• Главная
  • О нас
  • Контакты
  • РусскийРусский
    • АнглийскийАнглийский
    • ТоҷикӣТоҷикӣ

Информационные технологии в Таджикистане

  • Правительство
  • Банк
  • Интернет
  • Образование
  • Интервью
  • Телеком
  • СОПО
  • Вакансии
Главная 2015 Июль Взлом и отслеживание пользователей Viber, WhatsApp, Skype

Взлом и отслеживание пользователей Viber, WhatsApp, Skype. Слежение за мобильным телефоном.

Computer Password Security

HackingTeam 2.0

Прошло более года с момента публикации нашей последней статьи об итальянской компании HackingTeam, производящей «легальную» шпионскую программу Remote Control System (RCS). За это время многое изменилось, и пришла пора рассказать о новых результатах наших исследований этой вредоносной программы.

Расположение командных серверов

За время наших глубоких и долгих исследований мы обнаружили несколько важных вещей, самой существенной из которых является характерный признак, по которому можно распознать командные сервера RCS. Подробности этого метода мы представили на конференции Virus Bulletin 2013.

Вкратце: когда на «безвредный» командный сервер RCS посылается специальный запрос, командный сервер в ответ выдает следующее сообщение об ошибке:

blogpost_kl_hackingteam1_sm

Во-первых, сразу обращает на себя внимание кодовое слово «RCS». У нас были сомнения по поводу того, что может в данном ответе означать слово «Collector». Вероятно, это связано с тем, что сервер «собирает» информацию с зараженных компьютеров. Имея в виду этот характерный признак, мы просканировали все пространство IPv4 и нашли IP-адреса всех командных серверов RCS по всему миру. Местоположение найденных серверов мы нанесли на карту. Всего обнаружилось 326 командных серверов.

Количество командных серверов Страна
64 США
49 КАЗАХСТАН
35 ЭКВАДОР
32 ВЕЛИКОБРИТАНИЯ
24 КАНАДА
15 КИТАЙ
12 КОЛУМБИЯ
7 ПОЛЬША
7 НОВАЯ ЗЕЛАНДИЯ
6 ПЕРУ
6 ИНДОНЕЗИЯ
6 БРАЗИЛИЯ
6 БОЛИВИЯ
6 АРГЕНТИНА
5 РОССИЙСКАЯ ФЕДЕРАЦИЯ
5 ИНДИЯ
4 ГОНГКОНГ
4 АВСТРАЛИЯ
3 ИСПАНИЯ
2 САУДОВСКАЯ АРАВИЯ
2 МАЛАЙЗИЯ
2 ИТАЛИЯ
2 ГЕРМАНИЯ
2 ФРАНЦИЯ
2 ЕГИПЕТ
1 УКРАИНА
1 ТАИЛАНД
1 ШВЕЦИЯ
1 СИНГАПУР
1 РУМЫНИЯ
1 ПАРАГВАЙ
1 МАРОККО
1 ЛИТВА
1 КЕНИЯ
1 ЯПОНИЯ
1 ИРЛАНДИЯ
1 ВЕНГРИЯ
1 ДАНИЯ
1 ЧЕХИЯ
1 КИПР
1 БЕЛЬГИЯ
1 АЗЕРБАЙДЖАН
1 ПРОЧИЕ

blogpost_kl_hackingteam2_sm
Местонахождение текущих серверов HackingTeam на карте мира

Больше всего серверов обнаружено в США, Казахстане и Эквадоре. К сожалению, нельзя быть уверенными в том, что сервера, расположенные в определенной стране, используются соответствующими спецслужбами той же страны. Однако спецслужбам имеет смысл размещать командные сервера в своих странах, чтобы избежать юридических проблем с другими странами и изъятия серверов. Тем не менее, на основе информации WHOIS для некоторых IP-адресов было установлено, что они имеют отношение к государственным организациям; там же есть вполне определенное указание на то, кому они принадлежат.

Мобильные модули

Уже довольно давно было известно, что HackingTeam производит и вредоносные программы для мобильных телефонов. Однако на практике такие зловреды попадались редко. В частности, троянцы для Android и iOS никогда до этого не обнаруживались и были одним из оставшихся белых пятен в этой истории. В этом году мы обнаружили несколько модулей от мобильных вредоносных программ, созданных HackingTeam для следующих платформ:

  • Android
  • iOS
  • Windows Mobile
  • BlackBerry

Все эти модули управляются конфигурационными файлами, имеющими одинаковый формат – это с хорошей долей вероятности указывает на то, что они имеют отношение друг к другу и принадлежат одному семейству.

blogpost_kl_hackingteam3_sm

Конфигурационный файл из мобильных модулей RCS

Ввиду популярности iOS и Android мы, естественно, обращали на эти платформы основное внимание при анализе мобильных модулей. Модуль для iOS работает только на устройствах, подвергшихся джейлбрейкингу. Вот список основных функциональных возможностей модуля для iOS:

  • Контроль над Wi-Fi, GPS, GPRS
  • Запись голоса
  • E-mail, SMS, MMS
  • Получение списка файлов
  • Cookie-файлы
  • Доступ к списку посещенных URL-ссылок
  • Веб-страницы, сохраненные в кэше
  • Адресная книга (список контактов)
  • История звонков
  • Заметки
  • Календарь
  • Буфер обмена
  • Список приложений
  • Детектирование смены SIM-карты
  • Микрофон в режиме реального времени
  • Снимки с камеры
  • Поддержка чатов, WhatsApp, Skype, Viber
  • Запись нажатия клавиш во всех приложениях и экранах через библиотеку libinjection

blogpost_kl_hackingteam4_sm

Дизассемблированный код модуля iOS

Модуль для Android защищен оптимизатором/обфускатором DexGuard, и потому его очень сложно анализировать. Однако мы обнаружили, что образец обладает всем функционалом вышеописанного модуля iOS, а также поддерживает кражу информации из следующих приложений:

  • com.tencent.mm
  • com.google.android.gm
  • android.calendar
  • com.facebook
  • jp.naver.line.android
  • com.google.android.talk

blogpost_kl_hackingteam5_sm

Фрагмент модуля RCS Android

Модуль заражения мобильных устройств

Для нас также представляло особый интерес то, как образцы мобильных зловредов устанавливаются на мобильных устройствах. Мы обнаружили несколько модулей, которые заражают мобильные устройства при подсоединении их к зараженным компьютерам, работающим под Windows или Mac OS X.

Как уже говорилось, модуль iOS может использоваться только на устройствах, подвергшихся джейлбрейкингу. Вот почему модуль заражения iOS при передаче использует протокол AFP2. У этого модуля есть неплохой графический интерфейс, который позволяет произвести установку при наличии физического доступа к устройству-жертве или удаленного доступа с правами администратора к зараженному компьютеру.

blogpost_kl_hackingteam6-2

Основное окно модуля заражения iOS

iPhone1,1 iPhone1,2 iPhone2,1
iPhone3,1 iPhone3,2 iPhone3,3
iPhone4,1 iPhone5,1 iPhone5,2
iPad1,1 iPad2,1 iPad2,2
iPad2,3 iPad2,4 iPad3,1
iPad3,2 iPad3,3 iPad3,4
iPad3,5 iPad3,6 iPhone
iPhone 3G iPhone 3GS iPhone 4
iPhone 4 iPhone 4 (cdma) iPhone 4s
iPhone 5 (gsm) iPhone 5 iPad
iPad2 (Wi-Fi) iPad2 (gsm) iPad2 (cdma)
iPad2 (Wi-Fi) iPad3 (Wi-Fi) iPad3 (gsm)
iPad3 iPad4 (Wi-Fi) iPad4 (gsm)
iPad4

Список устройств Apple, поддерживаемых модулем заражения iOS

Установив соединение, модуль заражения iOS копирует на устройство несколько файлов и запускает файл install.sh:

blogpost_kl_hackingteam7_sm

Часть файла install.sh, запускаемого на зараженном iOS-устройстве

Как мы уже сказали, удаленный доступ с правами администратора к зараженному компьютеру – это один из способов, при помощи которых вредоносное ПО может быть установлено на подсоединенное мобильное устройство. Ограничением может быть только то, что поддерживаются только iOS-устройства, которые подверглись джейлбрейкингу. Тем не менее, эта проблема не является непреодолимой – через тот же зараженный компьютер киберпреступник может запустить утилиту для джейлбрейкинга, например Evasi0n. В этом случае от удаленного джейлбрейкинга и последующего заражения может защитить только код доступа, установленный на мобильном устройстве. Однако если устройство разблокировано при присоединении к зараженному компьютеру, оно может быть заражено атакующей стороной.

Еще один интересный модуль заражения для мобильных устройств – это модуль для устройств BlackBerry, использующий приложение JavaLoader для загрузки образцов вредоносного ПО на BlackBerry 4.5 и 5.0. В его дизассемблированном коде находим путь к отладочному файлу PDB – похоже, авторы по ошибке забыли его стереть. В момент создания вредоносного кода оригинал находился по адресу C:\HT\RCSBlackBerry\Workspace\RCS_BB_Infection_Agent\.

blogpost_kl_hackingteam8_sm

Фрагмент кода модуля заражения Blackberry, содержащий путь к PDB-файлу

Заключение

В ходе наших исследований (которые еще продолжаются) мы обнаружили колоссальную сетевую инфраструктуру, которая используется для осуществления контроля над вредоносными модулями RCS, внедренными на компьютеры-жертвы. Мы обнаружили существование мобильных модулей, работающих на всех распространенных мобильных платформах, в т.ч. на Android и iOS. Эти модули устанавливаются при помощи модулей заражения – специальных исполняемых файлов для компьютеров Windows или Mac, которые запускаются на уже зараженных компьютерах. Эти файлы берут под полный контроль зараженную компьютерную среду и то, что к ней подключается. Незаметно включая микрофон и регулярно делая снимки с камеры, вредоносная программа осуществляет постоянное наблюдение за целью, что на выходе оказывается гораздо эффективнее традиционной слежки.

Публикуемые нами новые данные по зловреду RCS группы HackingTeam очень важны, поскольку они демонстрируют уровень сложности этих средств наблюдения и их масштаб. Нам бы хотелось думать, что если мы сможем защищать наших пользователей от настолько развитых передовых угроз, то сможем без проблем защищать от более распространенных угроз, которые исходят от киберпреступников.

Приложение

MD5-суммы модулей заражения для мобильных устройств:

  • 14b03ada92dd81d6ce57f43889810087 – модуль заражения BlackBerry
  • 35c4f9f242aae60edbd1fe150bc952d5 – модуль заражения для iOS

MD5-суммы самплов под Android:

  • ff8e7f09232198d6529d9194c86c0791
  • 36ab980a954b02a26d3af4378f6c04b4
  • a2a659d66e83ffe66b6d728a52130b72
  • 9f06db99d2e5b27b01113f78b745ff28
  • a43ea939e883cc33fc766dd0bcac9f6a
  • a465ead1fd61afe72238306c7ed048fe

MD5-суммы самплов под Windows:

  • bf8aba6f7640f470a8f75e9adc5b940d
  • b04ab81b9b796042c46966705cd2d201
  • 1be71818a228e88918dac0a8140dbd34
  • c7268b341fd68cf334fc92269f07503a

Список командных серверов, активных по состоянию на 19 июня 2014 г.:

  • 50.63.180.***
  • 146.185.30.***
  • 204.188.221.***
  • 91.109.17.***
  • 106.186.17.***
  • 119.59.123.***
  • 95.141.46.***
  • 192.71.245.***
  • 106.187.99.***
  • 93.95.219.***
  • 106.187.96.***
  • 124.217.245.***
  • 23.92.30.***
  • 82.146.58.***
  • 93.95.219.***
  • 209.59.205.***

Модули RCS (имена, под которыми их распознают решения «Лаборатории Касперского»):

  • Backdoor.OSX.Morcut
  • Rootkit.OSX.Morcut
  • Trojan.OSX.Morcut
  • Backdoor.Win32.Korablin
  • Backdoor.Win64.Korablin
  • Rootkit.Win32.Korablin
  • Rootkit.Win64.Korablin
  • Trojan.Multi.Korablin
  • Trojan-Dropper.Win32.Korablin
  • Backdoor.AndroidOS.Criag
  • Trojan-Spy.AndroidOS.Mekir
  • Trojan.Win32.BBInfector
  • Trojan.Win32.IOSinfector
  • Trojan.OSX.IOSinfector
  • Trojan-Spy.IphoneOS.Mekir
  • Trojan-Spy.WinCE.Mekir
  • Trojan-Spy.BlackberryOS.Mekir
Июл 1, 2015Firdavs Yormatov
"Сапожник без сапог" - или почему сайты сотовых операторов не Mobile-friendlyКонкурс для журналистов
См. также
 
Как взломать Wi-Fi сеть с WEP шифрованием
Комментарии: 5
  1. kamol
    10 г. назад

    если нас следят и читают наши переписки что надо делать ? а сотовые связи делают запроси чтоб капать информацию через сим карту это возможно ? то есть все запроси проходят через них ?

    ОтветитьОтмена
    • Сергей
      9 г. назад

      ПОМОГУ ВЗЛОМАТЬ Вконтакте, Одн-ки, взлом почты, viber и whatsapp.
      По вопросам взлома пишите мне Вконтакте - id322843298
      Viber/whatsapp +380633876831
      Скайп - sergeiskif69
      Почта - hack.haman@gmail.com
      (Анонимность и конфиденциальность данных гарантирую)

      ОтветитьОтмена
  2. Nozim
    10 г. назад

    Цитаты:
    1)"Прошло более года с момента публикации НАШЕЙ последней статьи об итальянской компании HackingTeam...",
    2)"За время НАШИХ глубоких и долгих исследований мы обнаружили несколько важных вещей...",
    3)"В ходе НАШИХ исследований (которые еще продолжаются) мы обнаружили колоссальную сетевую инфраструктуру...",
    4)"Публикуемые НАМИ новые данные по зловреду RCS группы HackingTeam очень важны, поскольку они демонстрируют уровень сложности этих средств наблюдения и их масштаб."
    Кто это МЫ? Это статья не перевод с английского?

    ОтветитьОтмена
    • Responder
      10 г. назад

      @Nozim, ответ на твой 4-ый вопрос здесь: https://securelist.com/blog/mobile/63693/hackingteam-2-0-the-story-goes-mobile/

      ОтветитьОтмена
  3. K
    10 г. назад

    Вот Вам в дополнение http://habrahabr.ru/company/eset/blog/261887/

    ОтветитьОтмена

Добавить комментарий Отменить ответ

Картинка профиля Firdavs Yormatov
Firdavs Yormatov

Дизайнер и разработчик веб сайтов,
Занимаюсь продвижением и раскруткой веб сайтов.
Я еще студент в сфере веб-разработки
Век живи - век учись!

10 г. назад комментариев 5 Интернет, Телекомвзлом, Слежка, Хакинг4,786
  • en  Английский
  • ru  Русский
  • tj  Тоҷикӣ
0
GooglePlus
0
Facebook
0
Twitter
0
Linkedin
Активные колумнисты
Рисунок профиля (Orif Jr.)
Рисунок профиля (Suhrob N.)
Рисунок профиля (Farishtamoh Gulova)
Рисунок профиля (Bakhtiyor Bahriddinov)
Рисунок профиля (Firdavs Umarjonov)
Рисунок профиля (Yahya Qurbani)
Рисунок профиля (Khushruz Hazratkulov)
Рисунок профиля (muhtasham)
Рисунок профиля (Farhod Pulatov)
Рисунок профиля (Jafar Urunov)
Рисунок профиля (Daler Bahritdinov)
Рисунок профиля (Erkin Kholmatov)
Рисунок профиля (Dilrabo Shukri)
Рисунок профиля (Parviz Bobojonov)
Рисунок профиля (Madina Rasul-zade)
Наша рассылка
Подпишитесь на нашу рассылку, чтобы получать последние новости и события
* = поле обязательно
КАЛЕНДАРЬ СОБЫТИЙ

Нет предстоящих events в указанный период времени.

Следите за нами на Твиттере
Мои твиты
Популярные
RSS ИТ блоги
- 2013 — Company ICT4D.TJ.
This material is Open Knowledge Лицензия Creative Commons
Content on this site, made by ICT4D.TJ, is licensed under a
Creative Commons «Attribution-NonCommercial-ShareAlike» 4.0 International License
.