Witam Państwa. W dzisiejszych czasach kiedy globalny internet przypomina dżunglę to niezwykle trudne mają życie użytkownicy telefonów a zwłaszcza ci którzy ignorują wszelkie aktualizacje wysyłane przez producentów czy przez GOOGLE . Można było w zasadzie oczekiwać iż rynek systemów inwigilacji nie spocznie na laurach tylko będzie starał się wyprodukować jeszcze lepsze niż znane i opisane systemy PEGASUS, CIRCLE czy niedawno opisywany system PREDATOR CYTROX. Tak też się stało. W czerwcu 2022 roku analitycy firmy LOOKOUT oraz współpracującej firmy CITIZEN LAB poinformowali o odkryciu szpiegowskiego systemu inwigilacji – HERMIT.
Zanim jednak przejdziemy do szczegółów przypomnę Państwu oba moje blogi opisujące wyżej wymienione systemy inwigilacji.
👇
Biały Wywiad. System inwigilacji „CIRCLES”. – Source Intelligence (wpcomstaging.com)
👇
Pegasus i Predator. – Source Intelligence (wpcomstaging.com)
16.06.2022.
W tym dniu firma LOOKOUT opublikowała informację o nowym, szpiegowskim systemie inwigilacji HERMIT. Ponieważ w tym artykule są bardzo ważne informacje pozwoliłem sobie na przetłumaczenie fragmentów a poniżej umieszczam dodatkowo link do tego artykułu.
” Badacze z Lookout Threat Lab odkryli oprogramowanie do nadzoru Android klasy korporacyjnej używane przez rząd Kazachstanu w jego granicach. Chociaż od jakiegoś czasu śledzimy to zagrożenie dzięki Lookout Endpoint Detection and Response (EDR), te najnowsze próbki zostały wykryte w kwietniu 2022 r., cztery miesiące po brutalnym stłumieniu ogólnokrajowych protestów przeciwko polityce rządu. Na podstawie naszej analizy oprogramowanie szpiegujące, które nazwaliśmy „Pustelnikiem” / HERMIT/ , prawdopodobnie zostało opracowane przez włoskiego dostawcę systemu szpiegującego RCS Lab S.p.A i Tykelab Srl, firmę zajmującą się rozwiązaniami telekomunikacyjnymi, co do której podejrzewamy, iż działa jako firma-przykrywka. To nie pierwszy raz, kiedy Hermit został wdrożony. Wiemy, iż władze włoskie użyły go w operacji antykorupcyjnej w 2019 r. Znaleźliśmy również dowody sugerujące, iż nieznany aktor użył go w północno-wschodniej Syrii, regionie w większości kurdyjskim, który był miejscem wielu konfliktów regionalnych.
Chociaż niektóre próbki Hermita zostały już wykryte i są powszechnie uznawane za ogólne oprogramowanie szpiegujące, powiązania, które nawiązujemy w tym blogu z programistami, kampaniami i operatorami, są nowe. RCS Lab, znany deweloper działający od ponad trzech dekad, działa na tym samym rynku, co deweloper Pegasus NSO Group Technologies i Gamma Group, które stworzyły firmę FinFisher. Wspólnie określane jako firmy „legalne przechwytywanie”, twierdzą, iż sprzedają tylko klientom, którzy mają legalne wykorzystanie systemu inwigilacyjnego, takiemu jak wywiad i organy ścigania. W rzeczywistości takie narzędzia są często nadużywane pod przykrywką bezpieczeństwa narodowego do szpiegowania biznesmenów, obrońców praw człowieka, dziennikarzy, naukowców i urzędników państwowych.
Co to jest system inwigilacji HERMIT?
Nazwany na cześć odrębnej ścieżki serwera używanej przez system dowodzenia i kontroli atakującego (C2), system inwigilacji Hermit to modułowe oprogramowanie do nadzoru, które ukrywa swoje złośliwe możliwości w pakietach pobranych po wdrożeniu. Uzyskaliśmy i przeanalizowaliśmy 16 z 25 znanych modułów, każdy o unikalnych możliwościach. Moduły te, wraz z uprawnieniami, jakie mają podstawowe aplikacje, umożliwiają Hermitowi wykorzystywanie zrootowanego urządzenia, nagrywanie dźwięku oraz wykonywanie i przekierowywanie połączeń telefonicznych, a także zbieranie danych, takich jak dzienniki połączeń, kontakty, zdjęcia, lokalizacja urządzenia i wiadomości SMS. Teoretyzujemy, iż oprogramowanie szpiegujące jest rozpowszechniane za pośrednictwem wiadomości SMS, które udają, iż pochodzą z legalnego źródła. Analizowane próbki złośliwego systemu podszywały się pod aplikacje firm telekomunikacyjnych lub producentów telefonów. Hermit oszukuje użytkowników, wyświetlając legalne strony internetowe marek, pod które się podszywa, ponieważ uruchamia złośliwe działania w tle. Wiemy o wersji aplikacji Hermit na iOS, ale nie udało nam się uzyskać próbki do analizy.
„Wdrożenie” w Kazachstanie.
Nasza analiza sugeruje, iż system inwigilacji Hermit nie tylko został wysłany do Kazachstanu, ale iż prawdopodobnie stoi za kampanią jako podmiot tamtejszego rządu . Według naszej wiedzy jest to pierwszy przypadek zidentyfikowania obecnego klienta mobilnego szkodliwego systemu RCS Lab. Próbki z tej kampanii wykryliśmy po raz pierwszy w kwietniu 2022 roku. Były one zatytułowane „oppo. service” i podszywały się pod chińskiego producenta elektroniki Oppo. Witryna, na której szkodliwe oprogramowanie wykorzystywała do maskowania swojej szkodliwej aktywności, jest oficjalną stroną wsparcia Oppo (http://oppo-kz.custhelp[.]com) w języku kazachskim, która od tego czasu jest offline. Znaleźliśmy również próbki podszywające się pod Samsunga i Vivo.
Nieistniejąca już strona wsparcia Oppo w języku kazachskim jest ładowana i wyświetlana użytkownikom.
Przed wykryciem próbek z Kazachstanu znaleźliśmy w pasywnych rejestrach DNS „Pustelnika” / Hermit / odniesienie do „Rojavy”, kurdyjskojęzycznego regionu w północno-wschodniej Syrii. Jest to istotne, ponieważ region był miejscem trwających kryzysów, takich jak wojna domowa w Syrii i konflikty między Państwem Islamskim (IS) a kierowaną przez USA koalicją poparcia dla kierowanych przez Kurdów Syryjskich Sił Demokratycznych (SDF). Ostatnio Turcja przeprowadziła serię operacji wojskowych przeciwko SDF, które doprowadziły do częściowej okupacji regionu. Znaleziona przez nas domena (rojavanetwork[.]info) w szczególności imituje „Rojava Network”, markę mediów społecznościowych na Facebooku i Twitterze, która zapewnia relacje z wiadomościami i analizę polityczną regionu, często wspierając operacje SDF.
Domena rojavanetwork[.]info wydaje się specjalnie imitować „Rojava Network”, markę mediów społecznościowych na Facebooku i Twitterze, która zapewnia relacje w wiadomościach i analizę polityczną regionu, często wspierając operacje SDF. Poza Syrią system inwigilacji Hermit został rozmieszczony we Włoszech. Zgodnie z dokumentem wydanym przez włoską izbę niższą w 2021 r. władze włoskie potencjalnie nadużyły go w operacji antykorupcyjnej. W dokumencie wspomniano o wersji Hermita na iOS i powiązano RCS Lab i Tykelab ze złośliwym oprogramowaniem, co potwierdza naszą analizę.
RCS Lab i jego kontrowersyjne powiązania podobnie jak wielu producentów systemu szpiegującego, kilka wiadomo o RCS Lab i jego klientach. Ale z informacji, które posiadamy, wynika, iż ma on znaczącą obecność na arenie międzynarodowej. Według ujawnionych dokumentów opublikowanych w WikiLeaks w 2015 r. RCS Lab już w 2012 r. był resellerem innego włoskiego dostawcy systemu szpiegującego, HackingTeam, znanego w tej chwili jako Memento Labs. Korespondencja między obiema firmami ujawniła, iż RCS Lab współpracuje z agencjami wojskowymi i wywiadowczymi w Pakistanie , Chile, Mongolię, Bangladesz, Wietnam, Birmę i Turkmenistan — te trzy ostatnie zostały sklasyfikowane jako reżimy autorytarne według Indeksu Demokracji. RCS Lab ma również wcześniejsze kontakty z Syrią, innym autorytarnym reżimem, w ramach współpracy z berlińską Advanced German Technology (AGT) w celu sprzedaży rozwiązań inwigilacyjnych.
Oto moduły, które udało nam się nabyć (pełne zestawienie poszczególnych modułów znajduje się w załączniku): Wydarzenie dotyczące ułatwień dostępu.
I na końcu link do tego artykułu w którym też jest sporo informatyki ale to pozostawiam tylko dla internautów interesujących się wszystkimi szczegółami technicznymi.
👇
Lookout Uncovers Android Spyware Deployed in Kazakhstan
Oczywiście iż praktycznie natychmiast Google ostrzegł użytkowników Androida, iż dostawcy usług internetowych (ISP) umożliwili cyberprzestępcom wykorzystywanie systemu szpiegującego Hermit do infekowania docelowych telefonów.
👇
Analitykom udało się ustalić IP i lokalizację producenta tego systemu.
👇
A więc kod zródłowy wskazał na włoską firmę TYKELAB w siedzibą w Rzymie. Zrobiłem geolokalizację tego adresu.
Dodatkowe dochodzenie przeprowadzone przez profesora Rona Deiberta który jest szefem kanadyjskiego instytutu CITIZEN LAB wraz z śledczym portalem @LHreports ujawniają włoskiego dostawcę monitoringu Tykelab srl jest spółką zależną od słynnej włoskiej firmy RCS Lab z siedzibą w Mediolanie .
👇
Rywal w zakresie nadzoru NSO działający w UE (euobserver.com)
W czerwcu 2022 r. Google i Project Zero szczegółowo wyszczególniły oprogramowanie szpiegujące RCS Labs, którego celem są użytkownicy we Włoszech i Kazachstanie.
RCS Labs współpracowało z nieistniejącym już dostawcą systemu szpiegującego Hacking Team z którego aplikacji korzystało CBA.
Mapowanie „Niewykrywalnego” systemu szpiegującego zespołu hakerskiego (citizenlab.ca)
A na końcu bloga wskazówki i rady przekazane przez specjalistów z Lookout i Citizen Lab.
👇
Jak chronić się przed oprogramowaniem szpiegującym, takim jak Hermit ?
1.Dzięki wyrafinowanym możliwościom gromadzenia danych oraz faktowi, iż stale je nosimy, urządzenia mobilne są idealnym celem do inwigilacji. Chociaż nie wszyscy z nas będą celem wyrafinowanego systemu szpiegującego, oto kilka wskazówek, jak zapewnić bezpieczeństwo sobie i swojej organizacji:
2. Zaktualizuj swój telefon i aplikacje: systemy operacyjne i aplikacje często mają luki w zabezpieczeniach, które należy naprawić !
3. Zaktualizuj je, aby upewnić się, iż exploity zostaną rozwiązane !
4. Nie klikaj nieznanych linków: jednym z najczęstszych sposobów dostarczania złośliwego systemu przez atakującego jest wysłanie do Ciebie wiadomości podszywającej się pod wiarygodne źródło !
5.Nie klikaj w linki, zwłaszcza gdy nie znasz źródła !
6. Nie instaluj nieznanych aplikacji: zachowaj ostrożność podczas instalowania nieznanych aplikacji, choćby jeżeli źródło aplikacji wydaje się legalnym autorytetem !
7. Okresowo sprawdzaj swoje aplikacje: czasami złośliwe oprogramowanie może zmienić ustawienia lub zainstalować dodatkową zawartość w telefonie !
8. Okresowo sprawdzaj swój telefon, aby upewnić się, iż nie dodano nic nieznanego !
Poza przestrzeganiem opisanych powyżej najlepszych praktyk w zakresie bezpieczeństwa zdecydowanie zalecamy posiadanie dedykowanego rozwiązania bezpieczeństwa mobilnego, aby zapewnić, iż Twoje urządzenie nie zostanie naruszone przez złośliwe oprogramowanie lub ataki typu phishing ! „.
Dziękując Państwu za uwagę zapraszam na kolejny blog z cyklu BIAŁY WYWIAD.
Świętowit.