουαδόρ, στο Ηνωμένο Βασίλειο και στον Καναδά.
Σχολιάζοντας τα τελευταία ευρήματα, ο Sergey Golovanov, Principal Security Researcher της Kaspersky Lab, δήλωσε:
“Η παρουσία αυτών των servers σε μια συγκεκριμένη χώρα δεν συνεπάγεται ότι χρησιμοποιούνται από τις διωκτικές αρχές της εν λόγω χώρας. Ωστόσο, είναι λογικό για τους χρήστες του RCS να αναπτύσσουν C&C servers στις περιοχές που ελέγχουν, όπου οι κίνδυνοι διασυνοριακών νομικών ζητημάτων ή πιθανών κατασχέσεων των servers είναι μικρότεροι”
Μobile εμφυτεύματα RCS
Αν και στο παρελθόν είχε γίνει γνωστή η ύπαρξη mobile Trojans για iOS και Android της HackingTeam, κανείς δεν τα είχε ταυτοποιήσει στην πραγματικότητα – ή κανείς δεν είχε παρατηρήσει ότι χρησιμοποιούνταν για επιθέσεις. Οι ειδικοί της Kaspersky Lab ερευνούν το RCS malware τα δύο τελευταία χρόνια. Στις αρχές της χρονιάς, κατάφεραν να εντοπίσουν συγκεκριμένα δείγματα από mobile modules που ταίριαζαν με τις ρυθμίσεις άλλων κακόβουλων λογισμικών RCS που είχαν ήδη συλλέξει. Κατά τη διάρκεια της τελευταίας έρευνας, συνέλλεξαν νέες παραλλαγές δειγμάτων από τα θύματα, μέσα από το Kaspersky Security Network, το cloud-based δίκτυο της Kaspersky Lab. Επιπλέον, οι ειδικοί της εταιρείας συνεργάστηκαν στενά με τον Morgan Marquis-Boire από τη Citizen Lab, ο οποίος έχει ερευνήσει εκτενώς το malware που αναπτύσσει η HackingTeam.
Φορείς «μόλυνσης»
Οι διαχειριστές που βρίσκονται πίσω από το RCS Galileo αναπτύσσουν ένα συγκεκριμένο κακόβουλο εμφύτευμα για κάθε συγκεκριμένο στόχο. Μόλις ετοιμαστεί το δείγμα, ο επιτιθέμενος το μεταφέρει στη mobile συσκευή του θύματος. Στις γνωστές μεθόδους «μόλυνσης» περιλαμβάνεται το spearphishing μέσω κοινωνικής μηχανικής. Συχνά, αυτό συνδυάζεται με τη χρήση exploits, όπως τα zero-day exploits, καθώς και με τοπικές «μολύνσεις» μέσω καλωδίων USB κατά τη διάρκεια της διαδικασίας συγχρονισμού των φορητών συσκευών.
Μία από τις πιο σημαντικές ανακαλύψεις της Kaspersky Lab αφορά στον ακριβή τρόπο με τον οποίο ένα Galileo mobile Trojan μολύνει ένα iPhone. Αυτό γίνεται μέσω του jailbreaking («σπασίματος») της συσκευής. Ωστόσο, ακόμα και τα iPhone στα οποία δεν έχει γίνει «σπάσιμο», μπορούν να γίνουν ευάλωτα. Συγκεκριμένα, ένας εισβολέας μπορεί να τρέξει ένα εργαλείο jailbreaking, όπως το “Evasi0n”, μέσω ενός ήδη μολυσμένου υπολογιστή, για να πραγματοποιήσει απομακρυσμένο jailbreaking και να «μολύνει» τη συσκευή. Για να αποφευχθεί ο κίνδυνος «μόλυνσης», οι ειδικοί της Kaspersky Lab συνιστούν αρχικά να μην πραγματοποιείται jailbreaking στο iPhone από τους χρήστες, Δεύτερον, οι χρήστες πρέπει να αναβαθμίζουν συνεχώς το λειτουργικό iOS στην πιο πρόσφατη έκδοση.
Προσαρμοσμένη Κατασκοπεία
Τα mobile modules RCS έχουν αναπτυχθεί με ιδιαίτερη σχολαστικότητα, ώστε να λειτουργούν με διακριτικό τρόπο. Για παράδειγμα, δίνουν ιδιαίτερη προσοχή στη διάρκεια ζωής της μπαταρίας των φορητών συσκευών. Αυτό επιτυγχάνεται μέσα από προσεκτικά προσαρμοσμένες δυνατότητες κατασκοπείας ή μέσω ειδικών λειτουργιών ενεργοποίησης. Για παράδειγμα, η διαδικασία ηχογράφησης μπορεί να ξεκινήσει μόνο όταν το θύμα συνδεθεί σε ένα συγκεκριμένο δίκτυο Wi-Fi (όπως το δίκτυο ενός media house) ή όταν αλλάξει την κάρτα SIM ή όσο φορτίζεται η συσκευή.
Σε γενικές γραμμές, τα RCS mobile Trojans μπορούν να εκτελέσουν πολλά διαφορετικά είδη παρακολούθησης, όπως η αναφορά της θέσης του στόχου, η λήψη φωτογραφιών, η αντιγραφή σημειώσεων από το ημερολόγιο, η καταγραφή νέων καρτών SIM που εισέρχονται στη μολυσμένη συσκευή και η υποκλοπή τηλεφωνημάτων και μηνυμάτων. Πέρα από τα κλασικά SMS, υποκλοπή γίνετια και σε μηνύματα που στέλνονται από συγκεκριμένες εφαρμογές, όπως το Viber, το WhatsApp και το Skype.
Εντοπισμός
Τα προϊόντα της Kaspersky Lab ανιχνεύουν τα RCS/DaVinci/Galileo εργαλεία spyware, τα οποία έχουν καταχωρηθεί με τις ονομασίες: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir and Backdoor.AndroidOS.Criag.
