2015年1月20日 星期二

---Released by csoonline.com**Shodan exposes IoT vulnerabilities !**-&--**HackingTeam mobile, PC spyware for governments spans many countries!**-&&-**Police Story: Hacking Team’s Government Surveillance Malware !**- ---由csoonline.com發布的**撒旦暴露物聯網的漏洞**! - &--HackingTeam手機,PC間諜軟件為政府跨越許多國家 !-&&-**警察故事:!黑客團隊的政府監視惡意軟件!**- ---csoonline.com에 의해 출시 **Shodan는 만약 IoT 취약점을 노출** - & - **HackingTeam 모바일은, 정부에 대한 PC의 스파이웨어가 많은 국가에 걸쳐** - && - **경찰 이야기 :! 해킹 팀의 정부 감시 악성 코드!**- ---Libéré par csoonline.com **Shodan expose vulnérabilités IdO** - & - **HackingTeam mobile, PC les logiciels espions pour les gouvernements de nombreux pays se étend** - && - **Police Story:! Surveillance Malware gouvernement de Hacking équipe!**- ---csoonline.comによってリリース**初段はIoTの脆弱性を公開します** - & - ** HackingTeamのモバイルは、政府にとってのPCスパイウェアは、多くの国にまたがる** - && - **警察ストーリー!:ハッキングチームの政府監視マルウェア!**- ---Durch csoonline.com Freigegeben **Shodan macht IoT Schwach** - & - **HackingTeam Handy, PC Spyware Regierungen reicht vielen Ländern** - && - **Police Story:! Hacking Teams Regierung Surveillance Malware!**- ---Ĵetita de csoonline.com **Shodan elmontras IoT vulnerabilidades!** - & - **HackingTeam móviles, PC spyware por registaroj ĉirkaŭprenas multaj landoj!** -&&-**Polico Story: Hacking Team Registaro Surveillance Malware!**- **USA/UK/SEAOUL KOREAN/TW/MACAU(FDZ)/HKS/FR/JP/UKN/DE/FA/POL/VI/ESP`/CO/ARG/PY/MEX/MO/AUST./RU/HO/MAL/NW/CA/IT/PH/Swedis/Mongolian/TUR/Arabic/Latin/INDON./Greek/Dansk/THAI/......All the world lauguage**-

iot shodan
---Released by csoonline.com**Shodan exposes IoT vulnerabilities !**-&--**HackingTeam mobile, PC spyware for governments spans many countries!**-&&-**Police Story: Hacking Team’s Government Surveillance Malware !**-
---由csoonline.com發布的**撒旦暴露物聯網的漏洞**! - &--HackingTeam手機,PC間諜軟件為政府跨越許多國家 !-&&-**警察故事:!黑客團隊的政府監視惡意軟件!**-
---csoonline.com에 의해 출시 **Shodan는 만약 IoT 취약점을 노출** - & - **HackingTeam 모바일은, 정부에 대한 PC의 스파이웨어가 많은 국가에 걸쳐** - && - **경찰 이야기 :! 해킹 팀의 정부 감시 악성 코드!**-
---Libéré par csoonline.com **Shodan expose vulnérabilités IdO** - & - **HackingTeam mobile, PC les logiciels espions pour les gouvernements de nombreux pays se étend** - && - **Police Story:! Surveillance Malware gouvernement de Hacking équipe!**-
---csoonline.comによってリリース**初段はIoTの脆弱性を公開します** - & - ** HackingTeamのモバイルは、政府にとってのPCスパイウェアは、多くの国にまたがる** - && - **警察ストーリー!:ハッキングチームの政府監視マルウェア!**-

---Durch csoonline.com Freigegeben **Shodan macht IoT Schwach** - & - **HackingTeam Handy, PC Spyware Regierungen reicht vielen Ländern** - && - **Police Story:! Hacking Teams Regierung Surveillance Malware!**-
---Ĵetita de csoonline.com **Shodan elmontras IoT vulnerabilidades!** - & - **HackingTeam móviles, PC spyware por registaroj ĉirkaŭprenas multaj landoj!** -&&-**Polico Story: Hacking Team Registaro Surveillance Malware!**-
**USA/UK/SEAOUL KOREAN/TW/MACAU(FDZ)/HKS/FR/JP/UKN/DE/FA/POL/VI/ESP`/CO/ARG/PY/MEX/MO/AUST./RU/HO/MAL/NW/CA/IT/PH/Swedis/Mongolian/TUR/Arabic/Latin/INDON./Greek/Dansk/THAI/......All the world lauguage**-

-**Please use the god home use Google translator to translate the language of your country or city Oh ^^-
-**請各位用家善用谷歌大神的翻譯器,來翻譯你們的國家或城市的語言喔^^-
-**국가 또는 도시 ^^ 언어를 번역하는the 하나님의 가정에서 사용하는 구글 번역기를 사용하십시오-
-**Se il vous plaît utiliser l'utilisation de la maison de Dieu traducteur de Google pour traduire la langue de votre pays ou ville Oh ^^-
-**あなたの国や都市ああ^^の言語を翻訳するために神の家庭用のGoogle翻訳を使用してください -
-**Будь ласка, використовуйте бог домашнього використання перекладач Google перевести мову вашої країни або міста Oh ^^-
-**Bitte benutzen Sie den Gott den Heimgebrauch Google Übersetzer, um die Sprache Ihres Landes oder Stadt Oh ^^ übersetzen-
-**Käytäthe jumala kotikäyttöön Googlen kääntäjä kääntääthe kieli maata tai kaupunkia Oh ^^-
-**Proszę używać korzystania bóg startowej Google Translator przetłumaczyć język kraju lub miasta Oh ^^-
-**Vui lòng s dng vic s dng thn ch Google phiên dch đ dch các ngôn ng ca đt nước, thành ph ca bn Oh ^^-
-**Utilice el uso dios casa traductor de Google para traducir el idioma de su país o ciudad Oh ^^-
-**Utere deo, domum usu translator Google Translate to the language of patriae, civitatem O ^^-
-**Пожалуйста, используйте бог домашнего использования переводчик Google перевести язык вашей страны или города Oh ^^ -
-**Gebruik de god thuisgebruik Google vertaler naar de taal van uw land of stad Oh ^^ vertalen-
-**Sila gunakan digunakan di rumah tuhan penterjemah Google untuk menterjemahkan bahasa negara atau bandar anda Oh ^^-
-**Bruk gud hjemmebruk Google oversetter til å oversette språket i landet eller byen Oh ^^-
-**Si prega di utilizzare l'uso dio Home page di Google traduttore per tradurre la lingua del proprio paese o città Oh ^^-
-**Mangyaring gamitin ang bahay diyos paggamit tagasalin ng Google upang i-translate ang wika ng iyong bansa o lungsod Oh ^^-
-**Använd guden hemmabruk Google översättare att översätta språket i ditt land eller stad Oh ^^-
-**الرجاء استخدام استخدام إله المنزل مترجم جوجل لترجمة لغة بلدك أو المدينة أوه ^^-
- **Utere deo, domum usu translator Google Translate to the language of patriae, civitatem O ^^-
-**Silahkan gunakan penggunaan dewa rumah Google translator untuk menerjemahkan bahasa negara atau kota Oh ^^-
-**Brug venligst gud hjemmebrug Google oversætter til at oversætte sproget i dit land eller by Oh ^^-
-**Παρακαλώ χρησιμοποιήστε το θεό οικιακή χρήση του Google μεταφραστή να μεταφράσει τη γλώσσα της χώρας ή της πόλης σας Ω ^^-
-**กรุณาใช้theใช้งานที่บ้านพระเจ้าของ Google แปลที่จะแปลภาษาของประเทศหรือเมืองของคุณโอ้ ^^the-
-**Bonvolu uzi la dio hejmo uzo Google tradukisto por traduki la lingvon de via lando aŭ urbo Ho ^^- ** 

 http://www.csoonline.com/article/2867407/network-security/shodan-exposes-iot-vulnerabilities.html

Shodan exposes IoT vulnerabilities

iot shodan
 Credit: CSO staff.

The Shodan search engine is the Google for the Internet of Things, a playground for hackers and terrorists -- and, maybe, a useful tool for companies looking to lock down their own environment

 By
CSO |
The Shodan search engine can be used to find routers with exposed backdoors, unsecured webcams, and industrial control systems still using default passwords.
It's the Google for the Internet of Things, a playground for hackers and terrorists -- and, maybe, a useful tool for companies looking to lock down their own environment.
Shodan founder John Matherly launched the search engine more than five years ago as a marker intelligence tool, designed to provide technology companies with information about where and how their products was being used.

"And of course the same type of information can be queried about competitors, to better understand how they're positioned in the market using empirical data," said Matherly.
Since its launch, however, the search engine has taken on a life of its own, he admits.
"It has become a tool by security experts to gain a better understanding of the Internet," he said.
The public website is actually a small piece of what Shodan offers. Enterprise clients can buy raw, real-time access to all the data it collects.
For example, a company can use Shodan to search its own networks.
"It is very common for large companies to have a random computer laying around running Telnet or having a building automation system online that wasn't properly configured by a contractor," he said. "And with the advent of cloud computing, I've seen a big increase in the number of publicly-accessible cloud servers that don't have any authentication enabled and therefore leak their entire contents to the Internet."
A company can also use Shodan to check the security of companies they're considering acquiring or doing business with.
[ Study finds firmware plagued by poor encryption and backdoors ]
Another use of Shodan is to find the malware command and control servers used by cybercriminals, which is normally a very time-intensive process.
"However it is very straight-forward to identify them with Shodan once a fingerprint has been established," Matherly said.
"I don't see it as a threat," said Leonard Jacobs, president and CEO at Minneapolis-based managed security service provider Netsecuris Inc. "For our practice, we see it as a good thing for our customers, we use it to confirm what we find through other techniques."
In theory, a company would know about all the devices and systems it has exposed on the Internet, he said.
But sometimes, for the sake of convenience, corners are cut.
"You'll be surprised what you'll find out there," he said.

A force for evil?

Shodan allows attackers to quickly identify specific devices, or specific software, on a very large scale.
"For example, every web-connected Furby could be identified quickly by going to Shodan and looking for the appropriate signature, versus the hacker having to scan the entire Internet," said Shane MacDougall, a partner at Canadian security consultancy Tactical Intelligence Inc.
Cybercriminals, terrorists, rogue nation-states, even rival companies can use Shodan to identify critical infrastructure and cause it to malfunction, said Jean Taggart, security researcher at San Jose-based Malwarebytes Corp.
And fixing these problems isn't always a high priority for organizations, he added.
"I worry that we won’t see movement until a serious enough event occurs," he said. "A government-led effort to identify the owners of these devices and secure them is in high order."
Using Shodan also means that a hacker doesn't set off any warning bells at a targeted company.
According to Michael Baucom, vice president of R&D at Columbia, Md.-based Tangible Security, the true power of Shodan is that all the scanning has already been done -- the user is simply querying the results without revealing their address or actions to the target, and with minimal effort.
"Scans of the magnitude of Shodan would take a long time and would be very noisy," he said.
But Shodan doesn't actually create any vulnerabilities, said Hagai Bar-El, CTO at Sansa Security, an Israel-based security firm focusing on the Internet of Things.
"It merely points them out," he said. "Unarguably, detecting weak nodes is an important part of an attack, but hackers have been able to do this with automated crawlers, long before Shodan was developed."
In addition, most independent security researchers agree that once a vulnerability is discovered, the public is better off if it is publicized rather than kept secret, he said.
"The public that relies on the vulnerable system has a right to be made aware of its vulnerable state," he said. That way, they can do something about it, such as switching vendors.
"Publishing a flaw found in a commercial product is the only effective way of encouraging the vendor to actually fix it," he added. "History is full of examples of vendors that have ignored security issues in their products for months and years until those flaws are made public."
Meanwhile, every unfixed vulnerability is a "ticking timebomb," he said.
But it's not just that the bad guys already have these tools available, said Shodan's Matherly,. The Shodan website requires that users register for an account, and only the first set of search results is free.
There are also "numerous technical measures" to prevent abuse, Matherly added.
"In reality, it is much cheaper and effective for the bad guys to use a botnet or a compromised host running [open source network scanning tools] zmap or masscan than to search Shodan."


==============================================
 http://www.csoonline.com/article/2367682/data-protection/hackingteam-mobile-pc-spyware-for-governments-spans-many-countries.html

governments spans many countries

 By
CSO |

Newly released research has uncovered several hundred command-and-control servers across more than 40 countries powering controversial spyware sold to governments and law enforcement.
In addition, researchers found that the legal malware of Italian company HackingTeam is capable of spying on, and stealing data from, users of Android and Apple iOS devices. While suspected, such capabilities had not been proven previously.
[The process and tools behind a true APT campaign: Command & Control]

Research teams from anti-virus vendor Kaspersky Lab and Citizen Lab, based at the Munk Centre for International Studies in the University of Toronto, presented their findings Tuesday at an event in London. The teams had collaborated on the research.
The researchers identified a total of 326 C&C servers, with the largest number in the U.S., Kazakhstan and Ecuador. Who was behind the servers and whether they were being used in the countries where they were located was not known.
"Unfortunately, we can’t be sure that the servers in a certain country are used by that specific country’s LEAs (law enforcement agencies)," Kaspersky experts said on the company's Securelist blog. "However, it would make sense for LEAs to put their C&Cs in their own countries in order to avoid cross-border legal problems and the seizure of servers."
The newly discovered mobile version of HackingTeam's Remote Control System (RCS) malware was capable of infecting Android phones and jailbroken Apple iPhones.
To infect pristine iPhones, a personal computer would first have to be infected with malware that would first run a jailbreaking tool, such as Evasi0n, when the phone is synchronized with the PC. Malware would be planted after the phone is jailbroken.
The mobile malware, versions of which had already been discovered for Windows Mobile and BlackBerry, is capable of recording voice from phone calls and the microphone. It can also take pictures, copy the address book and calendar and capture email and messages sent via Skype, WhatsApp and Viber.
The Android version could also hijack Facebook, Google Talk and Tencent applications. The latter is a Chinese Internet company that provides social networks and other services.
HackingTeam's malware has been used by governments to gather information and to spy on criminals, political activists and journalists.
HackingTeam says on its website that the RCS toolkit is targeted at "law enforcement and intelligence communities." However, there is nothing preventing cybercriminals from finding a way to get a hold of the malware and targeting companies.
"This malware can be repurposed and used against the 'good guys,'" Sergey Golovanov, principal security researcher for Kaspersky Lab, said.
Companies are advised to scan PCs and Macs with anti-virus products capable of finding RCS malware. If the malware is found, then companies should also check mobile devices, which could have been infected when connected to one of the compromised systems.
[Google clarifies commercial spyware ban for Play store]
"Unfortunately there is no way to guarantee 100 percent detection of malware in iOS, Blackberry or Windows Mobile phones," Golovanov said.
Therefore, companies should watch for other indicators that malware is running, such as unusually low battery life and high network traffic.


=============================================
 https://citizenlab.org/2014/06/backdoor-hacking-teams-tradecraft-android-implant/

Police Story: Hacking Team’s Government Surveillance Malware

June 24, 2014

Download PDF version I Read on ISSUU
Authors:
Morgan Marquis-Boire, John Scott-Railton, Claudio Guarnieri, and Katie Kleemola
For media coverage of this report, see The EconomistAssociated Press, WiredVICEInternational Business TimesForbes, Ars Technica, Kaspersky’s Threatpost, Slash Gear, Engadget, Help Net Security, The Verge, CIO Today, Voice of America (VOA)Computer World, Infosecurity Magazine, and Slate.
Read the Arabic Version  / النسخة العربية  translated by Cyber Arabs

The left newspapers might whine a bit
But the guys at the station they don’t give a shit
Dispatch calls “Are you doin’ something wicked?”
“No siree, Jack, we’re just givin’ tickets”
Police Truck, Dead Kennedys (1980)

Summary

  • In Part 1, we analyze a newly discovered Android implant that we attribute to Hacking Team and highlight the political subtext of the bait content and attack context.
  • In Part 2, we expose the functionality and architecture of Hacking Team’s Remote Control System (RCS) and operator tradecraft in never-before published detail.

Introduction

This report analyzes Hacking Team’s Android implant, and uses new documents to illustrate how their Remote Control System (RCS) interception product works. This work builds on our previous research into the technologies and companies behind “lawful interception” malware.  This technology is marketed as filling a gap between passive interception (such as network monitoring) and physical searches.  In essence, it is malware sold to governments.  Unlike phone monitoring and physical searches, however, most countries have few legal guidelines and oversight for the use of this new power.  In light of the absence of guidelines and oversight, together with its clandestine nature, this technology is uniquely vulnerable to misuse. By analysing the tools, and their proliferation at the hands of companies like Hacking Team and Gamma Group, we hope to support efforts to ensure that these tools are used in an accountable way, and not to violate basic principles of human rights and rule of law.
In a report published earlier this year, we presented the results of a global scanning effort, and identified 21 countries with deployments of Hacking Team’s Remote Control System monitoring solution. In addition, alongside other researchers, we have uncovered a range of cases where “lawful interception” software has been used against political targets by repressive regimes. Political and civil society targets have included Mamfakinch in Morocco, human rights activist Ahmed Mansoor in the UAE, and ESAT, a US-based news service focusing on Ethiopia. In all of these cases, a tool marketed for “law enforcement” was used against political, rather than security threats.  In still other cases, like Malaysia [PDF], we have found bait documents and seeding suggestive of political targeting.

Part 1: An Android Hacking Team Backdoor in Saudi Arabia

Protests in Saudi Arabia and Qatif

While Saudi Arabia has not seen protests comparable to those elsewhere during the Arab Spring, it has experienced protests since 2011, primarily in the Ash-Sharqīyah province.  There are a number of reasons for political tensions, ranging from demographic pressures, cost of housing, and unemployment, to issues of women’s and minority rights. The province is predominantly Shia, who have long-standing grievances over perceived political and cultural marginalization by the Sunni ruling regime. These grievances were magnified when, in early 2011, the Bahraini government violently suppressed Shia protests with the assistance of Saudi Arabian troops.
Protests then spread in a number of areas, including in the predominantly Shia Qatif Governorate. In 2011, Shia most protesters appear to have initially demanded reform, rather than the regime-change advocated in other Arab countries.  Interestingly, Qatif has a history of Shia protest, most famously in widespread protests in 1979.  In response to the protests, which demanded greater political and economic participation, the regime provided extensive economic concessions.  In 2011, however, authorities responded with violence and arrests of prominent Shia figures. Protesters were wounded and others allegedly killed by security forces, according to Human Rights Watch.  This crackdown may have contributed to shifting protesters’ demands; today, some explicitly demand regime change using secular language, according to researchers and journalists directly familiar with recent developments who spoke with us.  In what might be described as an inflammatory response, Saudi authorities also arrested an outspoken and highly visible Shia Sheikh.
“… the prosecutor demanded he face not only the death sentence, but an additional punishment mandated by sharia law for the most heinous offences in which the dead body is defiled by being hanged from a pole.” -Reuters
The escalation, which has been accompanied by violence against security services among some Shia, is used by the regime to justify harsh measures, including “riot control,” arrests, and sentences including death for protesters on charges of “Sedition.”  Others have been charged with espionage on behalf of Iran, in a case that has been claimed by many Shia to have been politically motivated.
Human rights organizations that have catalogued alleged abuses, like the Adala Center for Human Rights, have been denied the ability to register as formal organizations, subject to URL blocking, and had staff harassed and imprisoned. Journalists attempting to report on Qatif are blocked from entering, and regularly subjected to threats and government pressure.
Social media and mobile phones are a key part of how protests are organized, with protesters taking measures, like using pseudonymous accounts, to share their message.  Nevertheless, according to people familiar with the events, digital operational security practices are often piecemeal, and do not match the capabilities of the security services.

Surveillance, Monitoring and Information Control in Saudi Arabia

Saudi Arabia is a unique and complex security environment, and its security services play a range of roles.  On the one hand, Saudi Arabia faces undeniable foreign and domestic security threats from hostile groups, extremists and other governments. On the other hand, the regime has been exceptionally aggressive in its attempts to control and stifle dissent and political pluralism.
The security services in Saudi Arabia make use of a range of instruments of formal and informal state power to control the electronic information environment in the country.  Beginning at government-maintained Internet chokepoints and extending to ISPs, the state blocks a wide range of political, religious and cultural content.  This includes social media, whether specific users or whole platforms.  Extending further, the state requires that news websites (defined broadly) register with the authorities.  Registered websites are subject to extensive regulation, while unregistered operators that have not registered risk severe penalties.  Site operators are encouraged to self-monitor and moderate content, under threat of financial penalties, jail time, and corporal punishment like lashes.  In addition, anti-cybercrime legislation has also been used to prosecute online dialogue that most societies would consider acceptable political speech.
The public use of mobile monitoring extends into forms of social control that many societies would find highly objectionable.  For example, the government earned international condemnation when it announced that it would implement a system to enable their male guardian to monitor the travel behavior of women under their care.  Replacing an older permission-slip based system (“yellow cards”), male guardians receive text messages when women arrive on the premises of the international airport, asking whether the women are permitted to travel.
Internet and social media users are encouraged to self-censor and report on each other.  The government engages in public advertising campaigns to encourage both behaviours, and makes it clear to Saudi citizens that they are watching, and listening.  In particular, the state has implemented specific penalties for re-sharing, privately or publicly, content deemed objectionable.  In addition to using the explicit tools of the law, it is widely believed that the state encourages an “electronic army” of pro-government individuals to swamp social media conversations with pro-regime voices and harass dissenters.
Speech involving religious themes is especially risky, as the government is willing to use serious religious charges, including the death penalty and corporal punishment, and tools of international jurisprudence like extradition, to detain and punish those who violate its strict norms for political, religious, and cultural speech.
In two notable cases, the operator of the Saudi Liberals discussion forum was eventually sentenced to 10 years in prison and 1000 lashes for maintaining a forum on the discussion of religion and reform.  This was a reduction of sorts, as the prosecution demanded his execution.  Many similar cases, using various charges, have been reported by human rights organizations and commentators.
These measures have an intentionally chilling effect on political speech, and are regularly the subject of criticism by the international human rights community.  Nevertheless, social media remains the primary outlet for political speech.  Many users practice some degree of self censorship, or indirect speech, while others use pseudonyms and other technical means to preserve their anonymity.   To access banned content, the use virtual private networks (VPNs) is also common. In response, security services use police and investigative powers to unmask the posters, and punishes them severely, sometimes after arrests where the name of the detainee(s) is kept secret.
Phone use in Saudia Arabia has a penetration rate of 170%, with an estimated average of 30% of individual income spent on mobile phone and Internet costs in 2014.  As a result, older mechanisms of Internet surveillance, like monitoring Internet cafes, are being replaced.  Individual users are required to use real identities when registering mobile devices, and it is clear that the state is seeking greater visibility into encrypted traffic. In 2010, for example, Saudi Arabia successfully gained access to BlackBerry communications after making Saudi-located servers a quid-pro-quo of allowing the devices on Saudi Networks.  More recently, the government’s appetite for encrypted communications was revealed by Moxie Marlinspike, a security researcher and developer, who received an overture from Saudi telecom company Mobily seeking his assistance in accessing encrypted traffic.  The firm was seeking an intercept solution (on request of the Saudi Government, they said) for access to a range of mobile chat clients (Viber, LINE, WhatsApp) as well as the mobile-version of Twitter.
The use of mobile malware can be understood as part of this desire, by no means limited to Saudi Arabia, to match the technologies in use by their population.

Seeding: A Lure with Political Subtext?

Using signatures developed as part of our ongoing research into “lawful intercept” malware developed by Hacking Team, we identified a suspicious Android installation package (APK).  The file was a functional copy of the ‘Qatif Today’ (القطيف اليوم) news application bundled with a Hacking Team payload.  Documents we have reviewed suggest that Hacking Team refers to this kind of mobile implant as an “Installation Package,” where a legitimate third party application file is bundled with the implant (See: Developing and Deploying Implants). This kind of tactic with Android package implants has been seen in other targeted malware attacks (that do not use commercial “lawful intercept” products) including the LuckyCat campaign, and in attacks against Tibetan activists, and groups in the Uyghur community.
The genuine ‘Qatif Today’ app is an Android (download here) and iPhone application that provides news and information in Arabic with a special relevance to the Qatif Governorate of Saudi Arabia.

Qatif Today in the Google Play app store
The connection to Qatif is interesting, given the recent history of protest in Qatif as outlined above.  We are not in a position to determine the identity of the group or individual targeted with this malware, however, we speculate that the attack may be linked to political protest in eastern Saudi Arabia.

Hacking Team Samples

The malicious APK, QatifNews.apk, has the following hash:
8e64c38789c1bae752e7b4d0d58078399feb7cd3339712590cf727dfd90d254d
At the time of first submission to the VirusTotal database, the file was detected by zero out of 50 AntiVirus products in VirusTotal:
0 / 50 2014-03-11 09:28:49 2014-03-11 09:28:49
It appears that an APK of the same name was seeded on Twitter 5 days later by a Twitter account (@_bhpearl)  linked to Bahrain, a country of great interest to Shia in Qatif.

Tweet with links by @_bhpearl (since deleted)
The tweeted links were shortened using the goo.gl service. These resolved to:
https://itunes.apple.com/app/qatiftoday-alqtyf-alywm/id584947120?mt=8
and
https://dl.dropboxusercontent.com/s/fw92fsu9r694iqc/QatifNews.apk
The first link to the iTunes store has 18841 clicks on the shortened link and appears legitimate. The second link, however, does not redirect to the genuine app at the Android App Store. Instead, it redirects to a Dropbox file that has since been removed. Examination of analytics on the shortened second link is interesting; there were only 13 clicks. We can discount 7 of these clicks (those in US and Germany) as researchers, while three are in Saudi Arabia. One click in Taiwan may be a VPN, or a security researcher.

Google Shortener Analytics
While we cannot confirm that the file on Dropbox was the same APK, we suspect the timing of the tweet, and the use of a non-standard method for sharing an Android application,  is not a coincidence.

Malicious APK Code Signing

The malicious apk was signed by the following certificate:
Issuer:
DN: C=US, O=Sun, OU=JavaSoft, CN=Server
C: US
CN: Server
O: Sun
OU: JavaSoft
Subject:
DN: C=US, O=Sun, OU=JavaSoft, CN=Server
C: US
CN: Server
O: Sun
OU: JavaSoft
Serial: 1369041295
SHA256 fingerprint: 8ab03660fe537994b207e900f8e2f5711c08e61232e167ce97e52bb3fd77757f
A broader discussion of code-signing practices for Hacking Team implants is discussed later in the document in the section “Code Signing and Certificates”.

Additional Samples

We were able to identify an additional six samples signed with the same certificate:
e85db2d92ae97f927905d6e931a0cb1f5b6def2475c23e023fe617249dddddb4
0b657e29a3e249b414fbde3a85e7be0829ddaad49b8ff2832350cfe5af190ba1
535070b5bd076f137052eb82257f16db4c3ba3e3516970b8934524e4a750a8f1
748e04aee9ec1a82abd2f0a9d3ddc33925a8a74b5058088dbf3d6a3c1e9698d8
8d2012d44208e79ea6e511847f86af0c45271e6f678ccc19639fe6c2eee75449
e6a77c8bf232636a505c31fae0215789caf8d73682102304a2541513de945526
The first sample of this list (…db4) was submitted to VirusTotal as:
Date File Name Submitter ID Submitter Country
2012-08-28 10:06:01 rcs.apk 18e48a9b (api) Germany
Interestingly, this was the first sample (chronologically) to be submitted to VirusTotal from this group of files. The name “rcs.apk” appears to be an abbreviation of the name of Hacking Team’s targeted surveillance solution, ‘Remote Control System.’

Permissions

The original app requires the following permissions:
android.permission.INTERNET
android.permission.GET_ACCOUNTS
android.permission.WAKE_LOCK
android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
com.google.android.c2dm.permission.RECEIVE
com.aymax.qatiftoday.permission.C2D_MESSAGE
android.permission.USE_CREDENTIALS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.VIBRATE
The implant requests the following permissions, which give it the ability to process calls, read and write SMS messages, monitor the user’s GPS location, and more.
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_WIFI_STATE
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.FLASHLIGHT
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALENDAR
android.permission.READ_CONTACTS
android.permission.READ_LOGS
android.permission.READ_PHONE_STATE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.USER_PRESENT
android.permission.WRITE_SMS
The following permission was requested by several of the other identified Hacking Team android implants:
android.permission.WRITE_APN_SETTINGS (write Access Point Name settings)
This value allows applications to change the APN (Access Point Name), a setting on a mobile phone that identifies an external network the phone can access for data. This value is marked as not for use by third party applications in the Android Developers reference.1  For further discussion of this functionality, see: Other Capabilities.

Behavior & Network Communication

After analyzing the behavior of the application we were able to further confirm the malicious nature of the file.
When executed, the app performs a POST to:
http://iphone.al-motamiz.com/qatiftoday/gcms/register.php
This server is hosted at iWeb in Montreal:
IP Address 174.142.97.245
Host server.5edma.com
Location canadaflag CA, Canada
City Montréal, QC H3E 1Z6
Organization IWeb Technologies
ISP IWeb Technologies
AS Number AS32613 iWeb Technologies Inc.
We believe this to be legitimate communication by the decoy application.
We also observed command and control (C2) communication with two additional servers.  We later found the same IP addresses in decrypted text from the implant’s config file (see: Obfuscation / Implant Configuration).  Incidentally, this was consistent with how Hacking Team implants store C2 addresses.
http://91.109.17.189/
http://106.186.17.60/
The first server is hosted on Leaseweb in Germany:
Host 91.109.17.189
Location germanflag DE, Germany
Organization Leaseweb Germany GmbH (previously netdirekt e. K.)
AS Number AS16265 LeaseWeb B.V.
The second is hosted on Linode in Japan:
IP Address 106.186.17.60
Host li528-60.members.linode.com
Location japanflag JP, Japan
Organization Kddi Corporation
AS Number AS2516 KDDI KDDI CORPORATION
In previous work, we identified both the Leaseweb and the Linode IPs as part of a Hacking Team proxy chain uncovered in our prior reporting.  At the time, we also identified a third IP (206.190.155.40) that belonged in the same group. This finding indirectly validates the methods used in the previous report, and highlights the third IP as likely part of the same collection infrastructure.
91.109.17.189
206.190.155.40
106.186.17.60
This additional IP is in a block owned by the hosting provider SoftLayer Technologies.

Rooting Exploit

The malicious implant attempts to stat() the following files:
/dev/exynos-mem
/dev/DspBridge
/dev/s5p-smem
This behavior is consistent with a known exploit (CVE-2012-6422) that permits a user without permissions to write to a compromised device’s physical memory.  An in depth analysis of this exploit is provided by Azimuth Security here.
While this exploit would not be effective against the latest version of the Android operating system, a high percentage of users still use legacy versions which may be vulnerable.2

Image Credit: Google

Background on Rooting Android Devices

Rooting an Android phone typically involves two components: the su binary and a supervisor application.
In order to install the su binary, either the device manufacturer has allowed the boot loader to be unlocked or a vulnerability is exploited to temporarily elevate permissions. Once the su binary is installed, applications may use it in a controlled way to elevate their permissions for other purposes.
The su is much like the traditional Unix – it uses the suid flag so applications that call it elevate their permissions to that of the executable they are calling – in most cases, including this one, root. Each application on Android is run by its own user in order to prevent applications from accessing resources it does not have permissions for.
A supervisor application (usually Superuser.apk) is used by people who intentionally root their phone so the su binary can call the supervisor which will then notify the user and allow them to approve or deny the privilege escalation. Thus, even with a rooted phone the user is still notified when applications perform actions requiring root access.

How this applies to the RCS Android Implant

In this case a vulnerability is exploited to initially gain root access, and a binary is dropped. It copies itself to /system/bin/rilcap (through /proc/self/exe) and sets its owner to be root as well as setting the executable and suid flags. This allows for persistent root access.
/system/bin/rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93

RILCAP Functionality

Examination of the binary revealed that basic techniques such as simple encryption of strings are used to hinder analysis.
Encryption algorithm:
if str is b[0]…b[n],
len = b[0] ^ b[1] ^ b[2]
for b[i] in b[3]…b[n]:
b[i] = b[i] ^ b[1]
b[i] = (b[i] – b[1]) & 0xff
b[i] = b[i] ^ b[0]
The binary contains the following functionality:
  • Capture information from the framebuffer (/dev/graphics/fb0) — which can then be used to assemble screenshots
  • Kill the volume daemon (which automatically detects and mounts storage devices when added)
  • Mount /system as read only or read write
  • Check /proc/mounts for an sdcard
  • Execute commands from unprivileged applications using system()
  • Execute commands from a file using execv /system/bin/sh
  • Modify /data/system/device-policies.xml to add the application as device admin
  • Copy files
  • Modify file permissions
  • Change file owners
  • Unlink self
  • Restart the device
This functionality allows RILCAP to act as the su binary would — only there is no supervisor application to notify the user of privilege escalation and offer the choice to allow or deny it.
A full list of of commands can be found in Appendix B.

Functionality

Looking at the samples as a group, we identified a range of behaviors indicative of the implant’s surveillance capabilities.
Attempts to access 3rd party chat / voice apps:
We found that the apps attempt to access the local files stored by popular social media, chat, and call apps including Facebook, Viber, WhatsApp, Skype, LINE and QQ.
/data/data/com.facebook.katana/databases
/data/data/com.facebook.orca/databases
/data/data/com.skype.raider/files/shared.xml
/data/data/com.whatsapp/shared_prefs
/data/data/com.whatsapp/shared_prefs/RegisterPhone.xml
/data/data/com.viber.voip/files
/data/data/com.tencent.mm/MicroMsg/
/data/data/com.viber.voip/files/preferences/reg_viber_phone_num
/data/data/jp.naver.line.android/databases/naver_line_myhome
/data/data/jp.naver.line.android
/data/data/jp.naver.line.android/databases
In addition, the app accesses the locally stored mail files belonging to the compromised user’s mail account.
/data/data/com.google.android.gm/databases/mailstore.{username}@gmail.com.db

Obfuscation / Implant Configuration

In order to prevent additional scrutiny into the internals of the backdoor, the source code appears to have been heavily obfuscated through the use of DexGuard (0r similar), which can provide encryption for strings, entire classes and assets, considerably slowing and complicating the reverse engineering process.
While analyzing the implant, we de-obfuscated the configuration file. Below, we highlight a number of lines that match functionality in RCS (for a more complete list see: Implant Modules and Functionality).
We find a range of audio recording, camera, video, key logging, “live mic,” chat, device info etc. configuration settings relevant to the surveillance functionality of the implant.  We also note the presence of a “crisis” module, which provides anti-analysis functionality explained below (see: Anti-Analysis Functionality & Anti Forensics).
{“record”:true,”compression”:5,”buffer”:512000,”module”:”call“},{“module”:”camera“,”quality”:”med”},{“module”:”chat“},{“module”:”clipboard“},{“module”:”conference“,”number”:””},{“synchronize”:false,”position”:true,”module”:”crisis“,”mic”:true,”network”:{“processes”:[],”enabled”:false},”call”:true,”camera”:true,”hook”:{“processes”:[],”enabled”:true}},{“module”:”device“,”list”:false},{“module”:”keylog“},{“module”:”livemic“,”number”:””}
We also see what appear to be, location, screenshot-taking, and browsing activity modules.
{“cell”:true,”gps”:false,”wifi”:true,”module”:”position“},{“quality”:”med”,”module”:”screenshot“,”onlywindow”:false},{“module”:”url“}
We also found that the implant seems to have been deployed with a filter to specify a date range (“datefrom” and “dateto” for the Mail, SMS and MMS messages it is seeking.
{“mail“:{“filter”:{“datefrom”:”2014-03-10 00:00:00″,”maxsize”:100000,”dateto”:”2100-01-01 00:00:00″,”history”:true},”enabled”:true},”mms“:{“filter”:{“datefrom”:”2014-03-10 00:00:00″,”dateto”:”2100-01-01 00:00:00″,”history”:true},”enabled”:true},”module”:”messages”,”sms“:{“filter”:{“datefrom”:”2014-03-10 00:00:00″,”dateto”:”2100-01-01 00:00:00″,”history”:true},”enabled”:true}}
We also see information about how the implant exfiltrates data, along with its C2 servers. Interestingly, it appears that the implant is capable of monitoring the devices connectivity (e.g. wifi, cellular network), choosing connection type, and rate limiting the bandwidth.  Note that these are the same servers we observed in the implant’s network communications.
{“desc”:”SYNC”,”subactions”:[{“host”:”91.109.17.189“,”mindelay”:0,”stop”:true,”cell“:true,”action”:”synchronize”,”wifi“:true,”maxdelay”:0,”bandwidth“:500000},{“host”:”106.186.17.60“,”mindelay”:0,”stop”:false,”cell”:true,”action”:”synchronize”,”wifi”:true,”maxdelay”:0,”bandwidth”:500000}]}]}


Part 2: Hacking Team RCS Operation

After we released our research on Hacking Team earlier this year, we were sent documentation by an anonymous individual pertaining to the set up and operation of Hacking Team’s RCS that Hacking Team provides to its customers.  The documents appear to date from fall 2013.  We have no knowledge as to the origin of the documents, and whoever sent them took steps to conceal their identity.  While the authenticity of these documents is unverified, we have not identified inconsistencies with what is currently known about Hacking Team RCS (our latest findings included).  We are concerned, however, that releasing the documents in their full form could bring risk to the source.  The following is thus a general overview of some of the functionality and specifics of the Remote Control System, according to these documents. The screenshots that we excerpt are clearly from instances marked as “Demo copies, rather than actual operations.

Architecture of a Hacking Team RCS Deployment

The following image suggests the logical architecture of a prototypical Hacking Team RCS deployment.  In specific instances, according to these documents, a “distributed” architecture can be used (see: Appendix: Distributed Hacking Team RCS Architecture).

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception, System Administrator’s Guide,” 2013.

Players in System Operation

According to the documents, RCS has a series of defined roles, each with their own responsibilities and permissions on the system.  In brief:
  • A System Administrator appears to receive training from Hacking Team during the “Contract Phase”, as well as other system administration tasks, including installing and updating RCS server networks as well as network injectors.
  • An Administrator creates accounts, and creates both operations and designates targets.
  • A Technician is responsible for creating implants (named “agents” in the documentation) and managing network injectors.
  • Analysts handle outputs from the system and perform intelligence analysis via the RCS console.

Developing and Deploying Implants

According to the documents, the software can create a full range of implants through a “factory” which is compiled specifically for an investigation. The Technician is responsible for creating these agents using the “factory.”  Here is the prompt presented to the Technician:

In this image, the technician is preparing a Mac OSX implant. Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception,Technician’s Guide,” 2013.
The technician has a range of options from the Factory as well as the additional ability to use Network Injection (not pictured).  These options include:
  • Network Injection:  via injected malicious traffic in cooperation with an ISP
  • Tactical Network Injection: on LAN or WiFi
  • Melted Application: bundling a Hacking Team dropper alongside a bait application
  • Installation Package: a mobile installer
  • Exploit: document-based exploit for mobile and desktop
  • Local Installation: mobile installation via USB or SD card
  • Offline Installation: create an ISO for a bootable SDHC, CD, or USB. This option includes the ability to infected hibernated and powered off devices
  • QR Code:  a mobile link that, when pictured, will infect the target
  • Applet Web: likely a malicious website (depreciated after v. 8.4)
  • Silent Installer: a desktop executable that will install the implant
  • Infected U3 USB: an auto-infecting U3 USB
  • WAP Push Message: the target will be infected if the user accepts the message (works on all mobile operating systems apart from iOS)

Infection: “Scout Agents” and “Agents”

The documents indicate that RCS makes use of a “scout agent,” commonly known as a “validator” that helps to determine whether a full implant (“agent”) should be installed. This thin implant collects screenshots and device information to determine whether the target is of interest.
The documents suggest that Hacking Team is explicitly concerned with the possibility that their implant could become unmasked, and instructs technicians that a function of “scout agents” is to determine whether the system is ‘safe’ to infect, or whether it could risk unmasking the agent.
When the system is determined to be safe to infect, the “scout agent” is replaced by the full implant. According to the documents, Hacking Team advises users to gradually add functionality to implants. These implants exfiltrate data and receive instructions through a process called “synchronizing.”

Implant Modules and Functionality

The implant (“agent”) offers one-click functionality for requesting information from target devices. Technicians are encouraged to add functionality as needed.

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception,Technician’s Guide,” 2013.
In addition, a more advanced approach can be taken, allowing a sophisticated technician to determine a specific sequence of module activation upon infection, using a graphical flow model. This allows the user to define events that trigger particular actions, sub-actions, modules, and sequences.
The documents provide an example of such a sequence:
Event: Device is connected to power adapter
Sub Action: Send SMS, begin logging position, disable an event keyed to SIM card changes.

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception,Technician’s Guide,” 2013.

Selection of available surveillance modules

  • Accessed files
  • Address Book
  • Applications used
  • Calendar
  • Contacts
  • Device Type
  • Files Accessed
  • Keylogging
  • Saved Passwords
  • Mouse Activity (intended to defeat virtual keyboards)
  • Record Calls and call data
  • Screenshots
  • Take Photographs with webcam
  • Record Chats
  • Copy Clipboard
  • Record Audio from Microphone
    • With additional Voice and silence detection to conserve space
  • Realtime audio surveillance (“live mic:” module is only available for Windows Mobile)
  • Device Position
  • URLs Visited
  • Create conference calls (with a silent 3rd party)
  • Infect other devices (depreciated since v. 8.4)

Other Capabilities

Once an implant is operational its collection operations can be updated. In addition files can be sent to and received from the device.
In addition, implants have a default cap on “evidence” space of 1GB on the target device. Recording of new material stops when the space is reached. Operators also have the ability to delete not-yet-transmitted data on the device.

Synchronizing & Data Exfiltration

The synchronizing process has a number of steps, paraphrased here:
  • Authorization between implant and server
  • Time syncing between implant and RCS server
  • Implant removal (if case specified as “closed” by technician)
  • Implant configuration update
  • Implant downloads material sent from the RCS server
  • Upload to RCS server of “download” cue material
  • Upload to RCS server of evidence, combined with secure delete
  • Additional secure deletion of evidence
Mobile and desktop versions have slightly different parameters. While desktop implants can have bandwidth and delays in sending materials added, the mobile settings have some unique features.
Technicians can force the type of data channel (WiFi or Cell Network) that the implant uses to update. Interestingly, technicians can specify login credentials for the APN used to exfiltrate data. This allows the implant to avoid incurring data charges and displaying traffic to the victim. The feature is specified as only available on BlackBerry and Symbian OS in Version 9 of RCS.

Anti-Analysis Functionality & Anti Forensics

A functionality referred to as “crisis” allows for actions on detection of “hostile” activity (the documents give the example of a packet sniffer). This functionality can be triggered by a range of scenarios and have a number of options based on identifying processes. In desktop versions, these options can including pausing synchronizing, and not hooking programs. For mobile versions these options includes pausing audio, camera, location collecting, and synchronizing.
A wipe can also be triggered, and according to the documents, Hacking Team informs users that it will leave “no trace” of the implant. The uninstall action has several features that could be of interest in forensic analysis of potentially infected devices: (i) uninstall on BlackBerry triggers an automatic restart; (ii) uninstall on Android devices where root was not successfully gained results in a user prompt requesting permission to uninstall; (iii) on Windows Phone, uninstall deletes all files but does not remove the Application Icon from the list of programs.

Code Signing and Certificates

RCS is designed to incorporate code signing when creating implants. The documents helpfully suggest Verisign, Thawte and GoDaddy as sources of code signing certificates. In addition, the documents encourage users to contact Hacking Team technical support for assistance in obtaining a certificate.
Interesingly, for Symbian, users are instructed to purchase a “Developer Certificate” directly from TrustCenter and even provides the URL (https://www.trustcenter.de/en/products/tc_ publisher_id_for_symbian.htm).
For infecting Windows Phones, users are encouraged to register a Microsoft account (signup.live.com) and a Windows Phone Dev Center account (https://dev.windowsphone.com/en-us/join/).
The documents indicate that Hacking Team is concerned with ensuring users correctly manage the approval process (managed by Symantec) and instructs users to promptly reply to phone and e-mail communications from Symantec.  Users also get instsructions in how to obtain an Enterprise Mobile Code Signing Certificate (https://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do)

Android Specific Issues

In order to run some of its modules (Chat, Messages, Screenshot), the Android implant requires root privileges on the device. In some cases, where acquisition of root privileges is unsuccessful, the victim can be manually asked to give the application root access. In addition, in cases where root has not been successfully acquired on an Android device, the victim sees a prompt requesting permission if an uninstall has been triggered.
Hacking Team helpfully notes that the default APK file implant appears as a normal application named “DeviceInfo” that displays device information.

Anonymizer & Proxy Chain Architecture

This image highlights how a system administrator sees a distributed proxy chain (see: Appendix: Distributed Hacking Team RCS Architecture) and collector architecture.

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception, System Administrator’s Guide” 2013

Licensing, Updates

At the time of creation of a collection architecture, a license file from Hacking Team is required by the software, according to the documents. Other licenses are required for for specific functionality, as well as the more developed analysis toolkits.
The documents suggest that Hacking Team maintains an update cycle for its products. The updating process is performed by a System Administrator using updates provided by Hacking Team and includes updates both to the collection and injector infrastructure, and to implants.

Auditing

The program does appear to have a basic logging function and auditing capability, allowing authorized administrators to view logs of user actions throughout the system, including interactions with implants. This capability appears to have been developed to make the toolkit more compatible with evidence requirements for with digital material. We note however, the ease with which evidence, logs, implants, and “factories” can be irreversibly deleted by authorized users.

Analysts Eye View

This image graphically shows the ways in which multiple devices of a single target may be compromised and simultaneously monitored.

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception, Analysts Guide,” 2013
Analysts can perform searches on data using text strings as well as filtering and sorted data. In addition, Analysts can flag data for importance, as well as apply automated rules for flagging data.
Data storage makes use of the open source MongoDB, and documentation indicates that Hacking Team RCS uses MongoDB 2.4.8.
Next, also from a demo instance, we see the information exfiltrated from a target computer. Of note is the use of a basic color coded flagging system (red, green, yellow) to flag evidence, as well as the kind of information available to the analyst from each capture. Here we see screenshots of particular program operations (e.g. running BlackBerry Desktop software, and Skype) as well as location information.  Addresses in the location information are identical to the publicly available address of Hacking Team.

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception, Analysts Guide,” 2013.
In the following image we see the analyst console playing back an intercepted Skype call.

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception, Analysts Guide,” 2013.
In the following image, we see live browsing of an infected system’s file tree. This is a functionality that can be enabled in certain cases.

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception, Analysts Guide,” 2013.
The image below shows a map and timeline view of the position of infected devices.  Interestingly, in this image, used as an instructional illustration, it appears that Hacking Team might have inadvertently revealed information about a demonstration to a US Law Enforcement to its other customers.  Specifically, the location of the “Jimmy Page” device on this map is in the access-controlled parking lot of the LA County Sheriff (and appears to be stamped with the date Sept 6 2013 or December 3 2012).  It may be coincidental that Hacking Team was extensively represented at the ISS World held later in September 2013 in the US.

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception, Analysts Guide,” 2013.
The use of Google maps in the tool provides a graphic view of the targets; however it may present a serious breach of operational security for clients, including betraying location data for ongoing investigations. Even if some of the point data is not transmitted, Google needs to know the map centroid (and hence target location) to deliver some of this map data.
It is possible that Hacking Team RCS is exposing highly sensitive investigation data of government clients to Google as they are making use of the Google Maps API to display this map.
In addition, Google Maps traffic, even using SSL, has been subject to successful traffic analysis by third parties in the past.  While we have not demonstrated this vulnerability, we believe this possibility warrants further investigation.
Beyond collection of data, the documents indicate that Hacking Team is offering a basic investigation management toolkit including basic link analysis and other features with the purchase of an additional license.  The software can build very basic link analysis using “Peer” (contact between entities like calls) and “Know” (one or both individuals found in others phone book) links.  The system also automatically attempts to create identity links when details are shared between entities (e.g. a phone number).  Time-series and locational data can also be displayed.

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception, Analysts Guide,” 2013

Evolving Terminology

The documents suggest that Hacking Team has made a number of changes in the language it uses to describe its tools. We found for example that in v7.6 and below they used the term “Backdoor” to refer to their implant, but changed the term in v 8.0 and above to “Agent.” Similarly, they changed the term “Backdoor Class” to “Factory” in the same time period.

“Invisibility”

According to the documents, Hacking Team appears to supply customers with an “Invisibility Report” for its RCS solultion. For example, we have reviewed the “Version 9.0 – Invisibility Report” for the Silent Installer, Melted application, Network Injector INJECT-EXE attack, and Offline CD.”
The document informs customers: Tests were performed on a default 64-bit Windows 7 installation.
Image Source: “Version 9.0 - Invisibility Report,” undated.
Image Source: “Version 9.0 – Invisibility Report,” undated.

Conclusion

Hacking Team’s Remote Control System is a surveillance malware toolkit marketed for “lawful interception” use. We identified and analyzed RCS Android implants that had lures with a political subtext suggesting targets in the Qatif Governorate of Saudi Arabia. Analysis of these implants revealed a range of surveillance functions.
In the past several years, we have researched both Gamma Group and Hacking Team, exposing their global proliferation, and highlighting the technologies and tactics that they use.  Our interest in these groups is not because they create the most sophisticated implants.  Indeed, since the Aurora incident in 2009, there have been many public reports of sophisticated malware used by nation states.  For example, Turla, a campaign attributed to Russia, was described as “one of the most complex cyber espionage programs uncovered to date.” Additional campaigns of note include Careto, linked to Spain [PDF], and Miniduke. Meanwhile, significant analysis and public discussion has gone into the Stuxnet, Duqu, and Flame, which are allegedly a product of US and Israeli collaboration.
These high-impact (and typically high development cost) implant kits all appear to be used exclusively by the countries they are attributed to, and are designed to perform targeted intrusions.
Hacking Team and Gamma Group are different for several reasons.  First, their software is available to all but a few countries, provided they pay.  Second, their software is marketed to target everyday criminality and “security threats,” whereas the state-sponsored campaigns we outlined above are designed to support espionage operations against hardened, high-value targets.
This type of exceptionally invasive toolkit, once a costly boutique capability deployed by intelligence communities and militaries, is now available to all but a handful of governments.  An unstated assumption is that customers that can pay for these tools will use them correctly, and primarily for strictly overseen, legal purposes.  As our research has shown, however, by dramatically lowering the entry cost on invasive and hard-to-trace monitoring, the equipment lowers the cost of targeting political threats for those with access to Hacking Team and Gamma Group toolkits.

Acknowledgements

Seth Hardy, Sarah McKune, Marcia Hoffman, Sebastian Porst, Masashi Crete-Nishihata, Bill Marczak, Ron Deibert, Human Rights Watch, Abeer Allam, and several journalists and researchers who were very generous with their time.

Appendix A: Distributed Hacking Team RCS Architecture

This image shows a distributed Hacking Team RCS collection infrastructure, according to the documents.

Image Source: “Hacking Team, RCS 9: The hacking suite for governmental interception, System Administrator’s Guide,” 2013

Appendix B: List of ‘rilcap’ commands

Commands provided by:
/system/bin/rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93
volkill the volume daemon (vold)
blr
mount /system as read-only
blw
mount /system as read-write
rt
clone self to /system/bin/rilcap with permissions 04755
qzx [command] [args]
passes argument to system()
fhc [source] [destination]
copy file
pzm [permission flags] [file]
modify file permissions
qzs
read commands from file named qzs and execute them (execv /system/bin/sh …)
reb
reboot
adm [name]
adds [name] to device-policies.xml
ru
unlink self
fho [user] [user] [filename]
modify file owner
sd
check for and mount sd card (but it has path hardcoded as /mnt/sdcard, so won’t always work)
fb [file]
copies from frame buffer to file (for screenshots)

Piednotoj

1 http://developer.android.com/reference/android/Manifest.permission.html
2 https://developer.android.com/about/dashboards/index.html


 =============================


 ''Saudi Arabia by various malware undermine global network system!
Friends Readers please carefully read ~

The latest news stories ISIS terrorist extremists,
The two Japanese people prisoners,
How to we always felt very wrong with ..
In ISIS extremists have killed a lot of the Americas, Europe people,
The transaction as a way of life!
A lot of dollars in ransom in exchange for the hostages.

Southeast Asia for the first time such a terrible event occurred.
We are curious and wondering how IS terrorists captured Japanese hostage?
Under what circumstances? Japanese people investment company in the Middle East in the land Well?

We discuss the day 'Charlie weeks Chatter' big parade,
No personality alone big ambitions Communist mainland Chinaman dog feces greatly missed this freedom march of civilization.
Chinaman Communist mainland hybrids often show in the world,
It was dog feces how countries 'strong, how' democracy, often to the United States, Britain, France, Spain, Japan, South Korea, Taiwan, ... and so on national / local regarded as enemies!

US President "Barack Obama" Mr. after directing a terrorist attack ISIS extremists organizations,
France, Britain, the European Union also have joined the sniper battle
The Prime Minister of Japan, Mr. Abe also set aside 30 million to support the US / international action against terrorism IS.

Chinaman from the Communist mainland alone since the event occurred,
Had never stand for such as they are just like murder and other big deal,
Living organ stripping, tortured people is the world's first brutal.

Silent on such statements in the media spread a miracle,
Communist mainland Chinaman favorite make many false news on the size of the media.
The fact is that every day to suppress dissent and threaten people's health and freedom of thought,
Manufacturing closed Mainland limitations social networks.
Communist mainland Chinaman how big does this incident made national deception lies ah?!
Chinaman is not often traveled worldwide (since that is Viagra, but guilty of all the hate!), All make the same corruption cited as helping to build "bean dregs pay" an excuse for his country's railway Well !!
Is Chinaman's ISIS leader in mainland !!
The world's only uncivilized, inhuman, not fair, cold-blooded spiteful Chinaman,
Same with a thorough IS!
How can we let our doubts ah hum .. !! ''

Best wishes "
"Japanese people safe from the evil!"
Small as dust Melody.Blog sincerely `` `
http://melody-free-shaing.blogspot.com/2015/01/released-by-csoonlinecomshodan-exposes.html
=========================
 http://www.csoonline.com/article/2867407/network-security/shodan-exposes-iot-vulnerabilities.html

撒旦暴露物聯網的漏洞

IOT初段
來源:CSO工作人員

撒旦搜索引擎是谷歌在對物聯網,遊樂場黑客和恐怖分子 - 和,也許,為企業尋求鎖定自己的環境,一個有用的工具

 
CSO |
 撒旦的搜索引擎可用於查找與外露的後門,無抵押的攝像頭,並且還在使用默認密碼的工業控制系統的路由器。
這是谷歌為物聯網,遊樂場黑客和恐怖分子 - 和,也許,為企業尋求鎖定自己的環境中的有用工具。
撒旦創始人John Matherly五年多前推出的搜索引擎作為標記智能工具,旨在為科技公司提供有關的地方和他們的產品是如何被使用的信息。

“當然還有同類型的信息可以被質疑的競爭對手,以更好地了解使用經驗數據他們是如何定位市場,”Matherly說。
自推出以來,然而,搜索引擎已在其自己的生命,他承認。
“這已經成為安全專家的工具來更好地理解互聯網的,”他說。
公眾的網站實際上是一小片東西撒旦提供。 企業客戶可以購買原材料,實時訪問所有它收集的數據。
例如,一個公司可以使用的Shodan來搜索其自己的網絡。
“這是很常見的大公司有一個隨機的電腦周圍鋪設運行Telnet或有樓宇自動化系統的在線,這不是正確的由承包商配置的,”他說。 “隨著雲計算的到來,我已經看到了在沒有任何身份驗證啟用,因此它們的全部內容洩露到互聯網公開訪問雲服務器的數量有較大增長。”
一個公司也可以使用撒旦來檢查他們的公司正在考慮收購或做生意的安全性。
[ 研究發現固件困擾加密窮人和後門 ]
另一個用途撒旦是為了找到惡意軟件的命令和控制服務器所使用的網絡犯罪分子,這通常是一個非常耗時的過程。
“但是它是非常直接的與撒旦識別它們一旦指紋已經確立,”Matherly說。
“我不認為這是一種威脅,”倫納德·雅各布,總裁兼首席執行官,在明尼阿波利斯的託管安全服務提供商Netsecuris公司“對於我們的實踐說,我們認為這是為我們的客戶是好事,我們用它來證實了我們通過其他方法找到的。“
從理論上講,一個公司會了解所有設備和系統已經暴露在互聯網上,他說。
但有時,為方便起見,角部被切斷。
“你會驚訝你會發現在那裡,”他說。

的力為邪?

撒旦允許攻擊者快速識別特定的設備或特定的軟件,在一個非常大的規模。
“舉個例子,每一個網絡連接的菲比可以迅速通過去撒旦,並尋找合適的簽名,與不必掃描整個網絡黑客認定,“巴蒂爾麥克杜格爾在加拿大安全諮詢戰術情報公司的合夥人說,
網絡罪犯,恐怖分子,流氓國家,甚至是競爭對手的公司可以利用撒旦確定關鍵基礎設施和導致故障,說讓塔格特,在聖何塞的公司的Malwarebytes安全研究員
和修復這些問題並不總是一個高優先級的組織,他補充說。
“我擔心我們會不會看到,直到非常嚴重的事件發生的運動,”他說。 “一個政府主導的努力,以確定這些設備的業主和他們固定在高位。”
用撒旦也意味著黑客不掀起任何警告的鐘聲在有針對性的公司。
根據邁克爾Baucom,R&D哥倫比亞,馬里蘭州為基礎的有形安全副總裁,撒旦的真正強大之處在於所有的掃描已經完成 - 用戶只需查詢結果沒有透露自己的地址或行動的目標,並以最小的努力。
“撒旦的幅度掃描需要很長的時間,會很吵,”他說。
但是撒旦實際上並不產生任何的漏洞,說Hagai酒吧 - 薩爾瓦多,首席技術官的Sansa安全,一個以色列的安全公司專注物聯網在互聯網上。
“它只是指出他們出去,”他說。 “無可爭議,檢測弱節點是攻擊的一個重要組成部分,但黑客已經能夠與自動化爬蟲做到這一點,早在撒旦的開發。”
此外,大多數的獨立安全研究人員都認為,一旦發現漏洞,公眾更好,如果它是公開而不是秘密了,他說。
“依賴脆弱的系統上的公眾,必須意識到其脆弱的狀態,”他說。 這樣一來,他們可以做一些事情,如開關供應商。
“發布在商業產品中發現的一個缺陷是鼓勵供應商實際解決它的唯一有效的方法,”他補充說。 “歷史是充滿了,在他們的產品都忽視了安全問題,幾個月甚至幾年,直到這些漏洞被公佈於眾廠商的例子。”
同時,每一個不固定的漏洞是一個“滴答作響的定時炸彈”,他說。
但它不只是壞人已經有可用這些工具,說撒旦的Matherly ,. 撒旦的網站要求用戶註冊一個賬號,只有第一個搜索結果集是免費的。
此外還有“大量的技術措施”,以防止濫用,Matherly補充。
“在現實中,它是非常便宜和有效的壞人利用殭屍網絡或損害主機上運行[開源網絡掃描工具] ZMAP或masscan比搜索撒旦”。


========================================
 http://www.csoonline.com/article/2867407/network-security/shodan-exposes-iot-vulnerabilities.html

Shodan는 만약 IoT 취약점을 노출

IOT初段
 신용 : CSO 직원.

아마, 자신의 환경을 잠글하고자하는 기업을위한 유용한 도구 및 - Shodan 검색 엔진 것들의 인터넷에 대한 구글, 해커와 테러리스트 놀이터

 으로
CSO |
 Shodan 검색 엔진은 여전히​​ 디폴트 패스워드를 사용하여 노출 백도어 비보안 웹캠, 및 산업 제어 시스템과 라우터를 찾는데 사용될 수있다.
아마, 자신의 환경을 잠글하고자하는 기업을위한 유용한 도구와 - 그것은 사물의 인터넷, 해커와 테러리스트 놀이터에 대한 구글의.
Shodan 설립자 존 Matherly가 사용 된 위치 및 방법을 자신의 제품을에 대한 정보 기술 기업을 제공하도록 설계, 마커 인텔리전스 도구로 5 년 이상 전에 검색 엔진을 출시했다.

"그리고 물론 동일한 유형의 정보가 더 나은 그들은 경험적 데이터를 사용하여 시장에 위치하는 방법을 이해하는, 경쟁 업체에 대해 조회 할 수있다"Matherly 말했다.
출시 이후, 그러나, 검색 엔진 자체의 수명 취했다 그는 인정한다.
"그것은 인터넷의 더 나은 이해를 얻기 위해 보안 전문가 도구가되고있다"고 말했다.
공개 웹 사이트는 실제로 Shodan가 제공하는 것에의 작은 조각이다. 기업 고객은 수집 된 모든 데이터를 원시 실시간 액세스를 살 수있다.
예를 들어, 회사는 자신의 네트워크를 검색 Shodan를 사용할 수있다.
"대기업 임의의 컴퓨터가 텔넷을 실행 중이거나 제대로 계약자에 의해 구성되지 않은 건물 자동화 시스템을 온라인으로 가지고 주위에 누워있다하는 것은 매우 일반적이다"고 말했다. "그리고 클라우드 컴퓨팅의 출현으로, 나는 어떤 인증이 활성화되어 있으므로 인터넷에 자신의 전체 내용을 누설하지 않는 공개적으로 접근 가능한 클라우드 서버의 수에 큰 증가를 보았다."
이 회사는 또한 그들이 취득 또는 함께 사업을 고려하고 기업의 보안을 확인 Shodan를 사용할 수 있습니다.
[ 연구는 펌웨어 가난한 암호화 및 백도어에 시달리고 찾습니다 ]
Shodan의 또 다른 사용하는 악성 코드 명령 및 제어 서버를 찾을 수 일반적으로 매우 시간이 많이 사용하는 프로세스입니다 사이버 범죄자에 의해 사용을.
"그것은 지문이 설립 된 후 Shodan을 식별 할 수 있도록 매우 수월하다 그러나"Matherly 말했다.
"나는 위협으로 볼 수 없다"레너드 제이콥스, 우리의 연습 미네 아 폴리스 기반의 관리 형 보안 서비스 제공 Netsecuris 주식 회사 "의 사장 겸 CEO는 말했다, 우리는 우리의 고객을 위해 좋은 일이으로 볼, 우리는에 사용 우리가 다른 기술을 통해 무엇을 발견 확인합니다. "
이론적으로, 회사가 인터넷에 노출 한 모든 장치 및 시스템에 대해 알게 될 것입니다, 그는 말했다.
그러나 때때로 편의상, 모서리가 절단된다.
"당신은 당신이 거기 밖으로 찾을 수 있습니다 무엇 놀라게 될 것이다"고 말했다.

악을위한 힘?

Shodan은 공격자가 빠르게 매우 큰 규모로, 특정 장치 또는 특정 소프트웨어를 식별 할 수 있습니다.
"예를 들어, 모든 웹 연결 Furby가 인터넷 전체를 스캔하는 데 해커 대, Shodan에 가서 적절한 서명을보고 빠르게 식별 할 수있다 "셰인 맥도 갤, 캐나다 보안 컨설팅 전술 지능 Inc.의 파트너가 말했다,
사이버 범죄자, 테러리스트, 불량 민족 국가, 심지어 경쟁사가 중요한 인프라를 식별하고 오작동을 일으킬 Shodan를 사용할 수 있습니다, 진 태 거트, 산호세 기반 Malwarebytes 사의 보안 연구원은 말했다
그리고 이러한 문제를 해결하는 것은 항상 조직을위한 우선 순위가 높은 아니라, 그는 덧붙였다.
"나는 심각한만큼 이벤트가 발생할 때까지 우리가 움직임을 볼 수 없습니다 걱정"이라고 말했다. "이 장치의 소유자를 식별하고이를 확보하기 위해 정부 주도의 노력이 높은 순서입니다."
사용 Shodan 또한 해커가 대상 회사의 경고 벨을 설정하지 않음을 의미한다.
마이클 바우 콤, 컬럼비아, Md. 기반 실감 보안에 R & D 담당 부사장에 따르면, Shodan의 진정한 힘은 모든 검사가 이미 수행 된 것입니다 - 사용자가 단순히 자신의 주소 또는 조치를 노출하지 않으면 서 결과를 조회한다 대상 및 최소한의 노력으로.
"Shodan의 크기의 스캔 시간이 오래 걸릴 것 매우 시끄러운 것"이라고 말했다.
그러나 Shodan 실제로 어떤 취약점을 만들지 않습니다, 산사 보안, 사물의 인터넷을 중심으로 이스라엘 기반의 보안 회사 인 Hagai 바 - 엘, CTO는 말했다.
"그것은 단지를 지적한다"고 말했다. "말할 나위도, 약한 노드를 검출하는 공격의 중요한 부분이지만, 해커 Shodan이 개발되었다 오래 전에 자동화 된 크롤러이 작업을 수행 할 수있게되었습니다."
또한 대부분의 독립적 인 보안 연구자 취약점이 발견되면, 대중이 공개가 아닌 비밀로 유지되는 경우 더 나을 것에 동의, 그는 말했다.
"취약한 시스템에 의존 공개가 취약한 상태를인지 할 수있는 권리가있다"고 말했다. 그런 식으로, 그들은 같은 스위칭 공급 업체로, 그것에 대해 뭔가를 할 수 있습니다.
"상용 제품에서 발견 된 결함을 게시하는 것은 실제로 그것을 해결하기 위해 공급 업체에 격려의 유일한 효과적인 방법이다"고 덧붙였다. "역사는 그 결함이 공개 될 때까지 개월 동안 자사 제품에 보안 문제를 무시 한 업체의 예 가득합니다."
한편, 모든 고정되지 않은 취약점이있다 "똑딱 Timebomb이가있다"고 말했다.
그러나 나쁜 사람이 이미이 도구를 사용할 수 있습니다, 그냥 Shodan의 Matherly 말했다 아니에요 ,. Shodan 웹 사이트는 사용자가 계정을 등록해야하고, 검색 결과의 첫 번째 세트는 무료입니다.
남용을 방지하기 위해 "많은 기술적 인 수단"도 있습니다, Matherly 덧붙였다.
"현실에서는 봇넷 또는 손상된 호스트 실행 [오픈 소스 네트워크 스캐닝 도구] zmap를 사용하거나 Shodan를 검색하는 것보다 masscan하는 나쁜 놈들 훨씬 저렴하고 효과적입니다."


 =========================================
 http://www.csoonline.com/article/2867407/network-security/shodan-exposes-iot-vulnerabilities.html

Shodan expose vulnérabilités IdO

IOT初段
 Crédit: personnel des OSC.

Le moteur de recherche est le Shodan Google pour l'Internet des objets, une aire de jeux pour les pirates et les terroristes - et, peut-être, un outil utile pour les entreprises qui cherchent à verrouiller leur propre environnement

 Par
OSC |
 Le moteur de recherche Shodan peut être utilisé pour trouver des routeurs avec des portes dérobées apparentes, les webcams non garantis, et les systèmes de contrôle industriels qui utilisent encore les mots de passe par défaut.
Ce est la Google pour l'Internet des objets, une aire de jeux pour les pirates et les terroristes - et, peut-être, un outil utile pour les entreprises qui cherchent à verrouiller leur propre environnement.
Shodan fondateur John Matherly lancé le moteur de recherche il ya plus de cinq ans comme un outil marqueur de l'intelligence, conçu pour fournir aux entreprises des technologies de l'information sur où et comment leurs produits a été utilisé.

"Et bien sûr, le même type d'informations peut être interrogé sur les concurrents, afin de mieux comprendre comment ils sont positionnés sur le marché en utilisant des données empiriques», a déclaré Matherly.
Depuis son lancement, cependant, le moteur de recherche a pris une vie propre, admet-il.
«Ce est devenu un outil par des experts de sécurité pour acquérir une meilleure compréhension de l'Internet," at-il dit.
Le site Web public est en fait un petit morceau de ce Shodan offre. Les entreprises clientes peuvent acheter, accès brut en temps réel à toutes les données qu'elle recueille.
Par exemple, une entreprise peut utiliser Shodan à la recherche de ses propres réseaux.
"Il est très fréquent pour les grandes entreprises d'avoir un ordinateur aléatoire autour de la pose Exécution de Telnet ou d'avoir un système en ligne d'automatisation du bâtiment qui n'a pas été correctement configuré par un entrepreneur," at-il dit. "Et avec l'avènement du cloud computing, je ai vu une grande augmentation du nombre de serveurs cloud accessibles au public qui ne ont pas toute authentification activé et donc fuite tout leur contenu à l'Internet."
Une entreprise peut également utiliser Shodan pour vérifier la sécurité des entreprises qu'ils envisagent d'acquérir ou faire des affaires avec.
[ étude constate firmware en proie à une mauvaise cryptage et backdoors ]
Une autre utilisation de Shodan est de trouver les serveurs de commande et de contrôle de logiciels malveillants utilisés par les cybercriminels, qui est normalement un processus de temps très intensif.
"Toutefois, il est très simple pour les identifier avec Shodan fois une empreinte digitale a été établi", a déclaré Matherly.
"Je ne vois pas cela comme une menace», a déclaré Leonard Jacobs, président et chef de la direction au basée à Minneapolis fournisseur de services de sécurité gérés Netsecuris Inc. "Pour notre pratique, nous voyons cela comme une bonne chose pour nos clients, nous l'utilisons pour confirmons ce que nous trouvons par d'autres techniques. "
En théorie, une entreprise savoir sur tous les appareils et systèmes, il a exposés sur Internet, at-il dit.
Mais parfois, pour des raisons de commodité, les coins sont coupés.
"Vous serez surpris de ce que vous trouverez là-bas," dit-il.

Une force pour le mal?

Shodan permet aux pirates d'identifier rapidement les dispositifs spécifiques, ou un logiciel spécifique, sur une très grande échelle.
"Par exemple, chaque connecté à Internet Furby pourrait être rapidement identifié en allant à Shodan et la recherche de la signature appropriée, contre le pirate ayant pour numériser l'ensemble d'Internet », a déclaré Shane MacDougall, un partenaire au conseil de sécurité canadienne du renseignement tactique Inc.
Les cybercriminels, les terroristes, les États-nations voyous, même les entreprises rivales peuvent utiliser Shodan à identifier l'infrastructure critique et entraîner des dysfonctionnements, dit Jean Taggart, chercheur en sécurité au basée à San Jose Malwarebytes Corp.
Et la fixation de ces problèmes ne est pas toujours une priorité pour les organisations, at-il ajouté.
"Je crains que nous ne verrons pas le mouvement jusqu'à ce qu'un événement suffisamment grave se produit," at-il dit. "Un effort mené par le gouvernement d'identifier les propriétaires de ces appareils et les fixer est en ordre élevé."
Utilisation Shodan signifie également qu'un hacker n'a pas allumé de sonnette d'alarme dans une entreprise ciblée.
Selon Michael Baucom, vice-président de la R & D au matériel de sécurité basée à Maryland-Britannique, le vrai pouvoir de Shodan est que tout le balayage a déjà été fait - l'utilisateur est simplement interroge les résultats sans révéler leur adresse ou actions à la cible, et avec un effort minimal.
"Analyse de l'ampleur de Shodan faudrait beaucoup de temps et serait très bruyant," at-il dit.
Mais Shodan ne crée pas de vulnérabilités, a déclaré Hagai Bar-El, CTO chez Sansa sécurité, une firme de sécurité basée en Israël en se concentrant sur l'internet des objets.
"Il leur rappelle simplement," at-il dit. "Incontestablement, la détection des nœuds faibles est une partie importante d'une attaque, mais les pirates ont réussi à le faire avec les robots automatisés, bien avant Shodan a été développé."
En outre, les chercheurs de sécurité les plus indépendants se entendent pour que, une fois une vulnérabilité est découverte, le public est mieux si elle est rendue publique plutôt que gardé secret, dit-il.
"Le public qui repose sur le système vulnérable a le droit d'être mis au courant de son état de vulnérabilité», at-il dit. De cette façon, ils peuvent faire quelque chose, comme les vendeurs de commutation.
«Publication d'un défaut constaté dans un produit commercial est le seul moyen efficace d'encourager le vendeur à fait réparer," at-il ajouté. «L'histoire est pleine d'exemples de fournisseurs qui ont ignoré les questions de sécurité dans leurs produits pendant des mois et des années jusqu'à ce que ces défauts sont rendus publics."
Pendant ce temps, toutes les vulnérabilités non fixée est une "bombe à retardement", at-il dit.
Mais ce ne est pas juste que les méchants ont déjà ces outils disponibles, dit Matherly de Shodan ,. Le site Shodan nécessite que les utilisateurs se inscrivent à un compte, et seul le premier ensemble de résultats de recherche est gratuite.
Il ya aussi de nombreux "mesures techniques" pour prévenir les abus, Matherly ajouté.
"En réalité, il est beaucoup moins cher et efficace pour les méchants à utiliser un botnet ou d'un hôte compromis en cours d'exécution [outils open source de numérisation en réseau] ZMap ou masscan que de chercher Shodan."


=============================================
 http://www.csoonline.com/article/2867407/network-security/shodan-exposes-iot-vulnerabilities.html

初段はIoTの脆弱性を公開します

IOT初段
 クレジット:CSOスタッフ

、多分、自分の環境をロックダウンするために求めている企業のための有用なツールと - 初段の検索エンジンは、モノのインターネットのためのGoogle、ハッカーやテロリストのための遊び場です

 することで
CSO |
 初段の検索エンジンはまだデフォルトのパスワードを使って露出バックドアとルータ、担保ウェブカメラ、および産業用制御システムを見つけるために使用することができる。
、多分、自分の環境をロックダウンするために求めている企業のための有用なツールと - それは、モノのインターネット、ハッ​​カーやテロリストのための遊び場のためのGoogleの。
初段創設者ジョン·マザリーを使用していたどこで、どのように自社製品をについての情報技術企業を提供するように設計され、マーカー·インテリジェンス·ツールとして五年以上前に検索エンジンを立ち上げました。

「そしてもちろん、同じタイプの情報がより良い彼らが経験的データを使用して、市場内に位置しているかを理解するために、競合他社について照会することができ、「Matherlyは語った。
発売以来、しかし、検索エンジンは、自身の人生を取った、と彼は認めている。
「これはインターネットのより良い理解を得るために、セキュリティの専門家によるツールとなって、 "と彼は言った。
公開ウェブサイトは、実際には初段が提供するものの小片である。 エンタープライズクライアントは、それが収集するすべてのデータへの生の、リアルタイムのアクセスを購入することができます。
たとえば、企業は、独自のネットワークを検索するために初段を使用することができます。
「大企業は、Telnetを実行しているか、適切に請負業者によって構成されていなかったビルオートメーションシステムをオンラインで持つの周りに敷設ランダムにコンピュータを持っていることは非常に一般的である、 "と彼は言った。 "そして、クラウドコンピューティングの出現により、私はすべての認証が有効になっているので、インターネットに彼らの全体の内容を漏洩しない公的にアクセス可能なクラウドサーバーの数に大きな増加を見てきました。」
同社はまた、彼らが獲得するかとのビジネスを検討している企業のセキュリティをチェックするために初段を使用することができます。
[ 研究貧しい暗号化とバックドアに悩まさファームウェアを見つけ ]
初段の別の使用は、することですマルウェアコマンド&コントロールサーバ見つける正常に非常に時間のかかるプロセスであり、サイバー犯罪者が使用して、。
「しかしそれは指紋が確立されると初段でそれらを識別するために、非常に単純明快で、「Matherlyは語った。
「私が脅威としてそれを見ることはありません、 "レオナルド·ジェイコブス、私たちの練習のためにミネアポリスベースのマネージドセキュリティサービスプロバイダNetsecuris株式会社」の社長 兼最高経営責任者(CEO)は、我々の顧客のために良いこととして、それを参照してください、私たちは、それを使用我々は他の技術を介して何を見つけるこ とを確認します。」
理論的には、同社はインターネット上で公開しているすべてのデバイスおよびシステムについて知っているだろう、と彼は言った。
しかし、時には、便宜上、コーナーがカットされる。
"あなたはそこに何を見つける驚かれることでしょう」と彼は言った。

邪悪な力?

初段は、攻撃者がすぐに非常に大規模に、特定のデバイス、または特定のソフトウェアを識別することができます。
「たとえば、すべてのウェブに接続ファービーがインターネット全体をスキャンする必要がハッカーに対して、初段に行くし、適切な署名を探すことにより、迅速に同定することができ、「シェイン·マクドゥーガル、カナダのセキュリティコンサルティング戦術インテリジェンス社のパートナーは言った
サイバー犯罪者、テロリスト、ならず者国民国家、でもライバル企業が重要なインフラを識別し、それが誤動作する原因となるために初段を使用することができ、ジーン·タガート、サンノゼベースMalwarebytesを(株)でのセキュリティ研究者は語った
そして、これらの問題を修正することは、常に組織にとって高い優先事項ではない、と彼は付け加えた。
「私は深刻十分なイベントが発生するまで、我々は動きを見ていないことを心配 "と彼は言った。 「これらのデバイスの所有者を特定し、それらを確保する政府主導の努力が高いためである。」
初段を使用すると、ハッカーが対象会社で、警告の鐘をオフに設定しないことを意味します。
ユー ザーは、単に自分のアドレスまたはアクションを明らかにすることなく、結果を照会している - マイケルBaucom、コロンビアでのR&D担当副社長によると、Md.ベースの有形セキュリティ、初段の真の力は、すべてのスキャンが既に行われている ということですターゲット、および最小限の労力で。
「初段の大きさのスキャンが長い時間がかかるだろうと非常に騒々しいだろう "と彼は言った。
しかし、初段が実際にどんな脆弱性を作成しません、さんさセキュリティ、モノのインターネットに焦点を当てたイスラエルのセキュリティ企業でHagaiバー·エル、CTOは語った。
「それは単にそれらを指摘する、 "と彼は言った。 「Unarguably、弱いのノードを検出することは、攻撃の重要な部分ですが、ハッカーは初段が開発されたずっと前に、自動化されたクローラでこれを行うことができました。」
さらに、ほとんどの独立したセキュリティ研究者が脆弱性が発見された後、それが公表さよりむしろ秘密にされている場合、国民は裕福であることに同意、と彼は言った。
「脆弱なシステムに依存している国民は、その脆弱な状態を認識させる権利がある "と彼は言った。 そうすれば、彼らはそのようなベンダーを切り替えるように、それについて何かを行うことができます。
「商用製品で見つかった欠陥を公開すると、実際にそれを修正するために、ベンダーを奨励する唯一の効果的な方法である、 "と彼は付け加えた。 「歴史は、これらの欠陥が公開されるまで、月、年のために、自社製品にセキュリティ上の問題を無視してきたベンダーの例に満ちている。」
一方、すべての未修正の脆弱性がある」カチカチ時限爆弾 "と彼は言った。
しかし、それは悪い奴らはすでに利用可能なこれらのツールを持っていることだけではありません、初段のMatherlyは言った、。 初段のウェブサイトは、ユーザーがアカウントを登録することを必要とし、検索結果の最初のセットのみは無料です。
虐待を防止するために、「非常に多くの技術的な対策」もありますが、Matherlyが追加されました。
「悪者は初段を検索するよりも、ボットネットやランニング妥協ホスト[オープンソースのネットワークスキャンツール] zmapまたはmasscanを使用するために実際には、はるかに安いと効果的です。」


======================================
 http://www.csoonline.com/article/2867407/network-security/shodan-exposes-iot-vulnerabilities.html

Shodan macht IoT SchwachstellenIOT初段 Bildnachweis: CSO Mitarbeiter


Die Shodan Suchmaschine ist Google für das Internet der Dinge, ein Spielplatz für Hacker und Terroristen - und, vielleicht, ein nützliches Werkzeug für Unternehmen, sperren ihre eigene Umwelt

 Durch
CSO |
 Die Shodan Suchmaschine kann verwendet werden, um Router mit sichtbaren Backdoors, ungesicherte Webcams und industriellen Steuerungssystemen noch mit Standard-Passwörter zu finden ist.
Es ist das Google für das Internet der Dinge, ein Spielplatz für Hacker und Terroristen - und, vielleicht, ein nützliches Werkzeug für Unternehmen, die sperren ihrer eigenen Umgebung.
Shodan Gründer John Matherly vor mehr als fünf Jahren auf den Markt die Suchmaschine als Marker-Intelligence-Tool, entwickelt, um Technologie-Unternehmen mit Informationen darüber, wo und wie ihre Produkte verwendet wurde Verfügung zu stellen.

"Und natürlich die gleiche Art von Informationen über Wettbewerber abgefragt werden, um besser zu verstehen, wie sie auf dem Markt mit empirischen Daten positioniert sind", sagte Matherly.
Seit der Markteinführung wird jedoch die Suchmaschine auf einem Eigenleben genommen hat, gibt er zu.
"Es ist ein Werkzeug von Sicherheitsexperten, um ein besseres Verständnis für das Internet gewinnen werden", sagte er.
Die öffentliche Website ist eigentlich ein kleines Stück von dem, was Shodan bietet. Unternehmenskunden können roh, Echtzeit-Zugriff auf alle gesammelten Daten zu kaufen.
Beispielsweise kann ein Unternehmen Shodan zu verwenden, um ihre eigenen Netze zu suchen.
"Es ist sehr häufig für große Unternehmen haben eine zufällige Computer herumliegen mit Telnet oder mit einem Gebäudeautomationssystem online, die nicht richtig von einem Auftragnehmer konfiguriert wurde", sagte er. "Und mit dem Aufkommen von Cloud Computing, ich habe eine große Zunahme der Zahl der öffentlich zugänglichen Cloud-Server, die nicht über jede Authentifizierung aktiviert und damit ihren gesamten Inhalt an das Internet auslaufen gesehen."
Ein Unternehmen kann auch Shodan, um die Sicherheit von Unternehmen, sie erwägen den Erwerb oder das Geschäft mit zu überprüfen.
[ Studie stellt fest, Firmware durch eine schlechte Verschlüsselung und Backdoors geplagt ]
Eine weitere Verwendung von Shodan ist es, die Malware-Kommando- und Kontrollserver zu finden von Cyberkriminellen verwendet, die in der Regel ist ein sehr zeitintensiver Prozess.
"Aber es ist sehr unkompliziert, sie mit Shodan identifizieren einmal Fingerabdrücke festgestellt wurde," sagte Matherly.
"Ich will nicht als Bedrohung zu sehen," sagte Leonard Jacobs, Präsident und CEO bei Minneapolis-basierten Managed Security Service Provider Netsecuris Inc. "Für unsere Praxis sehen wir es als eine gute Sache für unsere Kunden setzen wir es um bestätigen, was wir durch andere Techniken zu finden. "
In der Theorie würde ein Unternehmen über alle Geräte und Systeme auf dem Internet ausgesetzt ist weiß, sagte er.
Aber manchmal aus Gründen der Bequemlichkeit Ecken geschnitten.
"Sie werden überrascht sein, was Sie dort finden", sagte er.

Eine Kraft für das Böse?

Shodan ermöglicht es Angreifern, schnell zu identifizieren bestimmte Geräte oder spezielle Software, auf einem sehr großen Maßstab.
"Zum Beispiel, jedes internetfähige Furby konnte schnell, indem Sie auf Shodan und der Suche nach der passenden Signatur, gegen die Hacker, die das gesamte Internet scannen identifiziert werden ", sagte Shane MacDougall, Partner bei kanadischen Sicherheitsberatung Taktische Intelligenz Inc.
Cyber-Kriminelle, Terroristen, Schurkennationalstaaten, auch konkurrierenden Unternehmen können Shodan verwenden, um kritische Infrastrukturen bestehen und nicht mehr richtig funktionieren, sagte Jean Taggart, Sicherheitsexperte bei San Jose-basierte Malwarebytes Corp.
Und Festsetzung dieser Probleme ist nicht immer für Unternehmen eine hohe Priorität, fügte er hinzu.
"Ich mache mir Sorgen, dass wir nicht sehen, Bewegung, bis eine genügend ernsthafte Ereignis eintritt", sagte er. "Eine von der Regierung geführten Bemühungen, die Besitzer dieser Geräte zu identifizieren und sichern Sie ist in der hohen Ordnung."
Mit Shodan bedeutet auch, dass ein Hacker nicht auf den Weg alle Alarmglocken an einer Zielgesellschaft.
Laut Michael Baucom, Vice President für Forschung und Entwicklung an der Columbia, Md. basierte Sach Sicherheit, ist die wahre Macht von Shodan, dass alle Scan ist bereits getan - der Benutzer einfach die Abfrage der Ergebnisse ohne Offenlegung ihrer Adresse oder Maßnahmen, die die Ziel und mit minimalem Aufwand.
"Scans von der Größe des Shodan würde sehr lange dauern und wäre sehr laut", sagte er.
Aber Shodan tatsächlich nicht schaffen keine Schwachstellen, die Hagai Bar-El, CTO von Sansa Sicherheit, eine in Israel ansässigen Sicherheitsfirma mit Schwerpunkt auf dem Internet der Dinge.
"Er weist sie lediglich darauf," sagte er. "Unbestreitbar, Erkennung schwacher Knoten ist ein wichtiger Teil eines Angriffs, aber Hacker in der Lage, diese mit automatisierten Crawlern zu tun, lange bevor Shodan entwickelt."
Zudem sind die meisten unabhängigen Sicherheitsexperten einig, dass sobald eine Sicherheitslücke entdeckt, ist die Öffentlichkeit besser dran, wenn es nicht wird veröffentlicht geheim gehalten, sagte er.
"Die Öffentlichkeit, die auf dem betroffenen System stützt sich das Recht hat, sich seiner gefährdeten Zustand gemacht werden", sagte er. So können sie etwas dagegen tun kann, wie Schalten Anbieter.
"Veröffentlichen einer Schwachstelle in einem kommerziellen Produkt zu finden ist die einzige wirksame Instrument, um den Hersteller, um tatsächlich zu beheben", fügte er hinzu. "Die Geschichte ist voll von Beispielen von Anbietern, die Sicherheitsprobleme in ihren Produkten für Monate und Jahre ignoriert, bis diese Mängel werden veröffentlicht."
Inzwischen ist jeder fixierten Anfälligkeit eine "tickende Zeitbombe", sagte er.
Aber es ist nicht nur so, dass die bösen Jungs haben bereits diese Werkzeuge zur Verfügung, die Shodan die Matherly ,. Die Shodan Website erfordert, dass Benutzer ein Konto zu registrieren, und nur die erste Gruppe von Suchergebnissen ist kostenlos.
Es gibt auch "zahlreiche technische Maßnahmen", um Missbrauch zu verhindern, Matherly aufgenommen.
"In Wirklichkeit ist es viel billiger und effektiver für die bösen Jungs, ein Botnet oder beeinträchtigt Host ausgeführt [Open-Source-Netzwerk-Scan-Tools] ZMap verwenden oder masscan als zur Suche Shodan."


==============================================
 http://www.csoonline.com/article/2867407/network-security/shodan-exposes-iot-vulnerabilities.html

Shodan elmontras IoT vulnerabilidades

IOT初段
 Kredito: CSO personaro.

La Shodan serĉilo estas Google por la Interreto de Aĵoj, infana parko por hackers kaj teroristoj - kaj, eble, utila ilo por entreprenoj serĉas ŝlosi malsupren ilia propra medio

 By
CSO |
 La Shodan serĉilon povas uzi por trovi la routers kun elmontrita pordojn traseras, unsecured webcams kaj industria kontrolo sistemoj ankoraŭ uzanta defaŭltan pasvortojn.
Estas la Google por la Interreto de Aĵoj, infana parko por hackers kaj teroristoj - kaj, eble, utila ilo por entreprenoj serĉas ŝlosi malsupren ilia propra medio.
Shodan fondinto John Matherly lanĉita la serĉilon pli ol kvin jaroj kiel markilo inteligenteco ilo, desegnita provizi teknologiaj entreprenoj kun informoj pri kie kaj kiel iliaj produktoj estis uzitaj.

"Kaj kompreneble la sama tipo de informo povas konsulti pri competidores, por pli bone kompreni kiel ili estas posicionado en la merkato uzante empiriaj datumoj," diris Matherly.
De lia ĵeto, tamen, la serĉilon prenis sur propran vivon, li akceptas.
"Ĝi iĝis ilo de sekureco spertaj por akiri pli bonan komprenon de la Interreto," li diris.
La publika retejo estas fakte malgranda peco de kion Shodan proponas. Enterprise klientoj povas aĉeti krudan, reala-tempo aliro al ĉiuj datumoj enspezas.
Ekzemple, kompanio povas uzi Shodan esplori liajn proprajn retojn.
"Ĝi estas tre komuna por grandaj entreprenoj havi hazarda komputilo kuŝantaj ĉirkaŭe kurante Telnet aŭ havante konstruaĵo aŭtomatigo sistemo online kiu ne estis konvene agordita per entreprenisto," li diris. "Kaj kun la alveno de cloud computing, mi vidis grandan pliigon en la nombro de publike-alirebla nubo serviloj kiuj ne havas ajnan autenticación ebligita kaj sekve liki ilia tuta enhavo al la Interreto."
Entrepreno povas ankaŭ uzi Shodan por kontroli la sekurecon de entreprenoj ili estas konsideri akiri aŭ fari negocojn kun.
[ Studo trovas firmware plagado por malriĉaj ĉifrado kaj pordojn traseras ]
Alia uzo de Shodan estas trovi la malware komando kaj kontrolo serviloj uzas cybercriminals, kiuj estas kutime tre tempo-intensivaj procezo.
"Tamen estas tre rekta-antaŭen por identigi ilin kun Shodan unufoje fingropremo estis establita," Matherly diris.
"Mi ne vidas kiel minacon," diris Leonard Jacobs, prezidanto kaj CEO ĉe Minneapolis-bazita sukcesis sekureco servo provizanto Netsecuris Inc. "Por nia praktiko, ni vidas kiel bona afero por niaj klientoj, ni uzas ĝin por konfirmi kion ni trovi tra aliaj teknikoj. "
En teorio, kompanio devus scii pri ĉiuj mekanismoj kaj sistemoj ĝi elmontris en la interreto, li diris.
Sed kelkfoje, pro oportuneco, anguloj estas tranĉitaj.
"Vi estos surprizita kion vi trovos tie ekstere," li diris.

Forto por malbono?

Shodan permesas atacantes por rapide identigi specifajn mekanismojn, aŭ specifa programaro, sur tre granda skalo.
"Ekzemple, ĉiu TTT-koneksa Furby povus identigi rapide irante al Shodan kaj serĉante la taŭga signumo, kontre la hacker havantaj skani la tuta interreto, "diris Shane MacDougall, partnero ĉe Kanada sekureco consultoría Tactical Intelligence Inc.
Cybercriminals, teroristoj, fripono nacio-ŝtatoj, eĉ rivalaj entreprenoj povas uzi Shodan identigi maltrankviliga infrastrukturo kaj kaŭzi ĝin al misfunkcio, diris Jean Taggart, sekureco esploristo ĉe San Jose-bazita Malwarebytes Corp.
Kaj fiksinte tiujn problemojn estas ne ĉiam altan prioritaton por organizoj, li aldonis.
"Mi timas ke ni ne vidos movado ĝis serioza sufiĉe okazaĵo okazas," li diris. "A registaro gvidata peno identigi la posedantoj de ĉi tiuj mekanismoj kaj sekurigi ilin estas en alta ordo."
Uzante Shodan ankaŭ signifas ke hacker ne ekiris ajna averto sonoriloj ĉe celataj kompanio.
Laŭ Michael Baucom, vicprezidanto de R & D en Columbia, Md.-bazita palpeblan Sekureco, la vera potenco de Shodan estas ke ĉiuj scanning jam farita - la uzanto simple Demandante la rezultojn sen malkaŝi lian adreson aŭ agoj por la celo, kaj kun minimuma penado.
"Escanea de la grando de Shodan prenus longan tempon kaj estus tre bruaj," li diris.
Sed Shodan fakte ne krei ajnan vulnerabilidades, diris Hagai Bar-El, CTO ĉe Sansa Sekureco, Israelo-bazita sekureco firma enfokusigante en la Interreto de Aĵoj.
"Ĝi nur markas ilin," li diris. "Unarguably, detektante malfortaj nodoj estas grava parto de atako, sed la hackers povis fari tion kun aŭtomatigitaj Crawlers, longe antaŭ Shodan disvolvis."
Krome, plej sendependaj sekureco esploristoj konsentas ke unufoje vulnerabilidad malkovrita, la publiko estas pli bonstata se ĝi propagandis anstataŭ konservita sekreto, li diris.
"La publiko kiu fidas sur la vundebla sistemo havas rajton esti farita konsciaj de lia vundebla stato," li diris. Tiel, ili povas fari ion pri tio, kiel ŝaltanta vendistoj.
"Eldonejo difekto trovita en komerca produkto estas la sola efika maniero por kuraghigi la vendisto al efektive ripari ĝin," li aldonis. "Historio estas plena de ekzemploj de vendistoj kiuj ignoris sekurecproblemojn en iliaj produktoj dum monatoj kaj jaroj ĝis tiuj faŭltoj estas faritaj publiko."
Dume, ĉiu unfixed vulnerabilidad estas "tiktakas timebomb," li diris.
Sed estas ne nur ke la maliculojn jam havas tiujn ilojn disponeblaj, diris Shodan la Matherly ,. La Shodan retejo postulas ke uzantoj registriĝu por rakonto, kaj nur la unua aro de serĉrezultoj estas libera.
Ekzistas ankaŭ "multnombraj teknikaj mezuroj" por malebligi misuzon, Matherly aldonis.
"En realeco, ĝi estas multe pli malkara kaj efika por la maliculojn uzi botnet aŭ kompromitita gastiganto kurante [malferma fonto reto scanning iloj] zmap aŭ masscan ol serĉi Shodan."


 ======================================
 http://www.csoonline.com/article/2367682/data-protection/hackingteam-mobile-pc-spyware-for-governments-spans-many-countries.html

HackingTeam手機,PC間諜軟件為政府跨越許多國家


研究人員說,有爭議的HackingTeam惡意軟件可以控制iPhone和Android設備,並在超過40個國家支持數百服務器。

 
CSO |
 最新發布的研究已在超過40個國家供電出售給政府和執法爭議的間諜發現數百的命令和控制服務器。
此外,研究人員發現,意大利公司HackingTeam法律惡意軟件能夠刺探,並從的Andr​​oid和蘋果iOS設備的用戶竊取數據。 雖然懷疑,這種能力以前沒有被證實。
[ 背後真正的APT活動的過程和工具:指揮與控制 ]

研究小組從反病毒廠商卡巴斯基實驗室和公民實驗室,設在蒙克國際研究中心在多倫多大學,介紹了他們的研究結果週二在倫敦的事件。 該團隊已經合作了研究。
研究人員共326 C&C服務器識別,人數最多的美國,哈薩克斯坦和厄瓜多爾。 誰是背後的服務器和它們是否在國家,它們位於不知道被使用。
“不幸的是,我們不能肯定,在某一個國家的服務器所使用的特定國家的執法機關(執法部門),”卡巴斯基專家表示,該公司的Securelist博客 “不過,這是有意義的執法機關把自己的C&Cs的在自己的國家,以避免跨境法律問題,並檢獲的服務器。”
對HackingTeam的遠程控制系統(RCS)的惡意軟件新發現的手機版本是能夠感染Android手機和蘋果越獄iPhone手機。
感染原始的iPhone手機,個人電腦將首先被感染的惡意軟件,會首先運行一個越獄工具,如Evasi0n,當手機與PC同步。 手機越獄後惡意軟件將被種植。
移動惡意軟件的版本,其中已經發現了用於Windows Mobile和黑莓手機,能夠記錄聲音從電話和麥克風。 它也可以拍照,複製地址簿和通過Skype,WhatsApp的和Viber的發送日曆和捕捉電子郵件和消息。
Android版本還可以劫持Facebook,谷歌Talk和騰訊的應用。 後者是中國互聯網公司,提供社交網絡和其他服務。
HackingTeam的惡意軟件已經被政府用來收集信息,並暗中監視罪犯,政治活動家和記者。
HackingTeam上說, 其網站的RCS工具包是針對“執法和情報機構。” 然而,有沒有辦法來防止網絡罪犯從尋找一種方式來獲得一個持有的惡意軟件和定位的公司。
“這種惡意軟件可以被重新利用,並用來對付'好人',”謝爾蓋Golovanov,首席安全研究員卡巴斯基實驗室說。
公司應掃描PC和Mac反病毒產品能夠找到RCS的惡意軟件。 如果找到了惡意軟件,那麼企業還應該檢查的移動設備,它可以在連接到受感染的系統中的一個已經被感染。
[ 谷歌澄清商業間諜禁令Play商店 ]
“不幸的是沒有辦法保證100%的檢測惡意軟件的iOS,黑莓和Windows Mobile手機中,”Golovanov說。
因此,企業應注意有無惡意軟件正在運行的其他指標,如非常低的電池壽命和高網絡流量。


 ==========================================
 http://www.csoonline.com/article/2367682/data-protection/hackingteam-mobile-pc-spyware-for-governments-spans-many-countries.html

HackingTeam 모바일은, 정부에 대한 PC의 스파이웨어는 여러 국가에 걸쳐


연구자들은 논란 HackingTeam 악성 코드가 아이폰과 안드로이드 장치를 제어 할 수 있습니다 40 개 이상의 국가에서 수백 개의 서버에서 지원됩니다 말한다.

 으로
CSO |

 새로 출시 된 연구는 정부와 법 집행 기관에 판매 논란이 스파이웨어에 전원을 공급 40 개 이상의 국가에 걸쳐 수백 개의 명령 및 제어 서버를 발견했다.
또한, 연구진은 이탈리아 회사의 HackingTeam의 법적 악성 코드에 대한 감시 및 안드로이드와 애플 아이폰 OS 장치의 사용자 데이터를 훔치는 할 수있는 것으로 나타났습니다. 의심하지만, 이러한 기능은 이전에 검증되지 않았다.
[ 진정한 APT 캠페인 ​​뒤에 프로세스와 도구를 : 명령 및 제어 ]

토론토 대학에서 국제 연구 멍크 센터에서 기반 안티 바이러스 업체 카스퍼 스키 랩과 시민 연구소에서 연구 팀은, 그들의 제시 화요일 연구 결과를 런던에서 이벤트에. 팀은 연구에 협력했다.
연구진은 미국, 카자흐스탄과 에콰도르에서 가장 큰 숫자로, 326 C & C 서버의 총을 확인했다. 누가 서버 배후과 그들이 알려지지 않았다 위치한 한 국가에서 사용되었는지 여부.
"불행하게도, 우리가 특정 국가의 서버가 특정 국가의 좋은 초원 (법 집행 기관)에 의해 사용되는 것을 확신 할 수 없다"카스퍼 스키 전문가들은 회사의했다 Securelist 블로그 . "좋은 초원이 국경 법률 문제와 서버의 발작을 피하기 위해 자신의 나라에서 자신의 C & 고사를 넣어위한 그러나 감각을 만들 것입니다."
HackingTeam의 원격 제어 시스템 (RCS) 악성 코드의 새로 발견 된 모바일 버전은 안드로이드 폰과 탈옥 된 애플 아이폰을 감염시킬 수 있었다.
원시 아이폰 감염, 퍼스널 컴퓨터는 제 전화기가 PC와 동기화 될 때 제, 예컨대 Evasi0n 같이 탈옥 도구를 실행하는 악성 코드에 감염된 것이되어야 할 것이다. 휴대 전화가 탈옥 후 악성 코드가 심어 될 것이다.
이미 윈도우 모바일과 블랙 베리 발견했다 버전있는 모바일 악성 코드, 전화 및 마이크 녹음 음성 할 수있다. 또한, 사진을 찍을 스카이프, 싸이 월드, 미투데이와 Viber를 통해 전송 주소록 및 캘린더 캡처 이메일과 메시지를 복사 할 수 있습니다.
안드로이드 버전은 또한 페이스 북, 구글 토크와 텐센트 응용 프로그램을 가로 챌 수 있습니다. 후자는 소셜 네트워크 및 기타 서비스를 제공하는 중국 인터넷 기업입니다.
HackingTeam의 악성 코드는 정보를 수집하고, 범죄자, 정치 운동가들과 언론인을 감시하는 정부에 의해 사용되어왔다.
HackingTeam는에 말했다 자사의 웹 사이트 RCS 툴킷을 대상으로 "법 집행 및 정보 커뮤니티." 그러나, 악성 코드의 보류를 얻을 수있는 방법을 찾는 기업을 대상으로 사이버 범죄자을 방지 아무것도 없다.
"이 악성 코드는 용도 변경에 대해 사용할 수있는 '좋은 사람'"세르게이 Golovanov, 카스퍼 스키 랩에 대한 주요 보안 연구원은 말했다.
회사는 RCS의 악성 코드를 발견 할 수있는 안티 바이러스 제품으로 PC와 Mac을 스캔하는 것이 좋습니다. 악성 코드가 발견되면, 기업들은 손상된 시스템 중 하나에 연결되어있는 경우에 감염되었을 수 모바일 기기를 확인한다.
[ 구글 플레이 스토어 상업적 스파이웨어 금지를 명확히 ]
"불행하게도 아이폰 OS, 블랙 베리 나 윈도우 모바일 폰에서 악성 코드의 100 % 검출을 보장 할 방법이 없다"Golovanov 말했다.
따라서, 기업들은 비정상적으로 낮은 배터리 수명과 네트워크 트래픽이 실행되는 악성 코드의 다른 지표를 감시해야한다.


 =========================================
 http://www.csoonline.com/article/2367682/data-protection/hackingteam-mobile-pc-spyware-for-governments-spans-many-countries.html

HackingTeam mobile, PC les logiciels espions pour les gouvernements de nombreux pays se étend


Les chercheurs disent controversée HackingTeam malware peut contrôler des appareils iPhone et Android et est soutenu par plusieurs centaines de serveurs dans plus de 40 pays.


 Par
OSC |
 Recherche récemment publié a découvert plusieurs centaines de serveurs de commande et de contrôle dans plus de 40 pays équipant spyware controversée vendus aux gouvernements et application de la loi.
En outre, les chercheurs ont constaté que le malware juridique de la société italienne HackingTeam est capable d'espionner et voler des données à partir, les utilisateurs d'appareils Android et Apple iOS. Bien que soupçonnée, ces capacités ne avaient pas été prouvé précédemment.
[ Le processus et les outils derrière une véritable campagne APT: commandement et de contrôle ]

Les équipes de recherche de fournisseur d'anti-virus Kaspersky Lab et Citizen Lab, basé au Centre Munk d'études internationales à l'Université de Toronto, ont présenté leurs conclusions mardi lors d'un événement à Londres. Les équipes ont collaboré à la recherche.
Les chercheurs ont identifié un total de 326 serveurs C & C, avec le plus grand nombre aux États-Unis, le Kazakhstan et l'Équateur. Qui était derrière les serveurs et se ils étaient utilisés dans les pays où ils se trouvaient ne était pas connu.
"Malheureusement, nous ne pouvons pas être sûrs que les serveurs dans un certain pays sont utilisés par les LEA de ce pays spécifique (agences d'application de la loi)," les experts de Kaspersky déclaré de la société securelist blog . "Cependant, il serait logique pour les AMI de mettre leur C & C dans leur propre pays afin d'éviter des problèmes juridiques transfrontaliers et la saisie de serveurs."
La version mobile nouvellement découvert du système de contrôle à distance (RCS) de logiciels malveillants HackingTeam était capable d'infecter les téléphones Android et les iPhones d'Apple jailbreaké.
Pour infecter les iPhones immaculées, un ordinateur personnel devrait d'abord être infectés par des malwares qui d'abord exécuter un outil de jailbreak, comme Evasi0n, lorsque le téléphone est synchronisé avec le PC. Malware serait planté après le téléphone est jailbreaké.
Le malware mobile, des versions qui avait déjà été découvert pour Windows Mobile et BlackBerry, est capable d'enregistrer la voix des appels téléphoniques et le microphone. Il peut également prendre des photos, copier le carnet d'adresses et le calendrier et la capture électronique et les messages envoyés via Skype, WhatsApp et Viber.
La version Android pourrait aussi détourner des applications Facebook, Google Talk et Tencent. Cette dernière est une société Internet chinoise qui fournit des réseaux sociaux et autres services.
Malware de HackingTeam a été utilisé par les gouvernements pour recueillir des informations et d'espionner les criminels, des militants politiques et des journalistes.
HackingTeam indique sur son site Internet que la boîte à outils RCS est destiné aux "répressifs et de renseignement communautés." Cependant, rien ne empêche les cybercriminels de trouver un moyen de mettre la main sur le malware et le ciblage des entreprises.
"Ce malware peut être réutilisées et utilisé contre les« bons gars, "Sergey Golovanov, chercheur en sécurité principal de Kaspersky Lab, a déclaré.
Les entreprises sont invités à scanner PC et Mac avec des produits anti-virus capable de trouver RCS logiciels malveillants. Si le logiciel malveillant est trouvé, les entreprises devraient également vérifier les appareils mobiles, qui auraient pu être infectés lorsqu'ils sont connectés à l'un des systèmes compromis.
[ Google clarifie interdiction de spyware commercial pour Play Store ]
"Malheureusement, il ne existe aucun moyen de garantir à 100 pour cent de détection de logiciels malveillants dans iOS, Blackberry ou les téléphones Windows Mobile», a déclaré Golovanov.
Par conséquent, les entreprises devraient regarder pour d'autres indicateurs que les logiciels malveillants est en cours d'exécution, comme la vie de la batterie inhabituellement faible et le trafic réseau élevé.


 ===============================================
 http://www.csoonline.com/article/2367682/data-protection/hackingteam-mobile-pc-spyware-for-governments-spans-many-countries.html

政府にとってHackingTeamモバイル、PCのスパイウェアは、多くの国にまたがる


研究者は、論争のHackingTeamのマルウェアは、iPhoneとAndroidデバイスを制御することができますし、40カ国以上で数百のサーバでサポートされていると言う。


 することにより
CSO |
 新しくリリースされた研究では、政府や法執行機関に売却され物議をスパイウェアに電力を供給し、40以上の国全体で数百のコマンド·アンド·コントロール·サーバーを明らかにした。
また、研究者は、イタリアの会社HackingTeamの法的マルウェアが上のスパイ、とAndroidとAppleのiOSデバイスのユーザーは、データを盗むことが可能であることがわかった。 疑われているが、そのような能力は、以前に証明されていなかった。
[ 真APTキャンペーンの背後にあるプロセスとツール:コマンド&コントロール ]

トロント大学における国際問題研究のためのムンクセンターでベースのアンチウイルスベンダーカスペルスキーと市民研究室からの研究チームは、彼らの提示火曜日の調査結果を 、ロンドンのイベントで。 チームが研究に協力していた。
研究者は米国、カザフスタンとエクアドルで最大の数で、326 C&Cサーバーの合計を同定した。 誰がサーバの背後にいたと彼らは知られていなかったに位置していた国で使用されていたかどうか。
「残念ながら、我々は特定の国のサーバーは、その特定の国ののLEA(法執行機関)によって使用されていることを確認することはできません、「カスペルスキーの専門家は、同社のにしたSecurelistブログ 「LEAが国境を越えた法的な問題やサーバの発作を避けるために、自分の国で彼らのC&Csのを置くためにしかし、それは理にかなっている。」
HackingTeamのリモート·コントロール·システム(RCS)マルウェアの新たに発見されたモバイル版は、Android携帯電話とジェイルブレイクのAppleのiPhoneに感染することができた。
自然のままのiPhoneを感染させるために、パーソナルコンピュータは、第1の携帯電話をPCと同期されたときに最初に、そのようなEvasi0nとして牢破りツールを実行するであろうマルウェアに感染しなければならないであろう。 電話がジェイルブレイクされた後にマルウェアが植えられる。
すでにWindows MobileとBlackBerry用発見されたバージョンのうち、モバイルマルウェアは、電話やマイクからの音声を記録することが可能です。 それはまた、写真を撮って、アドレス帳やカレンダーをコピーして、スカイプ、WhatsAppやViberのを介して送信した電子メールやメッセージをキャプチャすることができます。
Androidのバージョンも、FacebookやGoogleトークとTencentのアプリケーションを乗っ取ることができます。 後者は、ソーシャルネットワークやその他のサービスを提供する中国のインターネット企業です。
HackingTeamのマルウェアは、情報を収集し、犯罪者、政治活動家やジャーナリストをスパイする政府によって使用されてきた。
HackingTeamは上の言うそのウェブサイト RCSツールキットを対象とし、「法執行機関や諜報コミュニティ。」 しかし、マルウェアのホールドを取得する方法を見つけ、企業を対象からサイバー犯罪を防ぐものはありません。
「このマルウェアはに対して再利用して使用することができる「善玉、「 "セルゲイゴロワノフ、カスペルスキーのための主要なセキュリティ研究者は、言った。
企業は、RCSのマルウェアを見つけることのできるアンチウイルス製品でPCやMacをスキャンすることをお勧めします。 マルウェアが検出された場合、企業はまた、侵入システムのいずれかに接続されたときに感染している可能性がモバイルデバイスを、チェックしてください。
[ Googleはプレイストアの商用スパイウェアの禁止を明確化 ]
「残念ながら、iOSの、ブラックベリーやWindows Mobileの携帯電話にマルウェアを100%検出を保証する方法がない、「ゴロワノフは語った。
そのため、企業はそのような異常に低いバッテリー寿命と高いネットワークトラフィックなどのマルウェアが実行されている他の指標のために監視する必要があります。


 =============================================
 http://www.csoonline.com/article/2367682/data-protection/hackingteam-mobile-pc-spyware-for-governments-spans-many-countries.html

HackingTeam Handy, PC Spyware Regierungen reicht vielen Ländern


Forscher sagen, kontroverse HackingTeam Malware können iPhone und Android-Geräte zu steuern und wird von mehreren hundert Servern in mehr als 40 Ländern unterstützt.

 Durch
CSO |
 Neu frei Forschung hat mehrere hundert Command-and-Control-Server in mehr als 40 Ländern die Stromversorgung kontrovers spyware, Regierungen und Strafverfolgungsbehörden verkauft werden aufgedeckt.
Darüber hinaus fanden die Forscher, dass die Rechts Malware der italienischen Firma HackingTeam fähig Ausspionieren und Stehlen von Daten aus, Nutzer von Android und Apple iOS-Geräte ist. Während im Verdacht hatte solche Fähigkeiten bisher nicht nachgewiesen.
[ Der Prozess und Werkzeuge hinter einer echten APT-Kampagne: Command & Control ]

Forschungsteams aus Antiviren-Hersteller Kaspersky Lab und Citizen Lab am Munk Centre for International Studies an der Universität von Toronto, präsentierten ihre Erkenntnisse Dienstag bei einer Veranstaltung in London. Die Teams hatten auf die Forschung zusammengearbeitet.
Die Forscher identifizierten insgesamt 326 C & C-Server, mit der größten Zahl in den USA, Kasachstan und Ecuador. Wer steckt hinter der Server war und ob sie in den Ländern, wo sie sich befanden war nicht bekannt, verwendet.
"Leider können wir nicht sicher, dass die Server in einem bestimmten Land durch die LEA ist das spezifische Land (Strafverfolgungsbehörden) eingesetzt werden", sagte Kaspersky Experten des Unternehmens Secure Blog . "Allerdings wäre es sinnvoll für LEA ihre C & Cs in ihren eigenen Ländern, um grenzüberschreitende Rechtsprobleme und die Beschlagnahme von Servern zu vermeiden setzen."
Der neu entdeckte Mobile-Version von Remote Control System (RCS) Malware HackingTeam war infizieren kann Android-Handys und jailbroken Apple iPhones.
Um unberührten iPhones zu infizieren, würde ein PC zuerst mit Malware, die zum ersten Mal ausgeführt würde ein Jailbreak-Tool wie Evasi0n, wenn das Telefon mit dem PC synchronisiert infiziert werden. Malware gepflanzt würde, wenn das Telefon jailbroken.
Die mobile Malware-Versionen, von denen bereits für Windows Mobile und Blackberry entdeckt, ist in der Lage die Aufnahme von Sprachtelefonanrufen und das Mikrofon. Es kann auch Bilder zu machen, kopieren Sie das Adressbuch und den Kalender und E-Mail-Erfassung und Nachrichten über Skype, WhatsApp und Viber gesendet.
Die Android-Version kann auch kapern Facebook, Google Talk und Tencent Anwendungen. Letzteres ist eine chinesische Internet-Unternehmen, die soziale Netzwerke und andere Dienste zur Verfügung stellt.
HackingTeam Malware wurde von Regierungen genutzt, um Informationen zu sammeln und auf Kriminelle, politische Aktivisten und Journalisten auszuspionieren.
HackingTeam sagt auf ihrer Website , dass die RCS-Toolkit richtet sich an "Strafverfolgungsbehörden und Geheimdienste." Aber es gibt nichts zu verhindern, dass Cyberkriminelle einen Weg finden, einen Einfluß der Malware zu erhalten und Zielunternehmen.
"Diese Malware kann umfunktioniert und gegen die verwendet werden 'Guten'", Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab, sagte.
Die Unternehmen werden gebeten, PCs und Macs mit Antiviren-Produkte in der Lage zu finden, RCS Malware scannen. Wenn die Malware gefunden wird, sollten Unternehmen auch mobile Geräte, die infiziert könnte, wenn einer der kompromittierte Systeme angeschlossen haben zu überprüfen.
[ Google klärt kommerziellen Spyware Verbot für Play Store ]
"Leider gibt es keine Möglichkeit, um 100 Prozent Erkennung von Malware in iOS, Blackberry oder Windows Mobile-Telefone zu gewährleisten", sagte Golovanov.
Daher sollten Unternehmen für andere Indikatoren, wird Malware ausgeführt wird, wie ungewöhnlich niedrige Akkulaufzeit und hohe Netzwerkverkehr zu beobachten.


 ==============================================
 http://www.csoonline.com/article/2367682/data-protection/hackingteam-mobile-pc-spyware-for-governments-spans-many-countries.html

HackingTeam móviles, PC spyware por registaroj ĉirkaŭprenas multaj landoj


Esploristoj diras polemika HackingTeam malware povas kontroli iPhone kaj Android mekanismoj kaj estas apogita de kelkcent serviloj en pli ol 40 landoj.


 Per
CSO |
 Ĵus premiere esplorado malkovris kelkcent komando-kaj-kontrolo serviloj tra pli ol 40 landoj motorizando polemika spyware vendataj al registaroj kaj policaj.
Krome, esploristoj trovis ke la juraj malware de itala kompanio HackingTeam kapablas spionante, ŝtelado datumojn de uzantoj de Android kaj Apple iOS mekanismoj. Dum suspektis, tiaj kapabloj ne estis pruvita antaŭe.
[ La procezo kaj iloj malantaŭ vera APT kampanjo Command & Kontrolo ]

Esplorado teamoj de antivirus vendisto Kaspersky Lab kaj Civitanaj Lab, bazita ĉe la Munk Centre por Internacia Studoj en la Universitato de Toronto, prezentis sian trovoj mardo je evento en Londono. La teamoj estis kunlaborinta en la esplorado.
La esploristoj identigis tuta de 326 C & C serviloj, kun la plej granda nombro en Usono, Kazaĥio kaj Ekvatoro. Kiu estis malantaŭ la serviloj kaj ĉu ili estis uzitaj en la landoj kie estis lokitaj oni nenion rimarku.
"Bedaŭrinde ni ne povas esti certaj ke la serviloj en certa lando estas uzata de tiu specifa lando LEAs (policaj agentejoj)," Kaspersky spertuloj diris sur la kompanio Securelist blogo . "Tamen, ĝi estus sencon LEAs meti iliajn C & Cs en siaj propraj landoj por eviti translimaj juraj problemoj kaj la kapto de serviloj."
La ĵus eltrovita versio móvil de HackingTeam la Remote Kontrolo System (RCS) malware estis kapablaj de infekti Android telefonoj kaj jailbroken Apple iPhones.
Infekti pristina iPhones, persona komputilo estus unue esti infektita kun malware kiu estus unua lanĉu jailbreaking ilo, kiel Evasi0n, kiam la telefono estas sinkronigita kun la PC. Malware estus plantitaj post la telefono jailbroken.
La móvil malware, versioj de kiuj jam estis malkovritaj por Windows Mobile kaj BlackBerry, estas kapabla de gravuri voĉon de telefonvokoj kaj la mikrofono. Ĝi povas ankaŭ fari fotojn, kopiu la adreslibro kaj kalendaro kaj kapto retpoŝto kaj mesaĝoj senditaj pere de Skype, WhatsApp kaj Viber.
La Android versio povus ankaŭ forrabi Facebook, Google Talk kaj Tencent aplikoj. Tiu lasta estas ĉina Interreto kompanio kiu provizas sociaj retoj kaj aliaj servoj.
HackingTeam La malware estis uzita de registaroj por kolekti informojn kaj por spioni kriminalaj, politikaj aktivistoj kaj ĵurnalistoj.
HackingTeam diras en sia retejo ke la ilaron RCS estas direktita al "la leĝo kaj inteligenteco komunumoj." Tamen, estas nenio malhelpante cybercriminals de trovanta vojon por akiri fortikajxo de la malware kaj celado kompanioj.
"Tiu malware povas repurposed kaj uzita kontraŭ la 'bonuloj,'" Sergey Golovanov, precipaj sekureco esploristo por Kaspersky Lab, diris.
Kompanioj konsilas skani PCs kaj Macs kun antivirus produktoj kapablas trovi RCS malware. Se la malware troviĝas, tiam entreprenoj devus ankaŭ kontroli la mekanismoj móviles, kiu povus esti infektita kiam konektita al unu el la kompromitita sistemoj.
[ Google klarigas komercaj spyware malpermeson por Play vendejo ]
"Bedaŭrinde ne estas maniero garantii 100 procento detección de malware en iOS, Blackberry aŭ Windows Mobile telefonoj" Golovanov diris.
Sekve, la entreprenoj devus rigardi aliajn indikilojn kiuj Malware kuras, kiel nekutime malalta bateria vivo kaj alta reto trafiko.



 =============================================
 https://citizenlab.org/2014/06/backdoor-hacking-teams-tradecraft-android-implant/

警察故事:黑客團隊的政府監視惡意軟件

2014年6月24日
 下載PDF版本閱讀ISSUU
作者:
摩根侯爵-Boire,約翰·斯科特 - 萊爾頓,克勞迪奧瓜爾涅和凱蒂Kleemola
 閱讀阿拉伯語版本/النسخةالعربية翻譯網絡阿拉伯人
左邊的報紙可能會抱怨了一下
但人在車站,他們不給狗屎
調度電話:“你幹什麼缺德事?”
“不siree,傑克,我們只是得到安寧'門票”
警方卡車,死的Kennedys(1980)

總結

  • 第一部分 ,我們分析,我們歸因於黑客小組新發現的Android植入物和突出誘餌含量和攻擊範圍內的政治潛台詞。
  • 第二部分中,我們揭露黑客團隊的遠程控制系統(RCS)和運營商諜報中從未公佈詳細的功能和結構。

介紹

這份報告分析了黑客團隊的Andr​​oid植入物,並使用新的文件來說明他們是如何遠程控制系統(RCS)攔截產品的工作原理。 這項工作建立在我們以前的研究到技術和背後的“合法攔截”的惡意軟件的公司。 這種技術是銷售作為填充無源攔截(如網絡監控)和物理的搜索之間的間隙。 從本質上講,它是惡意軟件出售給政府。 不像手機監控和人身搜查,但是,大多數國家很少有法律的指引和監督使用這種新的力量。 鑑於缺乏指引和監督,其秘密性質在一起的,這種技術是特別容易受到濫用。 通過分析工具和他們的增殖像黑客團隊和公司的手中伽瑪集團 ,我們希望扶持力度,確保這些工具被用在一個負責任的方式,而不是侵犯人權和法治的基本原則。
在今年早些時候發表的一份報告中,我們提出了結果的全球掃描工作 ,並確定了21個國家與黑客團隊的遠程控制系統的監測解決方案的部署。 此外,與其他研究人員,我們已經發現了一個範圍,其中“合法攔截”軟件已被用來對付政治目標由專制政權的案件。 政治和公民社會的目標還包括Mamfakinch在摩洛哥 ,人權活動家艾哈邁德·曼蘇爾在阿聯酋ESAT ,總部設在美國的新聞服務,專注於埃塞俄比亞。 在所有這些情況 ​​下,市場上銷售“執法”的工具,使用對政治 ,而不是安全威脅。 在另一些情況 ​​下,如馬來西亞 [PDF],我們發現誘餌文件和播種提示政治目標的。

第1部分:Android的黑客後門隊在沙特阿拉伯

在沙特阿拉伯和蓋提夫抗議

雖然沙特阿拉伯沒有看到抗議媲美的阿拉伯之春中的其他地方,它自2011年以來經歷了抗議活動,主要是在灰Sharqiyah的省份。 有許多原因的政治緊張局勢,從人口壓力,住房成本和失業,婦女和少數民族權利問題。 全省主要是什葉派,誰擁有長期的積怨在感知政治和文化邊緣化的遜尼派統治的政權。 這些委屈是放大的時候,在2011年初,巴林政府暴力鎮壓什葉派抗議與沙特阿拉伯軍隊的援助。
抗議然後在若干領域傳播, 包括在主要為什葉派蓋提夫省 在2011年,大多數什葉派示威者似乎沒有最初所要求的改革,而不是政權變更主張在其他阿拉伯國家。 有趣的是,蓋提夫有什葉派抗議的歷史,最著名的廣泛抗議活動在1979年為應對抗議活動,這要求更大的政治和經濟參與,這個政權提供了廣泛的經濟讓步。 在2011年,然而,當局報以暴力和逮捕的什葉派著名人物。 示威者受傷, 其他人涉嫌打死 ,安全部隊,根據人權 ​​觀察。 這種打擊可能是不斷變化的示威者的要求做出了貢獻; 今天,一些明確的要求政權更迭用世俗的語言,根據研究人員和記者直接熟悉誰跟我們講最近的事態發展。 在什麼可以被描述為一種炎症反應,沙特當局還逮捕了直率,非常明顯的什葉派謝赫。
“......檢察官要求他不僅面臨死刑,但其中的屍體被從一極被絞死玷污了最令人髮指的罪行授權伊斯蘭教法的追加處罰。” - 路透社
升級,這一直伴隨著對在一些什葉派安全服務的暴力,所使用的制度來證明嚴厲的措施,其中包括“防暴”,逮捕和判刑包括死亡上的示威者指控“煽動。”其他人已經被控犯有間諜罪代表伊朗在一直聲稱許多什葉派認為已經案件出於政治動機
已編目涉嫌濫用職權,像Adala人權中心的人權組織,都被拒絕登記為正式組織,服從能力URL阻斷 ,並有工作人員受到騷擾和監禁 記者試圖在蓋提夫報告是進入封鎖 ,並定期受到威脅和政府壓力。
社交媒體和手機是如何抗議活動的組織的重要組成部分,與示威者採取措施,如使用假名賬戶,分享他們的信息。 不過,據知情人士透露,事件,數字運營安全的做法往往是零碎的,不匹配的安全服務能力。

監測,監控和信息控制在沙特阿拉伯

沙特阿拉伯是一個獨特而複雜的安全環境,其安全服​​務方面發揮多種作用的。 在一方面,沙特面臨著來自敵對團體,極端分子和其他政府不可否認的國外和國內的安全威脅。 在另一方面,該制度一直在努力控制和壓制持不同政見者和政治多元化格外積極。
沙特安全部門利用各種正式和非正式的國家權力來控制電子信息環境在全國文書。 開始在政府維護互聯網阻塞點,並延伸至互聯網服務供應商,國家區塊範圍廣泛的政治,宗教和文化內涵。 這包括社交媒體,無論是特定用戶或整個平台 進一步擴大,國家規定,新聞網站(廣義)註冊的機構。 註冊的網站都受到廣泛的管制,而沒有註冊的風險重罰未註冊的運營商。 網站運營商都鼓勵自我監控和適度內容,根據經濟處罰,坐牢時間,體罰像睫毛威脅。 此外,反網絡犯罪的立法也被用來起訴網上對話的大多數社會會考慮接受的政治演講。
公眾使用的移動監控延伸到形式的社會控制,許多社會會覺得非常反感。 例如,政府贏得了國際社會的譴責,當它宣布將實施一套系統,以使他們的男性監護人監督下,他們的呵護女性的出行行為。 更換舊的基於許可防滑系統(“黃牌”),男性監護人接收短信時,女性到達國際機場的場地 ,詢問婦女是否被允許旅行。
互聯網和社交媒體鼓勵用戶自我審查和報告對方。 政府從事公共宣傳活動 ,以鼓勵雙方的行為,並明確到沙特公民,他們都在觀望,並傾聽。 尤其是,國家已經實施的具體處罰重新共享,私下或公開,內容視為反感。 除了 ​​用法律的明確工具,人們普遍認為,國家鼓勵的“電子軍”親政府人士的沼澤與親政府的聲音,社會化媒體的談話和騷擾持不同政見者。
演講涉及宗教題材特別有風險的,因為政府是願意用宗教的嚴重指控國際判例,包括死刑和肉刑和工具,如引渡,拘留和懲罰那些誰違反其嚴格規範的政治,宗教,文化講話。
在兩個顯著的情況下,沙特自由主義者論壇的經營者最終 ​​被判處有期徒刑10年,1000睫毛維護宗教和改革的討論的論壇。 這是減少了排序,作為檢察機關要求對他執行死刑。 許多類似的情況下,使用各種費用,已經報導了人權組織評論家。
這些措施對政治言論的故意寒蟬效應,並定期對批評對象的國際人權界 然而,社交媒體仍然是主要的出路政治言論。 許多用戶實行一定程度的自我審查,或間接引語的,而其他人使用假名和其他技術手段來維護自己的匿名性。 訪問禁止的內容,利用虛擬專用網(VPN)也是常見的。 對此,安全服務使用警察和調查權力,揭開了海報,並懲罰他們嚴厲,有時逮捕那裡的被拘留者(S)的名稱是保密之後。
在沙特阿拉伯的手機使用了170%普及率 ,與估計的平均個人收入的30%,在2014年花費在手機和互聯網的成本因此,網絡監控機制,老,像監控網吧,正在取代。 個人用戶需要註冊的移動設備時使用真實的身份,很顯然,國家正在尋求更深入地了解加密流量。 在2010年,例如,沙特成功地使沙特的服務器位於一個交換條件,親現狀後,獲得了進入黑莓手機的通信允許在沙特的網絡設備 最近,政府的胃口加密通信被透露的Moxie Marlinspike的安全研究人員和開發人員,誰收到來自沙特電信公司Mobily公司的序曲尋求他的訪問加密流量的援助 該公司正在尋求攔截解決方案(在沙特政府的要求,他們說)訪問一系列移動聊天客戶端(Viber的,LINE,WhatsApp的),以及移動版的Twitter。
使用移動惡意軟件的,可以理解為這種願望的一部分,並不限於對沙特阿拉伯,通過它們的人口,以匹配所使用的技術。

播種:與政治潛台詞誘餌?

用發展作為我們正在進行的研究進入了黑客團隊開發的“合法攔截”的惡意軟件的一部分特徵,我們發現一個可疑的Andr​​oid安裝包(APK)。 該文件是“蓋提夫今天(القطيفاليوم)消息捆綁了一個黑客團隊的有效載荷應用程序的功能性拷貝。 文件我們已檢討建議,黑客團隊,是指這類手機植入物作為“安裝包”,其中一個合法的第三方應用程序文件是捆綁在一起的植入物(見: 開發和部署植入物 )。 這種策略與Android包植入物已經看到在其他有針對性的惡意軟件攻擊(不使用商業“合法攔截”的產品),包括LuckyCat活動 ,並在攻擊西藏活動的,和組維吾爾社區
真正的“蓋提夫今天的應用程序是一個Android(下載點擊這裡 )和iPhone應用程序,提供新聞和信息阿拉伯文具有特殊意義,以沙特阿拉伯蓋提夫省。

蓋提夫今天在谷歌Play應用商店
到蓋提夫的連接是有趣的,因為抗議在蓋提夫近代史如上文所述。 我們不是在一個位置,以確定有針對性的與此惡意軟件的團體或個人的身份,可是,我們推測,攻擊可能會在沙特阿拉伯東部與政治抗議。

黑客團隊樣品

惡意APK,QatifNews.apk,具有以下散列:
8e64c38789c1bae752e7b4d0d58078399feb7cd3339712590cf727dfd90d254d
在第一次提交到VirusTotal服務數據庫的時候,該文件是由零出50防病毒產品檢測VirusTotal服務:
0/50 2014年3月11日9點28分49秒2014年3月11日9時28分49秒
看來,同樣名稱的APK被鏈接到巴林,在蓋提夫極大興趣什葉派一個國家一個Twitter帳戶(@_bhpearl)接種於微博5天后。

鳴叫與@_bhpearl聯繫(自刪除)
在啾啾鏈接被使用goo.gl服務縮短。 這些決心:
https://itunes.apple.com/app/qatiftoday-alqtyf-alywm/id584947120?mt=8

https://dl.dropboxusercontent.com/s/fw92fsu9r694iqc/QatifNews.apk
在iTunes商店的第一個環節有18841的點擊縮短的鏈接,會出現合法的。 第二個環節,然而,這並不重定向到Android應用程序商店的正版應用程序。 相反,它重定向到已經被刪除了Dropbox的文件。 檢查縮短的第二個鏈接分析的很有趣; 當時只有13點擊。 我們可以打折這些點擊的7(那些在美國和德國)的研究人員,另外三名是沙特阿拉伯。 點擊在台灣可能是VPN或安全研究員。

谷歌Analytics(分析)縮短服務
雖然我們無法證實,對Dropbox的文件是一樣的APK,我們懷疑鳴叫的時間,以及使用非標方法的共享一個Android應用程序,是不是一個巧合。

APK惡意代碼簽名

惡意APK簽署通過以下證書:
發行人:
DN:C = US,O =陽光,OU = JavaSoft的,CN =服務器
C:美國
CN:服務器
○:太陽
OU:JavaSoft的
主題:
DN:C = US,O =陽光,OU = JavaSoft的,CN =服務器
C:美國
CN:服務器
○:太陽
OU:JavaSoft的
編號:1369041295
SHA256指紋:8ab03660fe537994b207e900f8e2f5711c08e61232e167ce97e52bb3fd77757f
對於黑客團隊植入代碼簽名實踐的更廣泛的討論,請參見“文檔中稍後討論代碼簽名和證書 “。

其他樣本

我們能夠識別與同一證書簽署了附加六個樣本:
e85db2d92ae97f927905d6e931a0cb1f5b6def2475c23e023fe617249dddddb4
0b657e29a3e249b414fbde3a85e7be0829ddaad49b8ff2832350cfe5af190ba1
535070b5bd076f137052eb82257f16db4c3ba3e3516970b8934524e4a750a8f1
748e04aee9ec1a82abd2f0a9d3ddc33925a8a74b5058088dbf3d6a3c1e9698d8
8d2012d44208e79ea6e511847f86af0c45271e6f678ccc19639fe6c2eee75449
e6a77c8bf232636a505c31fae0215789caf8d73682102304a2541513de945526
這個名單(... DB4)的第一樣本被提交給顯示另一張圖片為:
日期 文件名 提交ID 提交國家
2012-08-28 10時06分01秒 rcs.apk 18e48a9b(API) 德國
有趣的是,這是第一個樣品(按時間順序),從該組文件提交到VirusTotal服務。 命名為“rcs.apk”似乎是黑客團隊的目標監控解決方案的名稱,縮寫“遠程控制系統。”

權限

原來的應用程序需要以下權限:
android.permission.INTERNET對
android.permission.GET_ACCOUNTS
android.permission.WAKE_LOCK
android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
com.google.android.c2dm.permission.RECEIVE
com.aymax.qatiftoday.permission.C2D_MESSAGE
android.permission.USE_CREDENTIALS
android.permission.WRITE_EXTERNAL_STORAG​​E
android.permission.ACCESS_NETWORK_STATE
android.permission.VIBRATE
植入物請求以下權限,這給它處理呼叫,讀寫短信,監視用戶的GPS位置,更多的能力。
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_WIFI_STATE
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.FLASHLIGHT
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALENDAR
android.permission.READ_CONTACTS
android.permission.READ_LOGS
android.permission.READ_PHONE_STATE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.USER_PRESENT
android.permission.WRITE_SMS
被要求其他幾個確定的黑客團隊的Andr​​oid植入以下權限:
android.permission.WRITE_APN_SETTINGS(寫入接入點名稱設置)
此值允許應用程序改變的APN(接入點名稱),標識一個外部網絡中的電話可以訪問用於數據上的移動電話的設置。 這個值被標記為不適合在 Android開發參考第三方應用程序的使用1有關此功能的進一步討論,請參閱: 其它功能

行為和網絡通信

分析所述應用程序的行為後,我們能夠進一步確認該文件的惡意性質。
在執行時,該應用程序執行POST到:
http://iphone.al-motamiz.com/qatiftoday/gcms/register.php
此服務器託管在使用iWeb蒙特利爾:
IP地址 174.142.97.245
主持人 server.5edma.com
地點 canadaflag CA,加拿大
城市 蒙特利爾,QC H3E 1Z6
組織 IWeb的技術
ISP IWeb的技術
AS號碼 AS32613的iWeb Technologies公司
我們認為,這是由應用程序誘騙合法的通信。
我們也觀察到指揮與控制(C2)通信有兩個額外的服務器。 後來我們發現,從植入物的配置文件(見:在解密文本相同的IP地址混淆/植入配置 )。 順便說一句,這是有多麼黑客團隊植入店內C2的地址一致。
http://91.109.17.189/
http://106.186.17.60/
第一台服務器託管於LEASEWEB德國:
主持人 91.109.17.189
地點 germanflag DE,德國
組織 LEASEWEB德國公司(以前netdirekt即K.)
AS號碼 AS16265 LEASEWEB BV
二是託管的Linode日本:
IP地址 106.186.17.60
主持人 li528-60.members.linode.com
地點 japanflag JP,日本
組織 KDDI公司
AS號碼 AS2516 KDDI KDDI CORPORATION
以往的工作中,我們確定了兩個LEASEWEB和IP地址的Linode作為一個黑客團隊代理鏈發現在我們之前報告的一部分。 在那個時候,我們也確定了第三個IP(206.190.155.40),在同一組所屬。 這一發現間接驗證了先前的報告中使用的方法,並強調了第三個IP為同一個集合的基礎設施可能的一部分。
91.109.17.189
206.190.155.40
106.186.17.60
這種額外的IP是由託管服務提供商的SoftLayer科技所擁有的區塊。

生根漏洞

惡意植入試圖與stat()下列文件:
為/ dev /的Exynos-MEM
為/ dev / DspBridge
為/ dev / S5P-SMEM
此行為是符合已知漏洞(CVE-2012-6422),允許沒有權限的用戶寫入一個妥協的設備的物理內存。 一個在這個深度的分析漏洞是由安全方位提供在這裡
雖然這個漏洞不會有效地打擊了Android操作系統的最新版本,用戶的高比例仍然使用舊版本可能是脆弱的。 2

圖片來源:谷歌

背景上生根Android設備

生根Android手機通常包括兩個組成部分: 二進制和監事的應用程序
為了安裝蘇二進制,無論是設備製造商已經允許的boot loader被解鎖或者漏洞被利用來暫時提升權限。 一旦蘇二進制安裝,應用程序可以使用它在一個可控的方式來提升自己的權限用於其他用途。
蘇很像傳統的Unix - 它採用了SUID標誌,以便把它應用其權限提升到可執行他們呼籲的 - 在大多數情況下,包括這一個,根。 Android上的每個應用程序由它自己的用戶,以防止應用程序訪問的資源它沒有權限運行。
監事應用程序(通常Superuser.apk)所使用的人誰故意根自己的手機讓蘇二進制可以調用主管這樣會通知用戶,並允許他們批准或拒絕的權限提升。 因此,即使有一個根深蒂固的手機用戶仍時通知應用程序執行需要root訪問權限的行為。

如何適用於Android的RCS植入

在這種情況下,漏洞被利用,初步獲得root訪問權限,而二進制被丟棄。 它會將自身複製到/系統/斌/ rilcap(通過的/ proc /自/ EXE),並設置其所有者是root,並設置了可執行文件和SUID標誌。 這使得持續的root訪問權限。
/系統/斌/ rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93

RILCAP功能

檢查的二進制顯示,諸如字符串的簡單加密基本技術被用來阻礙分析。
加密算法:
如果str為b [0] ... B [N],
LEN = B [0] ^ B [1] ^ B [2]
為B [i]於B [3] ... B [n]的:
B [I] = B [I] ^ B [1]
B [I] =(二[Ⅰ] - B [1])&0xff的
B [I] = B [I] ^ B [0]
二進制包含以下功能:
  • 然後可以用於組裝截圖 - 從幀緩衝(為/ dev /圖形/ FB0)獲取信息
  • 殺死卷後台駐留程序(它會自動檢測並安裝存儲設備時添加)
  • 摩/系統為只讀或讀寫
  • 檢查/ proc /坐騎的SD卡
  • 執行使用系統免受未經授權的應用程序的命令()
  • 使用execv /系統/ bin / sh的執行從文件中的命令
  • 修改/data/system/device-policies.xml添加應用程序,設備管理
  • 複製文件
  • 修改文件權限
  • 更改文件所有者
  • 自取消鏈接
  • 重新啟動設備
此功能允許RILCAP作為蘇二進制會 - 唯一沒有上司的應用程序,通知特權升級的用戶提供選擇允許或拒絕它。
命令的完整列表可以發現附錄B

功能

縱觀樣本為一組,我們確定了一系列指示的植入的監視能力的行為。
試圖訪問第三方聊天/語音應用程序:
我們發現,應用程序試圖訪問流行的社交媒體存儲在本地文件,聊天,並調用應用程序,包括Facebook,Viber的,WhatsApp的,Skype和LINE和QQ。
/data/data/com.facebook.katana/databases
/data/data/com.facebook.orca/databases
/data/data/com.skype.raider/files/shared.xml
/data/data/com.whatsapp/shared_prefs
/data/data/com.whatsapp/shared_prefs/RegisterPhone.xml
/data/data/com.viber.voip/files
/data/data/com.tencent.mm/MicroMsg/
/data/data/com.viber.voip/files/preferences/reg_viber_phone_num
/data/data/jp.naver.line.android/databases/naver_line_myhome
/data/data/jp.naver.line.android
/data/data/jp.naver.line.android/databases
此外,該應用訪問屬於該受損用戶的郵件帳戶的本地存儲的郵件文件。
/data/data/com.google.android.gm/databases/mailstore.{username}@gmail.com.db

混淆/植入配置

為了防止更多的審查進入後門的內部結構,源代碼似乎已通過使用嚴重混淆DexGuard (0R類似),它可以為字符串,整個班級和資產,大大放緩,相反的複雜化提供加密工程過程。
而分析所述植入物,我們去模糊處理的配置文件。 下面,我們介紹幾個匹配RCS功能,線(更完整列表,請參閱: 植入模塊和功能 )。
我們發現了一系列音頻記錄,照相機,視頻,鍵記錄中,“活的話筒,”聊天,相關的植入物的監測功能設備信息等的配置設置。 我們還注意到一個“危機”的模塊,它提供了反分析功能說明如下的存在(參見: 反分析功能與反取證 )。
{“record”:true,”compression”:5,”buffer”:512000,”module”:” call “},{“module”:” camera “,”quality”:”med”},{“module”:” chat “},{“module”:” clipboard “},{“module”:” conference “,”number”:””},{“synchronize”:false,”position”:true,”module”:” crisis “,”mic”:true,”network”:{“processes”:[],”enabled”:false},”call”:true,”camera”:true,”hook”:{“processes”:[],”enabled”:true}},{“module”:” device “,”list”:false},{“module”:” keylog “},{“module”:” livemic “,”number”:””}
我們還看到什麼似乎是,位置,截圖回吐,並瀏覽活動模塊。
{“cell”:true,”gps”:false,”wifi”:true,”module”:” position “},{“quality”:”med”,”module”:” screenshot “,”onlywindow”:false},{“module”:” url “}
我們還發現,植入似乎已經部署了過濾器,以指定日期範圍(“datefrom”和“dateto”的郵件,短信和彩信,它正在尋求。
{“ 郵件 ”:{“過濾器”:{“datefrom”:“2014年3月10日00:00:00”開始“,MAXSIZE”:100000“,dateto”:“2100年1月1日 00:00:00″,”history”:true},”enabled”:true},” mms “:{“filter”:{“datefrom”:”2014-03-10 00:00:00“開始”,dateto“:”2100年1月1日 00:00:00″,”history”:true},”enabled”:true},”module”:”messages”,” sms “:{“filter”:{“datefrom”:”2014-03-10 00:00:00“,”dateto“:”2100年1月1日00:00:00“,”歷史“:真},”已啟用“:真}}
我們也看到有關的信息植入exfiltrates數據,連同其C2服務器如何。 有趣的是,看來所述植入物是能夠監測設備的連接(例如無線網絡,蜂窩式網絡),選擇連接類型和速率限制的帶寬。 注意,這些是我們在種植體的網絡通信中觀察到的相同的服務器。
{“desc”:”SYNC”,”subactions”:[{“host”:” 91.109.17.189 “,”mindelay”:0,”stop”:true,” cell “:true,”action”:”synchronize”,” wifi “:true,”maxdelay”:0,” bandwidth “:500000},{“host”:” 106.186.17.60 “,”mindelay”:0,”stop”:false,”cell”:true,”action”:”synchronize”,”wifi”:true,”maxdelay”:0,”bandwidth”:500000}]}]}

第2部分:黑客團隊RCS操作

之後,我們發布了我們的研究在今年早些時候對黑客團隊,我們被一個匿名的個人資料發送有關黑客團隊的RCS的設立和運作黑客團隊提供給客戶。 這些文件似乎日期從2013年秋天我們不知道是該文件的來源,以及誰派他們採取措施來掩蓋自己的身份。 雖然這些文件的真實性未經證實是 ,我們還沒有確定的不一致什麼是目前已知約黑客團隊RCS(包括我們最新的研究結果)。 不過,我們關切的是,釋放他們的完整形式的文件可能帶來的風險源。 因此,以下是一些的功能和遠程控制系統的細節的一般概述, 根據這些文件 我們摘錄的屏幕截圖清楚地標記為“演示的副本,而不是實際的操作實例。

一個黑客小組RCS部署架構

下圖顯示一個典型的黑客團隊RCS部署的邏輯體系結構。 在特定情況下,根據這些文件,一個“分佈式”架構可以使用(請參見: 附錄:分佈式黑客隊RCS體系結構 )。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,系統管理員指南”,2013。

在系統操作的玩家

根據該文件,RCS有一系列定義的角色,每個都有自己的職責和權限在系統上。 簡而言之:
  • 系統管理員出現的“合同期”,以及其他的系統管理任務,包括安裝和更新服務器RCS網絡以及網絡注射器中,從黑客團隊接受培訓。
  • 管理員創建帳號,並創建兩個操作並指定目標。
  • 技術人員負責(文件名 ​​為“代理人”)創建的植入物和管理網絡注射器。
  • 分析處理來自系統的輸出,並通過RCS控制台進行智能分析。

開發和部署植入

根據該文件,該軟件可以通過一個“工廠”,這是編譯專門為調查創造一個全方位的植入物。 技術人員負責使用創建這些代理商這裡是提交給技術人員提示“工廠”:

在此圖像中,技術人員正準備在Mac OSX植入。 圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,技術員指南”,2013。
技術人員的範圍從工廠選項,以及使用網絡注入額外的能力(無圖)。 這些選項包括:
  • 網絡注射:注射通過惡意流量的合作與ISP
  • 戰術網絡注入 :在LAN或WiFi
  • 融化的應用 :捆綁一個黑客團隊一起滴管誘餌的應用
  • 安裝包 :移動安裝
  • 利用 :基於文檔的利用移動和桌面
  • 本地安裝 :通過USB或SD卡的手機安裝
  • 離線安裝:創建一個ISO可引導SDHC,CD或USB。 此選項包括的能力來感染休眠和斷電裝置
  • QR代碼:是,合照時,會感染目標移動鏈接
  • Applet的網頁:有可能是惡意網站(五折舊後的8.4。)
  • 靜默安裝程序:桌面可執行文件,將安裝植入物
  • 感染U3 USB:自動感染U3 USB
  • WAP推送消息 :如果用戶接受郵件(適用於所有移動操作系統除了IOS)的目標將被感染

感染:“偵察兵代理”和“代理”

的文件表明,RCS利用一個“的偵察劑”通常被稱為“驗證”,有助於確定一個完整的植入物(“代理”)是否應安裝。 這本薄薄的植入物收集截圖和設備信息,以確定目標是否感興趣。
這些文件建議防黑隊是明確地關注的可能性,即它們的植入物可能成為未掩蔽,並指示技術人員認為“偵察劑”的一個功能是確定該系統是否是'安全'來感染,或是否可以冒險揭露的劑。
當系統被確定為是安全的感染時,“偵察劑”被替換的完整植入物。 根據該文件,黑客團隊建議用戶逐步增加功能的植入物。 這些植入物exfiltrate數據,並通過這個過程被稱為接收指令“同步”。

植入模塊和功能

植入物(“代理”)提供了一鍵式功能,從目標設備的請求信息。 技術人員正在鼓勵根據需要添加功能。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,技術員指南”,2013。
另外,更先進的方法可以進行處理,使複雜的技術人員,以感染後確定模塊激活的特定序列,使用圖形流模型。 這允許用戶定義觸發特定動作,子動作,模塊和序列事件。
該文件提供了這樣一個序列的例子:
事件:設備連接到電源適配器
分操作:發送短信,開始記錄位置,禁用鎖定式設計,SIM卡改變的事件。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,技術員指南”,2013。

選擇可用的監控模塊

  • 訪問的文件
  • 地址簿
  • 使用的應用程序
  • 日曆
  • 往來
  • 設備類型
  • 訪問的文件
  • 鍵盤記錄
  • 保存的密碼
  • 鼠標活動 (旨在挫敗虛擬鍵盤)
  • 記錄呼叫和呼叫數據
  • 截圖
  • 拍照與攝像頭
  • 聊天記錄
  • 複製剪貼板
  • 從麥克風錄音
    • 隨著更多的語音和靜音檢測以節省空間
  • 實時音頻監控 (“直播麥克風:”模塊僅適用於Windows Mobile)
  • 設備位置
  • 訪問網址
  • 創建電話會議 (用無聲的第三方)
  • 感染其他設備 (自訴8.4折舊)

其他功能

一旦植入物是可操作的收集操作可以更新。 在另外的文件可以發送到和從該設備接收。
此外,植入物具有對1GB的目標設備上的“證據”空間默認帽。 當達到該空間的新材料的記錄停止。 運營商還必須刪除設備上的尚未傳送數據的能力。

同步和數據洩露

同步方法具有許多步驟,這裡轉述:
  • 植入和服務器之間的授權
  • 植入物和RCS服務器之間的時間同步
  • 植入物去除(如果情況由技術人員指定為“關閉”)
  • 植入配置更新
  • 從RCS服務器發送的植入材料下載
  • 上傳到“下載”提示材料的RCS服務器
  • 上傳到證據RCS服務器上,並結合安全刪除
  • 證據額外的安全刪除
移動和桌面版本略有不同的參數。 雖然桌面植入可以有帶寬和送料延遲添加,移動設置具有一些獨特的功能。
技術人員可以強制數據信道(WiFi或細胞網),該植入物用於更新的類型。 有趣的是, 技術人員可以指定登錄憑據APN用於exfiltrate數據 這使得植入物,以避免招致數據費和顯示流量的受害者。 該功能被指定為僅適用於黑莓和Symbian OS的RCS的版本9。

反分析功能與反取證

被稱為“危機”A功能允許在檢測到“敵對”活動的行動(文件給一個數據包嗅探器的例子)。 這種功能可以通過一系列的情景被觸發並且具有許多基於識別過程的選項。 在桌面版本,這些選項可以包括暫停同步,而不是掛鉤的方案。 對於移動版本,這些選項包括暫停音頻,攝像頭,位置收集和同步。
擦拭也可以觸發,並根據該文件,黑客隊通知用戶它會留下植入物的“無痕”。 卸載動作有幾個特點,可能是在可能受感染的設備取證分析的興趣:(一)卸載黑莓觸發自動重啟; (二)在卸載根的地方沒有成功獲得結果的用戶提示,要求允許卸載Android設備; (三)在Windows Phone上,卸載刪除所有文件,但不從程序列表中刪除的應用程序圖標。

代碼簽名和證書

RCS設計製造植入時納入代碼簽名。 該文件提出有益威瑞信,Thawte的和GoDaddy的是代碼簽名證書的來源。 此外,該文件鼓勵用戶聯繫黑客團隊的技術支持,協助取得證書。
Interesingly,為Symbian,用戶將被要求購買由TrustCenter頒發了“開發者證書”,直接,甚至提供URL( https://www.trustcenter.de/en/products/tc_ publisher_id_for_symbian.htm )。
對於感染Windows手機,用戶都踴躍報名的Microsoft帳戶( signup.live.com )和Windows Phone的開發中心帳戶( https://dev.windowsphone.com/en-us/join/ )。
這些文件表明,黑客團隊關注的是確保用戶正確地管理審批流程(通過賽門鐵克管理),並指導用戶及時從賽門鐵克回复電話和電子郵件通信。 用戶還可以得到在如何獲得企業移動代碼簽名證書instsructions( https://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do

Android的具體問題

為了運行它的一些模塊(聊天,郵件,截圖),Android的植入物需要在設備上的root權限。 在某些情況下,收購root權限是不成功的,受害人可以手動要求給應用程序根目錄的訪問。 此外,在根尚未成功在Android設備上獲得的情況下,受害人看到一個提示,請求許可,如果卸載已被觸發。
黑客團隊有益指出,默認的APK文件,植入物出現,顯示設備信息名為“DeviceInfo”一個正常的應用程序。

匿名者與代理鏈架構

這一形象,充分體現了系統管理員看到了分佈式代理鏈(見: 附件:分佈式黑客團隊RCS體系結構 )和集電極架構。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,系統管理員指南”2013

許可,更新

在創建一個集合結構的時候,從黑客隊一個許​​可文件所需的軟件,根據該文檔。 其他許可證都需要特定的功能,以及較發達的分析工具包。
這些文件表明,黑客團隊保持更新週期的產品。 更新過程是由系統管理員利用黑客團隊提供的更新進行,包括更新,既收集和噴油器的基礎設施,並植入。

審計

該方案確實出現了有一個基本的記錄功能和審計功能,允許授權的管理員可以查看用戶操作日誌整個系統,包括與植入物的相互作用。 已發展到使工具包提供證據的要求更加兼容的數字材料的這種能力出現。 然而,我們注意到,與證據,原木,植入物和“工廠”,可以不可逆地由授權用戶刪除的容易性。

分析師鳥瞰

這個圖像以圖形示出了其中一個目標的多個設備可能會受到影響,並同時監視的方式。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,分析指南”,2013
分析師可以使用文本字符串以及過濾和排序的數據的數據進行搜索。 此外,分析人員可以標記數據的重要性,以及適用於自動化規則標記的數據。
數據存儲使用了開源的MongoDB和文檔表明,黑客團隊RCS使用MongoDB的 2.4.8。
其次,也是從一個演示實例,我們可以看到從目標計算機exfiltrated的信息。 值得注意的是,使用一種基本顏色編碼萎靡不振系統(紅,綠,黃),以標記的證據,以及提供給每個捕獲的分析的信息種類的。 在這裡,我們看到的特定程序操作的截圖(如運行BlackBerry Desktop軟件和Skype)以及位置信息。 在位置信息的地址是相同的黑客隊的公開可用的地址。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,分析指南,”2013。
在下圖中,我們看到了分析師台播放的攔截Skype通話。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,分析指南,”2013。
在下圖中,我們看到一個感染系統的文件樹活瀏覽。 這是可以在某些情況下被啟用一個功能。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,分析指南,”2013。
下圖顯示了受感染的設備的位置的地圖和時間軸視圖。 有趣的是,在這個形象,作為一個教學插圖,看來黑客團隊可能會無意間透露關於示範美國執法部門的其他客戶的信息 具體而言,“吉米·佩奇”設備在這張地圖上的位置是在接入控制停車場的洛杉磯縣警長的(而且似乎帶有日期2013年9月6日 2012年12月3日蓋章)。 這可能是巧合的黑客團隊進行了廣泛的代表在以後的2013年9月在美國舉行的ISS世界。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,分析指南,”2013。
在工具使用谷歌地圖提供的目標的圖形視圖; 但它可能會出現嚴重違反安全操作的客戶,包括出賣位置數據正在進行的調查。 即使某些點數據不被發送,谷歌需要知道地圖質心(以及因此目標位置),可提供一些本的地圖數據。
這可能是黑客團隊RCS是揭露政府客戶的高度敏感的調查數據,谷歌,因為他們正在使用谷歌地圖API來顯示該地圖。
此外,谷歌地圖的流量,即使使用SSL,一直受到成功的流量分析在過去的第三方。 雖然我們還沒有證實此漏洞,但我們認為這種可能性值得進一步研究。
除了收集數據,這些文件表明,黑客團隊是提供一個基本的調查管理工具包,包括基本鏈路分析等功能,通過購買額外的許可證。 該軟件可以通過“同伴”(如呼叫實體之間的聯繫)和“知道”(一個或他人電話簿中找到這兩個人)的聯繫建立非常基本的鏈接分析。 該系統還可以自動嘗試創建時的細節實體之間共享(如電話號碼)的身份聯繫。 時間序列和位置的數據也可以顯示出來。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,分析指南”,2013

術語演變

這些文件表明,黑客團隊取得了多項變化,它用來描述它的工具的語言。 我們發現,例如,在V7.6及以下,他們使用的術語“後門”來稱呼他們的植入物,但改變了長期的V 8.0及以上的“代理”。同樣,他們改變了術語“後門類”到“在相同的時間內工廠“。

“隱形”

根據該文件,黑客團隊似乎提供客戶一個“隱形報告”的RCS solultion。 例如,我們已檢討了“9.0版 - 隱形報告”為靜默安裝,融化的應用程序,網絡注射器INJECT-EXE攻擊,離線CD“。
該文件告訴客戶:測試是在默認64位Windows 7安裝完成。
圖片來源:“9.0版 - 隱形報告,”凡是不注日期。
圖片來源:“9.0版 - 隱形報告,”凡是不注日期。

結論

黑客團隊的遠程控制系統是一個監視惡意軟件工具包,用於銷售“合法攔截”的使用。 我們識別和分析RCS的Andr​​oid植入物有誘惑與政治潛台詞提示在沙特阿拉伯的蓋提夫省的目標。 這些植入物的分析揭示的範圍內的監視功能。
在過去的幾年中,我們已經研究了這兩個伽瑪集團黑客團隊 ,暴露自己的全球擴散,並強調他們所使用的技術和戰術。 我們在這些群體的利益是不是因為他們創造的最複雜的植入物 事實上,自從極光事件發生在2009年,出現了用民族國家複雜的惡意軟件許多公開報導。 例如,Turla,歸因於俄羅斯的運動,被形容為“發現迄今最複雜的網絡間諜計劃之一。”值得注意的其他活動包括Careto, 與西班牙 [PDF]和Miniduke 同時,顯著分析和公共討論已經進入到Stuxnet,Duqu木馬和火焰,這是據稱美國的產品和以色列合作。
這些高衝擊(與典型的高開發成本)的植入物的試劑盒都似乎是完全由它們被歸因於國家使用,並且被設計以執行目標入侵。
黑客團隊和伽瑪集團是有幾個原因的不同。 首先,他們的軟件是提供給所有,但一些國家,只要他們付錢。 其次,他們的軟件是銷售目標的日常犯罪和“安全威脅”,而我們上面提到的國家資助的宣傳活動,旨在支持間諜活動對硬化,高價值目標。
這種類型的異常侵入性的工具包,一旦部署了智能社區和軍隊昂貴的精品店的能力,現已為所有,但少數政府。 一種不成文的假設是,客戶可以支付這些工具將正確地使用它們,主要是為嚴格的監督,法律的目的。 由於我們的研究顯示,但是,通過顯著降低對侵入性和難以跟踪監測的進入成本,設備降低目標的政治威脅,對於那些訪問黑客團隊和伽瑪集團工具包的成本。

致謝

賽斯哈迪,莎拉McKune,瑪西亞·霍夫曼,塞巴斯蒂安PORST,正史克里特 - Nishihata,比爾Marczak,羅恩德貝特,人權觀察,阿比爾阿拉姆,和幾個記者和研究人員誰是非常慷慨的與他們的時間。

附錄A:分佈式黑客團隊RCS架構

此圖顯示了一個分佈式黑客隊的RCS收集基礎設施,根據該文檔。

圖片來源:“黑客團隊,RCS 9:黑客套件政府攔截,系統管理員指南”,2013

附錄B:對“rilcap”命令列表

命令提供:
/系統/斌/ rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93
殺體積守護進程(vold)
BLR
掛載/系統只讀
BLW
掛載/系統讀寫
RT
克隆自到/系統/斌/ rilcap與權限04755
QZX [命令] [參數]
通過參數系統()
FHC [來源] [目標]
拷貝文件
PZM [許可標誌] [文件]
修改文件權限
QZS
讀取文件名為QZS命令並執行它們(execv /系統/ bin / sh的...)
籃板
重啟
ADM [名]
增加了[名]以設備policies.xml
RU
自取消鏈接
FHO [用戶] [用戶] [文件名​​]
修改文件所有者
SD
檢查並安裝SD卡(但它的路徑硬編碼到/ mnt / SD卡,所以不會總是有效)
FB [文件]
從幀緩衝區複製到文件(截圖)

腳註

1 http://developer.android.com/reference/android/Manifest.permission.html
2 https://developer.android.com/about/dashboards/index.html


 ==============================================
 https://citizenlab.org/2014/06/backdoor-hacking-teams-tradecraft-android-implant/

경찰 이야기 : 해킹 팀의 정부 감시 악성 코드

2014년 6월 24일
태그 : ,
 저자 :
모건 후작-Boire, 존 스콧 - Railton, 클라우디오 구 아르 니 에리, 케이티 Kleemola
이 보고서의 언론 보도 내용은 다음을 참조 이코노미스트 , AP 통신 , 유선 , 부회장 , 국제 비즈니스 타임즈 , 포브스 , 아르스 테크니카 , 카스퍼 스키의 Threatpost가 , 슬래시 기어 , 엔가 젯 , 도움말 인터넷 보안 , 직전 , CIO 오늘 , 미국의 소리 (VOA ) , 컴퓨터 월드 , Infosecurity 잡지슬레이트 .
읽기 아랍어 버전 /를 النسخة العربية 사이버 아랍인 번역
왼쪽 신문은 조금 원망
그러나 역에서 사람들은 그들이 상관 없어
파견 호출은 "당신은 악한 일을 지내 '?"
"아니 siree, 잭은, 우리가 포기하지거야 '티켓"
경찰 트럭, 죽은 케네디 (1980)

개요

  • 에서 1 부 , 우리는 우리가 해킹 팀에 속성 새로 발견 된 안드로이드 임플란트를 분석하고 미끼 콘텐츠 및 공격 상황의 정치적 서브 텍스트를 강조 표시합니다.
  • 에서 2 부 , 우리는 결코 전에 출판 자세히 해킹 팀의 원격 제어 시스템 (RCS)와 운영자 tradecraft의 기능과 구조를 노출합니다.

소개

이 보고서는 해킹 팀의 안드로이드 임플란트를 분석하고, 자신의 원격 제어 시스템 (RCS) 차단 제품이 어떻게 작동하는지 설명하기 위해 새 문서를 사용합니다. 이 작품을 기반으로 우리의 이전 연구 "합법적 인 차단"악성 코드 뒤에 기술과 기업에. 이 기술은 (예를 들면 네트워크 모니터링 등)의 수동 차단 및 물리적 검색어 간의 갭을 ​​채우기로 판매된다. 본질적으로, 이는 정부 매도 악성이다. 전화 모니터링 및 물리적 검색 달리, 대부분의 국가는이 새로운 힘의 사용에 대한 몇 가지 법적 가이드 라인과 감독이있다. 함께 그 비밀 자연과 지침 및 감독의 부재에 비추어,이 기술은 오용 고유 취약합니다. 해킹 팀과 같은 회사의 손에 도구 및 증식을 분석하여 감마 그룹 , 우리는 이러한 도구가 책임 방식으로 사용하고 있으며, 인권과 법치주의의 기본 원칙을 위반하지 않도록하기위한 노력을 지원하기 위해 희망 .
올해 초 발표 한 보고서에서, 우리는 결과를 제시 글로벌 스캔 노력을 하고, 확인 된 21 개국을 해킹 팀의 원격 제어 시스템 모니터링 솔루션의 배포와 함께. 또한, 다른 연구원과 함께, 우리는 "합법적 인 차단"소프트웨어는 억압적인 정권에 의해 정치적 목표에 대해 사용 된 경우의 범위를 발견했다. 정치와 시민 사회의 목표는 포함했다 모로코에서 Mamfakinch , 인권 운동가 UAE의 아흐메드 만수르ESAT , 에티오피아에 초점을 맞춘 미국의 뉴스 서비스를. 이 모든 경우에, "법 집행"에 대한 판매 도구 오히려 보안 위협보다 정치에 대해 사용되었다. 또 다른 경우, 같은 말레이시아 [PDF], 우리는 정치 타겟팅의 암시 미끼 문서 및 파종을 발견했다.

제 1 부 : 안드로이드 해킹 팀 백도어 사우디 아라비아

사우디 아라비아와 카티 프에서 시위

사우디 아라비아는 아랍의 봄 동안 다른 것과 비교 시위를 본 적이없는 반면, 주로 재 - 샤르 키야 지방에 2011 년 이후 시위가 발생했습니다. 여성과 소수 민족의 권리 문제에 대한 인구 통계 학적 압력, 주택 비용, 실업에 이르기까지 정치적 긴장에 대한 이유가,있다. 지방은 수니파 지배 체제로 인식 정치적, 문화적 소외를 통해 오랜 불만이 시아파가 주로입니다. 2011 년 초, 바레인 정부가 격렬 사우디 아라비아 군대의 도움을 시아파 시위를 억제 할 때, 이러한 불만이 확대되었다.
시위 후, 여러 분야에 확산 시아파 카티 프 베르니에 포함 . 2011 년 시아파 대부분의 시위대는 처음에 오히려 다른 아랍 국가에서 주장 정권 변화보다는 개혁을 요구 가지고있는 것 같습니다. 흥미롭게도, 카티 프는 시아파 항의의 역사를 가지고 있으며, 가장 유명한 큰 정치적, 경제적 참여를 요구하는 시위에 대응하여 1979 년 대폭적인 시위, 정권은 광범위한 경제적 양보를 제공했다. 2011 년, 그러나 당국은로 응답 폭력과 체포 저명한 시아파 인물. 시위대가 부상하고 다른 혐의로 살해 휴먼 라이츠 워치에 따르면, 보안 부대에 의해. 이 단속은 시위대의 요구 변화에 기여 할 수 있습니다; 오늘, 일부는 명시 적으로 연구자와 우리와 함께 이야기 최근 개발에 직접 익숙한 기자에 따르면, 세속적 인 언어를 사용하여 정권 교체를 요구하고있다. 염증 반응으로 설명 될 수 있습니다 무엇에서, 사우디 당국은 솔직한 높은 볼 시아파 셰이크를 체포했다.
"... 검찰은 자신이 사형 선고하지만, 시체가 극에서 교수형에 의해 더럽혀되는 가장 가증스러운 범죄 샤리아 법에 의해 의무적으로 추가 처벌뿐만 아니라 얼굴을 요구했다."- 로이터
일부 시아파 사이의 보안 서비스에 대한 폭력을 동반 한 상승은 가혹한를 포함하여 조치 "폭동 제어,"체포하고 정당화하기 위해 정권에 의해 사용되는 사망 포함 문장 의 혐의로 시위대에 대한 "난동 선동을."다른 사람이되었습니다 한 많은 시아파에 의해 주장 된 경우,이란 대신에 간첩 혐의로 기소 정치적 동기 .
인권 Adala 센터 같은 주장 남용을 카탈로그 한 인권 단체는 대상이 공식적인 조직으로 등록 할 수있는 기능 거부 된 URL 차단을 하고 있었다 직원들은 괴롭힘과 투옥 . 카티 프에 대한보고를 시도하는 기자가되어 들어가는 것을 차단 하고, 정기적으로 위협과 정부의 압력을받는.
소셜 미디어와 휴대 전화는 시위대가 자신의 메시지를 공유하고, 익명의 계정을 사용하여 같은 조치를 복용, 시위가 구성되는 방법의 핵심 부분이다. 그럼에도 불구하고, 이벤트에 익숙한 사람들에 따른 디지털 연산 보안 방법은 종종 단편이며, 보안 서비스의 성능과 일치하지 않는다.

사우디 아라비아 감시, 모니터링 및 정보 제어

사우디 아라비아는 독특하고 복잡한 보안 환경 및 보안 서비스 역할의 범위를 재생할 수 있습니다. 한편, 사우디 아라비아는 적대적 그룹, 극단 주의자들과 다른 정부의 부정 할 수없는 국내외 보안 위협에 직면 해있다. 한편, 정권 제어 및 반대 의견과 정치적 다원주의를 억압하는 그 시도에 매우 적극적이었다.
사우디 아라비아 보안 서비스는 국가의 전자 정보 환경을 제어하는​​ 공식 및 비공식 국가 권력의 도구의 범위를 사용합니다. 정부가 유지 인터넷 초크 포인트에서 시작하여 ISP와, 상태 블록, 정치, 종교와 문화 콘텐츠의 넓은 범위로 확장. 이는 소셜 미디어, 여부를 포함 특정 사용자 또는 전체 플랫폼 . 추가 확장, 상태는 (광범위하게 정의) 뉴스 웹 사이트가 당국에 등록해야합니다. 등록 된 웹 사이트는, 광범위한 규제 될 수 있습니다 위험 심한 처벌을 등록하지 않은 미등록 사업자 동안. 사이트 운영자는 금융 처벌, 감옥, 속눈썹 같은 체벌의 위협을 받고, 자기 모니터와 온건 한 내용으로 권장된다. 또한, 안티 사이버 범죄 법안은 한 온라인 대화를 기소하는 데 사용되는 대부분의 사회가 허용되는 정치적 연설을 고려할 것입니다.
모바일 모니터링의 공개 사용이 많은 사회가 매우 불쾌감을 찾을 것이다 사회 통제의 형태로 확장합니다. 그것은 그들의 가능하게하는 시스템을 구현한다고 발표했다 예를 들어, 정부는 국제적인 비난을 받았다 남성 보호자를 자신의 보호 아래 여성의 여행 동작을 모니터링 할 수 있습니다. 이전 허가 슬립 기반 시스템 ( "경고"), 남성 보호자가 교체 여성들이 국제 공항의 소재지에 도착하면 문자 메시지를받을 여성이 여행을 허용할지 여부를 묻는.
인터넷과 소셜 미디어 사용자는 서로 자기 검열과 보고서에 좋습니다. 정부는 공공 광고에 종사 캠페인 모두 행동을 장려하고, 그들이보고 듣는 것을 사우디 시민들에게 분명합니다. 특히, 상태는 개인적으로 또는 공개적으로, 내용이 이의가있는 것으로 간주 다시 공유를 위해 특정 처벌을 구현했습니다. 법의 명시적인 도구를 사용하는 것 외에도, 널리 국가가 장려 것으로 생각된다 친 정부 개인의 "전자 군대" 친 정권 목소리와 소셜 미디어 대화를 늪과 반대자를 괴롭히는을.
정부가 억류과 종교, 정치에 대한 엄격한 규범을 위반 한 사람들을 처벌, 인도와 같은 국제 법학의 심각한 종교 사형과 체벌을 포함한 요금 및 도구를 사용하려으로 종교적인 주제를 포함하는 음성은 특히 위험하다 문화 연설.
두 가지 주목할만한 경우, 사우디 자유주의 토론 포럼의 운영자는 결국 선고 받았다 징역 10 년과 1000 속눈썹 종교 개혁의 논의에 대한 포럼을 유지. 검찰은 그의 실행을 요구 이것은, 일종의 감소했다. 많은 유사한 경우는, 다양한 요금을 사용하여보고 된 인권 단체해설자.
이러한 조치는 정치 연설에 의도적으로 냉각 효과를 가지고 있고, 정기적으로 비판의 대상이되는 국제 인권 사회 . 그럼에도 불구하고, 소셜 미디어는 정치 연설의 기본 출구 남아있다. 다른 사람들이 자신의 익명 성을 유지하기 위해 익명 및 기타 기술적 수단을 사용하는 동안 많은 사용자, 자기 검열, 또는 간접적 인 표현의 어느 정도를 연습 할 수 있습니다. 접근 금지 된 내용까지 사용하는 가상 사설망 (VPN)도 일반적이다. 대응, 보안 서비스는 포스터를 마스크를 해제하기 위해 경찰과 수사 능력을 사용하고, 때로는 수용자 (들)의 이름은 비밀을 유지 체포 후, 심각하게 그들을 처벌.
사우디 아 항공 아라비아 전화 사용이 170퍼센트의 보급률 의 추정 평균, 개인 소득의 30 % 인터넷 카페를 모니터링하는 등의 결과로 2014 년에 휴대 전화와 인터넷 비용을 지출, 인터넷 감시의 이전 메커니즘,되고있다 대체했다. 개별 사용자는 모바일 장치를 등록 할 때 실제 아이덴티티를 사용해야하고, 그 상태가 암호화 된 트래픽에 대한 가시성을 찾는 것이 분명하다된다. 2010 년, 예를 들어, 사우디 아라비아가 성공적으로 사우디있는 서버에게의 파운드 - 프로 현상 한 후 블랙 베리 통신에 대한 액세스를 얻은 사우디 네트워크에 장치를 허용 하 . 최근 암호화 된 통신을위한 정부의 식욕은 사우디 통신 회사 Mobily의에서 전복받은 막시 (Moxie) 마린 스파이크, 보안 연구원 및 개발자에 의해 밝혀졌다 암호화 된 트래픽에 접근 그의 도움을 추구을 . 이 회사는 모바일 채팅 클라이언트 (Viber, LINE, 싸이 월드, 미투데이)뿐만 아니라 트위터의 모바일 버전의 범위에 대한 액세스 차단 솔루션 (사우디 정부의 요청에 따라, 그들은 말했다)을 찾는했다.
모바일 멀웨어의 사용은 그 집단에 의해 사용되는 기술과 일치하도록, 사우디 아라비아에 한정되는 것은,이 소망의 부분으로 이해 될 수있다.

시드 정치 서브 텍스트와 유혹?

해킹 팀에 의해 개발 된 "감청"악성 코드에 대한 지속적인 연구의 일환으로 개발 된 서명을 사용하여, 우리는 의심스러운 안드로이드 설치 패키지 (APK)를 확인했다. 이 파일은 해킹 팀 페이로드와 함께 제공되는 '카티 프 오늘 (القطيف اليوم) 뉴스 응용 프로그램의 기능 사본이었다. 우리가 검토 한 문서가 합법적 인 타사 응용 프로그램 파일이 임플란트과 함께 번들로 제공되는 경우 해킹 팀은 "설치 패키지"로 이동 임플란트의이 종류를 의미하는 것이 좋습니다 (참조 : 개발 및 배포 임플란트 ). 안드로이드 패키지 임플란트 전술 이러한 종류의를 포함하여 다른 대상으로 악성 코드 공격 (상업 "감청"제품을 사용하지 않는)에서 볼 수있다 LuckyCat 캠페인 ,과에 대한 공격에 티베트 활동가 , 그리고 그룹 위구르 지역 사회 .
진정한 '카티 프 오늘의 앱은 안드로이드 (로 다운로드 여기 )과 사우디 아라비아의 카티 프 베르니에게 특별한 관련성 아랍어 뉴스와 정보를 제공합니다 아이폰 응용 프로그램입니다.

카티 프 오늘 구글 플레이 앱 스토어에서
카티 프에 대한 연결이 위에서 설명한 바와 같이 카티 프에 항의의 최근 역사 주어, 재미있다. 그러나 우리는, 우리는 공격이 동부 사우디 아라비아 정치적 시위에 링크 될 수 있다는 추측이 악성 코드와 대상 그룹 또는 개인의 신원을 확인하는 위치에 있지 않습니다.

팀 샘플을 해킹

악성 APK, QatifNews.apk 다음 해시가 있습니다 :
8e64c38789c1bae752e7b4d0d58078399feb7cd3339712590cf727dfd90d254d
VirusTotal 데이터베이스에 처음 제출시 파일이 VirusTotal에서 제로 (50) 중 안티 바이러스 제품에서 검출되었다 :
0 / 50 2014년 3월 11일 9시 28분 49초 2014년 3월 11일 9시 28분 49초
그것은 같은 이름의 APK 바레인, 카티 프에서 시아파에 큰 관심의 국가에 연결된 트위터 계정 (@_bhpearl) 5 일 후 트위터에 접종 한 것으로 보인다.

@_bhpearl로 링크를 포함한 트윗 (삭제 한)
트윗 링크 goo.gl 서비스를 사용하여 단축 하였다. 이러한 해결이 :
https://itunes.apple.com/app/qatiftoday-alqtyf-alywm/id584947120?mt=8

https://dl.dropboxusercontent.com/s/fw92fsu9r694iqc/QatifNews.apk
아이튠즈 스토어의 첫 번째 링크는 단축 링크에 18,841 클릭 수를 가지고 있으며 합법적 나타납니다. 두 번째 링크는, 그러나, 안드로이드 앱 스토어에서 정품 응용 프로그램에 리디렉션되지 않습니다. 대신 보낸 제거 된 보관 파일로 리디렉션. 단축 된 두 번째 링크 분석의 시험은 흥미 롭다 만 13 클릭이 있었다. 세 사우디 아라비아에있는 동안 우리는 이러한 클릭의 7 연구자로 (미국과 독일 사람들을) 할인 할 수 있습니다. 대만에서 한 번의 클릭으로는 VPN, 또는 보안 연구원 수있다.

구글 단축기 분석
우리가 보관 용 파일이 동일한 APK 인 것을 확인 할 수 있지만, 우리는 짹짹의 타이밍 및 안드로이드 애플리케이션을 공유하기위한 비표준 방식의 사용을 의심 우연 아니다.

악성 APK 코드 서명

악성 APK는 다음 인증서로 서명했다 :
발행인 :
DN : C는 O = 일, OU = 자바 소프트, CN은 = 서버, 미국 =
C : 미국
CN : 서버
O : 일
OU : 자바 소프트
제목 :
DN : C는 O = 일, OU = 자바 소프트, CN은 = 서버, 미국 =
C : 미국
CN : 서버
O : 일
OU : 자바 소프트
직렬 : 1369041295
SHA256 지문 : 8ab03660fe537994b207e900f8e2f5711c08e61232e167ce97e52bb3fd77757f
해킹 팀 임플란트 코드 서명 관행의 폭 넓은 논의는 "절에서 문서의 뒷부분에서 설명 코드 서명 및 인증서 ".

추가 샘플

우리는 같은 인증서로 서명 된 6 개의 추가 샘플을 확인할 수 있었다 :
e85db2d92ae97f927905d6e931a0cb1f5b6def2475c23e023fe617249dddddb4
0b657e29a3e249b414fbde3a85e7be0829ddaad49b8ff2832350cfe5af190ba1
535070b5bd076f137052eb82257f16db4c3ba3e3516970b8934524e4a750a8f1
748e04aee9ec1a82abd2f0a9d3ddc33925a8a74b5058088dbf3d6a3c1e9698d8
8d2012d44208e79ea6e511847f86af0c45271e6f678ccc19639fe6c2eee75449
e6a77c8bf232636a505c31fae0215789caf8d73682102304a2541513de945526
이 목록 (... DB4)의 첫 번째 샘플은 VirusTotal에로 제출 :
날짜 파일 이름 제출자 ID 제출자 나라
2012년 8월 28일 10시 6분 1초 rcs.apk 18e48a9b (API) 독일
흥미롭게도,이 (날짜순) 파일이 그룹에서 VirusTotal에 제출 된 최초의 샘플이었다. 이름 "rcs.apk는"해킹 팀의 목표 감시 솔루션의 이름의 약자 것으로 보인다 '원격 제어 시스템.'

권한

원래 응용 프로그램은 다음과 같은 권한이 필요합니다 :
android.permission.INTERNET
android.permission.GET_ACCOUNTS
android.permission.WAKE_LOCK
android.permission.READ_PHONE_STATE의
android.permission.ACCESS_FINE_LOCATION
com.google.android.c2dm.permission.RECEIVE
com.aymax.qatiftoday.permission.C2D_MESSAGE
android.permission.USE_CREDENTIALS
android.permission.WRITE_EXTERNAL_STORAG​​E
android.permission.ACCESS_NETWORK_STATE
android.permission.VIBRATE
임플란트 그것을 GPS 사용자의 위치를​​ 감시하고, 더 많은, SMS 메시지를 읽기 및 쓰기, 호출을 처리 할 수​​있는 능력을 제공 다음 권한을 요청한다.
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_WIFI_STATE
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.FLASHLIGHT
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALENDAR
android.permission.READ_CONTACTS
합니다 android.permission.READ_LOGS
android.permission.READ_PHONE_STATE의
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.USER_PRESENT
android.permission.WRITE_SMS
다음의 권한은 다른 식별 해킹 팀 안드로이드 임플란트의 여러 요청에 의한 :
android.permission.WRITE_APN_SETTINGS (액세스 포인트 이름 설정 쓰기)
이 값은 응용 프로그램이 APN (액세스 포인트 이름), 전화가 데이터에 액세스 할 수있는 외부 네트워크를 식별하는 휴대 전화에 설정을 변경할 수 있습니다. 이 값은 없습니다 안드로이드 개발자 참조에서 타사 응용 프로그램에 의해 사용으로 표시됩니다. 1 이 기능에 대한 자세한 설명은 다음을 참조하십시오 다른 기능을 .

동작 및 네트워크 통신

응용 프로그램의 동작을 분석 한 후 우리는 더 파일의 악성 특성을 확인 할 수 있었다.
실행되면, 응용 프로그램에 POST를 수행합니다
http://iphone.al-motamiz.com/qatiftoday/gcms/register.php
이 서버는 몬트리올에서 iWeb으로 호스팅 :
IP 주소 174.142.97.245
주인 server.5edma.com
위치 canadaflag CA, 캐나다
도시 몬트리올, QC H3E 1Z6
조직 iWeb을 기술
ISP iWeb을 기술
번호 AS AS32613 iWeb을 테크놀로지스
우리는이 미끼 응용 프로그램에 의해 합법적 인 통신 것으로 생각합니다.
우리는 또한 두 개의 추가 서버와 명령 및 제어 (C2) 통신을 관찰했다. 우리는 나중에 임플란트의 config 파일 (: 볼에서 해독 된 텍스트에서 동일한 IP 주소를 발견 난처 / 임플란트 구성 ). 또한,이 방법 해킹 팀 이식 저장 C2 주소와 일치했다.
http://91.109.17.189/
http://106.186.17.60/
첫 번째 서버는 독일에서 LEASEWEB에서 호스팅되는 :
주인 91.109.17.189
위치 germanflag DE, 독일
조직 LEASEWEB 독일 GmbH의 (이전 netdirekt 전자. K.)
번호 AS AS16265 LEASEWEB BV
두 번째는 일본에서 Linode에서 호스팅되는 :
IP 주소 106.186.17.60
주인 li528-60.members.linode.com
위치 japanflag JP, 일본
조직 KDDI 주식회사
번호 AS AS2516 KDDI KDDI CORPORATION
에서 이전 작업 , 우리는 우리의 이전보고에서 밝혀 해킹 팀 프록시 체인의 일부로 LEASEWEB 및 Linode IP를 모두 확인했다. 당시, 우리는 또한 같은 그룹에 속한 세 번째 IP (206.190.155.40)를 확인했다. 이 발견은 간접적 이전 보고서에서 사용 된 방법의 유효성을 확인하고, 동일한 수집 인프라의 일부로 가능성 세번째 IP를 강조한다.
91.109.17.189
206.190.155.40
106.186.17.60
이 추가 IP는 호스팅 제공 업체 SOFTLAYER 기술을 소유 한 블록에 있습니다.

공격 응원

악성 임플란트) (다음 파일을 통계 분석을 시도 :
는 / dev / 엑시 노스-MEM
는 / dev / DspBridge
는 / dev / s5p-smem
알려진이 위험에 노출 된 장치의 물리적 메모리에 쓸 수있는 권한이없는 사용자를 허용 (CVE-2012-6422)을 악용하여이 동작은 일치한다. 이 심도있는 분석은 방위각 보안에 의해 제공됩니다 악용 여기 .
이 안드로이드 운영체제의 최신 버전에 대해 효율적이지 이용하지만, 사용자의 높은 비율은 여전히 취약 할 수 레거시 버전을 사용한다. (2)

이미지 제공 : 구글

응원 안드로이드 장치에 대한 배경

스와 바이너리감독자 응용 프로그램 : 안드로이드 폰을 응원하는 것은 일반적으로 두 가지 구성 요소를 포함한다.
SU 바이너리를 설치하기 위해, 장치 제조자는 어느 잠금 해제하는 부트 로더를 허용 한 취약점 또는 일시적 권한을 상승 시키는데 이용된다. SU 바이너리가 설치되면 응용 프로그램은 다른 목적을 위해 자신의 권한을 상승시키는 제어 방식으로 사용할 수 있습니다.
SU는 많은 전통적인 유닉스처럼 -이 하나의 루트를 포함하여 대부분의 경우에 -를 호출하는 응용 프로그램들이 호출하는 실행의 자신의 권한을 상승 있도록이 SUID 플래그를 사용합니다. 안드로이드의 각 응용 프로그램은 권한이없는 리소스에 액세스 응용 프로그램을 방지하기 위해 자체 사용자에 의해 실행됩니다.
관리자 응용 프로그램 (일반적으로 Superuser.apk)는 SU 바이너리가 다음 사용자에게 통보하고 승인하거나 권한 상승을 거부 할 수 있도록 관리자를 호출 할 수 있도록 의도적으로 자신의 휴대 전화를 근절 사람들에 의해 사용된다. 응용 프로그램은 루트 액세스를 필요로하는 작업을 수행 할 때 따라서, 심지어 뿌리 전화 사용자는 여전히 통지됩니다.

이 RCS 안드로이드 임플란트에 적용하는 방법

이 경우 취약점이 처음에 루트 액세스를 이용하고, 이진은 삭제됩니다. IT / 시스템 / 빈 / rilcap (/ proc 디렉토리 / 자기 / exe를 통해)에 자신을 복사 및 소유자를 설정 루트뿐만 아니라 실행 파일과 SUID 플래그를 설정합니다. 이 영구 루트 액세스 할 수 있습니다.
/ 시스템 / 빈 / rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93

RILCAP 기능

이진의 시험은 간단하게 문자열을 암호화와 같은 기본적인 기술이 분석을 방해하는 데 사용되는 것으로 나타났습니다.
암호화 알고리즘 :
STR [0] ... B [N]을 b하면
LEN = B의 [0] ^ B의 [1] ^ B [2]
B의 [I] (B)에서 [3] ... B [N]를 :
B [I] = B를 [I] ^ B [1]
B [내가] = (B의 [I] - B [1])에서 0xff
B [I] = B를 [I] ^ B [0]
이진은 다음과 같은 기능을 포함 :
  • 다음 스크린 샷을 조립하는 데 사용할 수 있습니다 - 프레임 버퍼 (은 / dev / 그래픽 / FB0)에서 정보를 캡처
  • 볼륨 데몬을 (자동으로 저장 장치를 감지하고 마운트하는 추가 할 때)
  • 읽기 전용 또는 읽기 쓰기로 마운트 / 시스템
  • sdcard에 대한 / PROC / 마운트를 확인
  • () 시스템을 사용하여 권한이없는 응용 프로그램에서 명령을 실행
  • execv / 시스템 / 빈 / SH를 사용하여 파일에서 명령을 실행
  • 장치 관리자로 응용 프로그램을 추가 할 수 /data/system/device-policies.xml 수정
  • 파일 복사
  • 파일 사용 권한을 수정
  • 변경 파일 소유자
  • 자동 연결 해제
  • 장치를 다시 시작
이 기능은 RILCAP는 SU 바이너리로 작동 할 수 있습니다 것 - 만 권한 상승을 사용자에게 통지하고 허용하거나 거부 할 수있는 선택권을 제공하는 감독자 응용 프로그램이 없습니다.
명령의 전체 목록에서 찾을 수 있습니다 부록 B .

기능

그룹으로서 샘플을 보면, 우리는 임플란트의 감시 기능을 나타내는 동작의 범위를 확인 하였다.
제 3 자 채팅 / 음성 응용 프로그램에 액세스하려고 시도합니다 :
우리는 애플 리케이션, 인기있는 소셜 미디어에 의해 저장된 로컬 파일에 액세스 채팅, 페이스 북, Viber, 싸이 월드, 미투데이, 스카이프, LINE과 QQ를 포함하여 응용 프로그램을 호출하려고 것을 발견했다.
/data/data/com.facebook.katana/databases
/data/data/com.facebook.orca/databases
/data/data/com.skype.raider/files/shared.xml
/data/data/com.whatsapp/shared_prefs
/data/data/com.whatsapp/shared_prefs/RegisterPhone.xml
/data/data/com.viber.voip/files
/data/data/com.tencent.mm/MicroMsg/
/data/data/com.viber.voip/files/preferences/reg_viber_phone_num
/data/data/jp.naver.line.android/databases/naver_line_myhome
/data/data/jp.naver.line.android
/data/data/jp.naver.line.android/databases
또한, 앱 손상된 사용자의 메일 계정에 속하는 국부적으로 저장된 메일 파일을 액세스한다.
/data/data/com.google.android.gm/databases/mailstore.{username}@gmail.com.db

난처 / 임플란트 구성

우회의 내부에 추가적인 조사를 방지하기 위하여, 소스 코드는 무겁게의 사용을 통해 난독 것처럼 보인다 DexGuard 상당히 둔화 및 역방향 복잡 문자열 전체 클래스 및 자산에 대한 암호화를 제공 할 수있다 (0R 유사), 엔지니어링 프로세스.
주입을 분석하는 동안, 우리는 구성 파일을 디 난독. (: 더 완전한 목록을 참조하십시오 아래, 우리는 RCS의 기능과 일치하는 라인의 수를 강조 임플란트 모듈 및 기능을 ).
우리는 임플란트의 감시 기능에 관련 장치 정보 등의 구성 설정, 채팅 "라이브 마이크"오디오 녹음, 카메라, 비디오, 키 로깅의 범위를 찾을 수 있습니다. (다음을 참조하십시오 우리는 또한 아래에 설명 안티 분석 기능을 제공하는 "위기"모듈의 존재에주의 안티 - 분석 기능 및 안티 포렌식을 ).
{“record”:true,”compression”:5,”buffer”:512000,”module”:” call “},{“module”:” camera “,”quality”:”med”},{“module”:” chat “},{“module”:” clipboard “},{“module”:” conference “,”number”:””},{“synchronize”:false,”position”:true,”module”:” crisis “,”mic”:true,”network”:{“processes”:[],”enabled”:false},”call”:true,”camera”:true,”hook”:{“processes”:[],”enabled”:true}},{“module”:” device “,”list”:false},{“module”:” keylog “},{“module”:” livemic “,”number”:””}
우리는 또한, 위치, 스크린 샷 촬영 및 탐색 활동 모듈 것으로 보인다 무엇을 참조하십시오.
{“cell”:true,”gps”:false,”wifi”:true,”module”:” position “},{“quality”:”med”,”module”:” screenshot “,”onlywindow”:false},{“module”:” url “}
우리는 또한 임플란트 날짜 범위 ( "datefrom"하고 추구 메일, SMS 및 MMS 메시지에 대해 "dateto"을 지정하는 필터와 함께 배포 된 것으로 보인다 발견했다.
{ "메일": { "필터": { "datefrom": "2014년 3월 10일 0시 0분 0초", "MAXSIZE": 100000, "dateto": "2100년 1월 1일00:00:00″,”history”:true},”enabled”:true},” mms “:{“filter”:{“datefrom”:”2014-03-10 0시 0분 0초 ","dateto ":"2100년 1월 1일00:00:00″,”history”:true},”enabled”:true},”module”:”messages”,” sms “:{“filter”:{“datefrom”:”2014-03-10 0시 0분 0초 ","dateto ":"2100년 1월 1일 0시 0분 0초 ","역사 "TRUE}", "사용 가능 : TRUE}}
우리는 또한에 대한 정보를 참조하는 방법 임플란트 exfiltrates 데이터, 데이터의 C2 서버와 함께. 흥미롭게도, 상기 임플란트는, 접속 장치 (예를 들어 무선 랜, 셀룰러 네트워크)를 모니터링하는 연결 유형을 선택하고, 속도는 대역폭을 제한 할 수있는 것으로 보인다. 이러한 우리가 임플란트의 네트워크 통신에서 관찰 된 동일한 서버가 있습니다.
{“desc”:”SYNC”,”subactions”:[{“host”:” 91.109.17.189 “,”mindelay”:0,”stop”:true,” cell “:true,”action”:”synchronize”,” wifi “:true,”maxdelay”:0,” bandwidth “:500000},{“host”:” 106.186.17.60 “,”mindelay”:0,”stop”:false,”cell”:true,”action”:”synchronize”,”wifi”:true,”maxdelay”:0,”bandwidth”:500000}]}]}

제 2 부 : 해킹 팀 RCS 운영

우리는 출시 후 우리의 연구 는 올해 초 해킹 팀에를, 우리는 해킹 팀이 고객에게 제공하는 해킹 팀의 RCS의 최대 및 설정 작업에 관한 익명의 개인 문서를 보내졌다. 문서는 우리는 문서의 기원에 관한 아무런 지식이없는 가을 2013에서 날짜 표시, 누구든지 그들 자신의 정체성을 은폐하기위한 조치를했다 보냈다. 이 문서의 진위가 확인되지 않은 상태에서, 우리는 현재 해킹 팀 RCS에 대해 알려진 것과 불일치를 확인하지 못했습니다 (우리의 최신 연구 결과 포함). 우리는 자신의 모든 형태의 문서를 눌렀다 놓으면 소스에 위험을 가져올 수 있다는 점, 우려하고 있습니다. 다음은 이들 문헌에 의하면, 이와 같이 기능과 원격 제어 시스템의 세부 사항의 일부에 대한 일반적인 개요이다. 우리가 발췌 스크린 샷은 "데모"복사본이 아닌 실제 작업으로 표시 인스턴스에서 분명히 있습니다.

해킹 팀 RCS 배포의 아키텍처

다음 그림은 원형 해킹 팀 RCS 배포의 논리 구조를 제안한다. 특정 경우에,이 문서에 따르면, "분산"아키텍처를 사용할 수있다 (참조 : 부록 : 해킹 팀 RCS 구조를 분산 ).

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 시스템 관리자 안내서에 대한 해킹 스위트"2013.

시스템 운영의 선수

문서에 따르면, RCS 시스템에 대한 자신의 책임과 권한을 가진 정의 된 역할의 일련의 각이있다. 간단히 :
  • 시스템 관리자는 "계약 단계"뿐만 아니라 설치 및 RCS 서버 네트워크뿐만 아니라 네트워크 인젝터를 업데이트하는 단계를 더 포함하는 다른 시스템 관리 작업 중에 해킹 팀에서 훈련을받을 것으로 보인다.
  • 관리자 계정을 생성하고, 두 작업을 생성하고 대상을 지정합니다.
  • 기술자 네트워크 인젝터 (문서에 이름이 "에이전트") 임플란트를 생성하고 관리하는 업무를 담당하고 있습니다.
  • 분석가들은 시스템에서 출력을 처리하고 RCS 콘솔을 통해 정보 분석을 수행합니다.

임플란트를 개발 및 배포

문서에 따르면, 소프트웨어는 조사 구체적 컴파일 "공장"을 통해 임플란트의 전체 범위를 생성 할 수있다. 기술자는 사용하여 이러한 에이전트를 만드는 역할을 여기에 기술자에게 제공의 메시지가 "공장을."

이 이미지에서, 기술자는 맥 OSX 임플란트를 준비하고있다. 이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 기술자의 가이드에 대한 해킹 스위트"2013.
기술자는 공장에서 다양한 옵션뿐만 아니라, 네트워크 내 분사를 사용하는 부가적인 능력을 갖는다 (도시되지 않음). 이러한 옵션은 다음을 포함합니다 :
  • 네트워크 사출 : ISP와 협력하여 악성 트래픽을 주입을 통해
  • 전술 네트워크 사출 : LAN 또는 무선 랜에
  • 녹은 응용 프로그램 : 미끼 응용 프로그램과 함께 해킹 팀 적기 번들
  • 설치 패키지 : 모바일 설치
  • 공격 : 문서 기반 모바일 및 데스크탑 악용
  • 로컬 설치 : USB 또는 SD 카드를 통해 모바일 설치
  • 오프라인 설치 : 부팅 가능한 SDHC, CD 또는 USB에 대한 ISO를 만들 수 있습니다. 이 옵션은 감염 최대 절전 모드 및 오프 전원 장치 기능이 포함되어 있습니다
  • QR 코드 : 묘사 할 때, 대상을 감염하는 모바일 링크
  • 애플릿 웹 : 가능성이 악의적 인 웹 사이트 (V 후 감가 상각 8.4.)
  • 자동 설치 : 임플란트를 설치합니다 데스크톱 실행
  • 감염 U3의 USB : 자동 감염 U3의 USB
  • WAP 푸시 메시지 : 사용자가 메시지를 받아 (아이폰 OS에서 떨어져 모든 모바일 운영 체제에서 작동) 경우 대상이 감염됩니다

감염 : "스카우트 에이전트"와 "에이전트"

문서는 일반적으로 전체 임플란트 ( "에이전트") 설치 여부를 결정하는 데 도움이 "검증"로 알려진 "스카우트 에이전트"RCS가 사용하게 나타냅니다. 이 얇은 임플란트 관심 대상인지 여부를 결정하기 위해 스크린 샷 및 장치 정보를 수집한다.
문서가 해킹 팀들의 주입은 마스킹 될 수 있다는 가능성을 명시 적 우려 및 "정찰 에이전트"의 기능은 시스템이 감염 '안전'인지 여부를 결정하는 것을 기술자를 지시하거나 마스크를 제거 위험 수 있는지 제안 에이전트.
시스템이 감염 안전한 것으로 판정되면, "정찰 에이전트는"전체 임플란트로 대체된다. 문서에 따르면, 해킹 팀 서서히 임플란트에 기능을 추가하기 위해 사용자에게 조언한다. 이러한 임플란트는 데이터를 exfiltrate와라는 과정을 통해 지시를받습니다 "동기."

임플란트 모듈 및 기능

임플란트 ( "에이전트")는 대상 장치에서 정보를 요청하기위한 원 클릭 기능을 제공합니다. 기술자는 필요에 따라 기능을 추가하는 것이 좋습니다.

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 기술자의 가이드에 대한 해킹 스위트"2013.
또한, 더 진보 된 방법은 그래픽 유량 모델을 이용하여, 복잡한 기술자 감염시 모듈 활성화의 특정한 순서를 결정하게 취해질 수있다. 이것은 사용자가 특정 액션 서브 액션, 모듈, 시퀀스를 트리거 이벤트를 정의 할 수있다.
문서는 시퀀스의 일례를 제공한다 :
이벤트 : 장치는 전력 어댑터에 연결되어
하위 작업 : SIM 카드 변경에 키 이벤트를 사용하지 않도록 설정, 로깅 위치를 시작, SMS를 보낼 수 있습니다.

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 기술자의 가이드에 대한 해킹 스위트"2013.

가능한 감시 모듈 선정

  • 액세스 한 파일
  • 주소록
  • 응용 프로그램 사용
  • 달력
  • 연락처
  • 장치 유형
  • 액세스 된 파일
  • 키 로깅
  • 저장된 암호
  • 마우스 활동 (가상 키보드를 격파하기위한 것)
  • 기록 통화 및 통화 데이터
  • 스크린 샷
  • 웹캠으로 사진을 찍을
  • 기록 채팅
  • 복사 클립 보드
  • 마이크에서 오디오 녹음
    • 공간을 절약하기 위해 추가 음성 및 침묵 탐지와
  • 실시간 오디오 감시 ( "라이브 마이크 :"모듈은 윈도우 모바일 만 가능)
  • 장치 위치
  • URL을 방문
  • (자동 3 자와) 전화 회의 만들기
  • 다른 장치를 감염 (이후 V. 8.4 감가 상각)

기타 기능

임플란트가 작동하면 그 수집 작업을 업데이트 할 수 있습니다. 또한 파일로 전송 될 수 있고, 단말기로부터 수신.
또한 임플란트는 대상 장치 1GB를 "기록"공간 기본 캡을 갖는다.공간에 도달하면 새로운 소재의 녹화가 중지됩니다. 운영자는 또한 단말기에 미 송신 데이터를 삭제하는 기능을 갖는다.

동기화 및 데이터 참호

동기 프로세스는 여기 부연 단계의 수를 갖는다 :
  • 임플란트와 서버 사이의 권한 부여
  • 시간은 임플란트 및 RCS 서버 간의 동기화
  • (경우 기술자가 "폐쇄"로 지정된 경우) 임플란트 제거
  • 임플란트 구성 업데이트
  • RCS 서버에서 전송 된 임플란트 다운로드 재료
  • "다운로드"큐 재료의 RCS 서버에 업로드
  • 보안 삭제와 함께, 증거의 RCS 서버에 업로드
  • 증거의 추가 보안 삭제
모바일 및 데스크톱 버전은 약간 다른 매개 변수가 있습니다. 바탕 화면 임플란트 대역폭을 가질 수 있고, 전송 자료의 지연을 추가하는 동안, 모바일 설정은 몇 가지 독특한 기능을 가지고 있습니다.
기술자는 임플란트를 업데이트하는 데 사용하는 데이터 채널 (또는 무선 셀 네트워크)의 형식을 강제 할 수있다. 흥미롭게도, APN 데이터를 exfiltrate하는 데 사용에 대한 기술자는 로그인 자격 증명을 지정할 수 있습니다 . 이 임플란트는 데이터 요금을 초래하고 피해자에 대한 트래픽을 표시하지 않도록 할 수 있습니다. 이 기능은 RCS 버전 9의 블랙 베리와 심비안 OS에서만 사용할 수로 지정됩니다.

안티 - 분석 기능 및 안티 포렌식

"위기"라 기능 (문서 패킷 스니퍼의 예를 들어 줄) "적대적"활동의 탐지에 대한 작업이 가능합니다. 이 기능은 다양한 시나리오에 의해 트리거 및 프로세스 식별에 기초하여 여러 가지 옵션을 가질 수있다. 데스크톱 버전에서는이 옵션은 동기화를 일시 중지를 포함하고, 프로그램을 후킹 할 수 없습니다. 모바일 버전의 경우 이러한 옵션은 오디오, 카메라, 위치 수집 및 동기화를 일시 중지를 포함한다.
와이프는 또한 트리거, 및 문서에 따른 해킹 팀은 임플란트의 "자취"를 벗어날 수 없어 사용자에 통지 할 수있다. 제거 작업은 감염 가능성이 장치의 법의학 분석에 관심이있을 수있는 몇 가지 특징이 있습니다 블랙 베리가 자동으로 다시 시작 트리거에서 설치 제거 (i)를; (II) 루트가 성공적으로 제거 할 수있는 권한을 요구하는 사용자 프롬프트에서 결과를 얻었다되지 않은 안드로이드 장치에 제거; (III) 윈도우 폰에서 제거 모든 파일을 삭제하지만 프로그램 목록에서 응용 프로그램 아이콘을 제거하지 않습니다.

코드 서명 및 인증서

RCS는 임플란트를 만들 때 코드 서명을 통합하도록 설계되었습니다. 문서는 유용하게 제안 베리사인, Thawte에과에서 GoDaddy를 코드 서명 인증서의 소스로. 또한, 문서 인증서를 얻는에 도움을 해킹 팀 기술 지원에 문의 할 것을 권장한다.
Interesingly, 심비안, 사용자가 보안 센터에서 직접 "개발자 인증서"를 구매하도록 지시하고 심지어는 URL을 제공합니다 ( https://www.trustcenter.de/en/products/tc_ publisher_id_for_symbian.htm ).
윈도우 폰을 감염를 들어, 사용자는 Microsoft 계정 (등록하는 것이 좋습니다 signup.live.com )와 윈도우 폰 개발자 센터 계정 ( https://dev.windowsphone.com/en-us/join/ )을.
문서는 해킹 팀은 즉시 시만텍에서 전화와 전자 메일 통신에 댓글을 올리려면 사용자가 제대로 (시만텍 관리) 승인 프로세스를 관리하고 사용자를 지시 보장에 관심을 나타냅니다. 사용자는 또한 엔터프라이즈 모바일 코드 서명 인증서를 구하는 방법에 instsructions를 얻을 수 ( https://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do )

안드로이드 관련 문제

그 모듈 (채팅, 메시지, 스크린 샷)의 일부를 실행하려면, 안드로이드 임플란트는 장치에 루트 권한이 필요합니다. 루트 권한 획득에 실패 할 경우,에, 피해자는 수동으로 응용 프로그램 루트 액세스 권한을 부여해야 할 수 있습니다. 제거가 트리거 된 경우 이외에도, 루트 성공적 안드로이드 디바이스에서 획득되지 않은 경우에, 피해자는 프롬프트 요청 권한을 본다.
해킹 팀은 유용하게 기본 APK 파일 임플란트 장치 정보를 표시합니다 "DeviceInfo"라는 이름의 일반 응용 프로그램으로 나타납니다 지적한다.

가명 및 프록시 체인 구조

시스템 관리자가 분산 프록시 체인 (다음을 참조 보는 방법이 이미지는 강조 부록 분산 해킹 팀 RCS 아키텍처 및 컬렉터 아키텍처).

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단에 대한 해킹 제품군, 시스템 관리자 안내서"2013

라이센스, 업데이트

집합 아키텍처의 생성시, 해킹 팀에서 라이센스 파일이 문서에 따르면, 소프트웨어에 의해 요구된다. 다른 라이센스는 특정 기능뿐만 아니라 선진 분석 툴킷이 필요합니다.
문서는 해킹 팀이 자사 제품에 대한 업데이트주기를 유지하는 것이 좋습니다. 업데이트 프로세스는 해킹 팀에서 제공하는 업데이트를 사용하여 시스템 관리자에 의해 수행 및 수집 및 인젝터 인프라에 대한 업데이트 모두, 임플란트에 포함되어있다.

감사

이 프로그램은인가 된 관리자가 임플란트의 상호 작용과 같은 시스템을 통해 사용자 작업 로그를 볼 수 있도록 기본 로깅 기능과 감사 기능이 나타나지 않습니다. 이 기능은 디지털 자료와 증거 요구 사항 툴킷이 더 호환되도록하기 위해 개발 된 것으로 나타납니다. 그러나 우리는 증거가, 로그, 임플란트,와 "공장"이 비가 역적으로 인증 된 사용자에 의해 삭제 될 수있는 용이성을 확인합니다.

분석가 눈보기

이 이미지는 그래픽으로 단일 대상의 여러 장치가 손상 동시에 모니터링 할 수있는 방법을 보여줍니다.

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 분석 가이드 해킹 스위트,"2013
분석가들은 텍스트 문자열뿐만 아니라 필터링 및 정렬 된 데이터를 사용하여 데이터에 대한 검색을 수행 할 수 있습니다. 또한, 전문가들은 플래그 중요성에 대한 데이터뿐만 아니라 데이터 않다고 생각하는 자동화 된 규칙을 적용 할 수 있습니다.
데이터 저장은 오픈 소스 MongoDB를 사용합니다 및 문서 해킹 팀 RCS가 사용하는 것을 나타냅니다 MongoDB의 2.4.8을.
다음으로, 또한 데모 인스턴스에서, 우리는 대상 컴퓨터에서 exfiltrated 정보를 참조하십시오. 참고로 플래그 증거에 기본 색상 코딩 신고 시스템 (빨강, 녹색, 노란색)뿐만 아니라, 각각의 캡쳐에서 분석에 사용할 수있는 정보의 종류를 사용하는 것입니다. 여기에서 우리는 특정 프로그램 운영의 스크린 샷 (예를 들어 블랙 베리 데스크탑 소프트웨어를 실행, 스카이프)뿐만 아니라 위치 정보를 참조하십시오. 위치 정보의 주소는 해킹 팀의 공개 주소와 동일합니다.

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 분석 가이드에 대한 해킹 스위트"2013.
다음 그림에서 우리는 도청 Skype 통화를 재생 분석가 콘솔을 참조하십시오.

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 분석 가이드에 대한 해킹 스위트"2013.
다음 그림에서 우리는 감염된 시스템의 파일 트리의 라이브 검색을 참조하십시오. 이 경우에 따라 사용할 수 있습니다 기능입니다.

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 분석 가이드에 대한 해킹 스위트"2013.
아래 이미지는 감염된 장치의 위치를지도와 타임 라인보기를 보여줍니다. 흥미롭게도,이 이미지, 교육용 그림으로 사용, 그것은 해킹 팀이 나타납니다 실수는 다른 고객에게 미국 법 집행에 데모에 대한 정보를 공개했을 수도 있습니다 . 특히,이지도에 "지미 페이지"장치의 위치는 LA 카운티 보안관의 액세스 제어 주차장에서 (그리고 날짜 2013년 9월 6일 찍혀있는 것으로 보인다 또는 2012년 12월 3일). 그것은 것을 우연의 일치 일 수있다 해킹 팀이 광범위하게 표현 된 미국의 9 월 2013 년 이후 개최 된 ISS 세계에서.

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 분석 가이드에 대한 해킹 스위트"2013.
공구 구글 맵의 이용은 타겟의 그래픽 도면을 제공한다; 그러나 그것은 지속적인 조사를위한 위치 데이터를 배신를 포함하여 클라이언트에 대한 운영 보안의 심각한 위반을 제시 할 수있다. 점 데이터의 일부가 전송되지 않는 경우에도 구글지도 알고 중심 (따라서 위치 타겟팅)이지도 데이터의 일부를 제공 할 필요가있다.
그것은 그들이이지도를 표시 할 Google지도 API를 사용하고 있습니다로 해킹 팀 RCS Google에 정부 클라이언트의 매우 민감한 조사 데이터를 노출하는 것으로 보인다.
또한, Google지도 트래픽, 심지어 SSL을 사용하는 대상이되어왔다 성공적인 트래픽 분석 과거 제 3 자에 의한. 우리가이 취약점을 입증하지 않은 동안, 우리는이 가능성은 추가 조사를 보증합니다 생각합니다.
데이터의 수집을 넘어, 문서가 해킹 팀은 기본 링크 분석과 추가 라이센스의 구매와 다른 기능을 포함하여 기본 조사 관리 툴킷을 제공하고 있음을 나타냅니다. 이 소프트웨어는 구축 할 수 있습니다 매우 "피어"(통화 같은 엔티티 사이의 접촉)와 "윤호"(하나 또는 다른 사람의 전화 번호부에있는 두 개인) 링크를 사용하여 기본 링크 분석을. 시스템은 또한 자동 세부 엔티티간에 (예를 들어 전화 번호)를 공유 링크 아이덴티티를 만들려고 시도. 시계열과 입지 데이터도 표시 될 수있다.

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 분석 가이드 해킹 스위트,"2013

진화하는 용어

문서가 해킹 팀이 해당 툴을 설명하는 데 사용하는 언어의 변화의 개수를 제안했다. 우 리는 v7.6에 아래에 그들이 용어는 "백도어"는 자신의 임플란트를 참조하는 데 사용하지만,에 V 8.0에서 위의 용어를 변경하는 것이 예를 들어 발견 "에이전트."마찬가지로, 그들은에 기간 "백도어 클래스"로 변경 " 동일한 시간주기에서 공장 ".

"투명화"

문서에 따르면, 해킹 팀은 RCS의 solultion에 대한 "투명화 보고서 '를 고객에게 제공하기 위해 나타납니다. 예를 들어, 우리는 "버전 9.0 - 투명화 보고서 '검토했습니다. 자동 설치, 녹 응용 프로그램, 네트워크 인젝터 주입-EXE 공격 및 오프라인 CD를 들어"
이 문서는 고객을 알립니다 시험은 기본 64 비트 윈도우 7 설치에 대해 수행되었다.
이미지 출처 : "버전 9.0 - 투명화 보고서,"날짜가.
이미지 출처 : "버전 9.0 - 투명화 보고서,"날짜가.

결론

팀의 원격 제어 시스템을 해킹 "합법적 인 차단"사용을 위해 판매 감시 악성 코드 툴킷입니다. 우리는 확인하고 사우디 아라비아의 카티 프 베르니의 목표를 제안 정치적 서브 텍스트로 미끼를했다 RCS 안드로이드 임플란트를 분석 하였다. 이러한 임플란트의 분석은 감시 기능의 범위를 한 것으로 밝혀졌습니다.
지난 몇 년 동안, 우리는 모두 연구 한 감마 그룹해킹 팀 의 글로벌 확산을 노출하고, 그들이 사용하는 기술과 전술을 강조. 이 그룹에서 우리의 관심은 그들이 가장 정교한 임플란트를 만들 수 있기 때문에 없습니다 . 실제로, 2009 년 오로라 사건 이후, 국민 국가에서 사용하는 정교한 악성 코드의 많은 공공보고가 있었다. 예를 들어, Turla, 러시아에 기인 캠페인, 기술되었다 "현재까지 발견 가장 복잡한 사이버 스파이 프로그램 중 하나."노트의 추가 캠페인은 Careto 포함 스페인에 연결된 [PDF] 및 Miniduke을 . 한편, 중요한 분석 및 공개 토론 된 스턱 스넷, Duqu 및 화염으로 간 추정되게 미국의 제품과 이스라엘의 협력을.
이러한 높은 충격 (일반적으로 높은 개발 비용) 임플란트 키트 모든 그들이에 기인하는 국가에 의해 독점적으로 사용할 수 있도록 표시되며, 대상 침입을 수행하도록 설계되었습니다.
해킹 팀과 감마 그룹은​​ 여러 가지 이유로 다릅니다. 첫째, 그들의 소프트웨어는 그들이 지불 제공, 일부 국가를 제외한 모든 사용할 수 있습니다. 둘째, 그들의 소프트웨어는 일상 범죄와 "보안 위협"을 대상으로 판매되고 우리는 위에 설명 된 상태가 후원하는 캠페인이 강화, 가치가 높은 대상에 대한 간첩 조작을 지원하도록 설계되어있는 반면.
매우 침습적 툴킷의이 유형은, 정보 사회와 군대에 의해 배포 된 고가의 부티크 능력되면, 모든하지만 정부의 소수에 사용할 수 있습니다. 명시되지 않은 가정은 이러한 도구에 대해 지불 할 수있는 고객이 주로 엄격하게 감독, 법적 목적을 위해, 올바르게 사용하는 것입니다. 우리의 연구가 수 있듯이, 그러나 극적으로 침략과 어려운 추적 감시에 진입 비용을 낮춤으로써, 장비는 대상의 비용 절감 정치적 위협을 해킹 팀과 감마 그룹 툴킷에 접근 할 수있는 사람들을 위해입니다.

감사의 글

세스 하디, 사라 McKune, 마샤 호프만, 세바스찬 PORST, 마사시 크레타 - Nishihata, 빌 Marczak, 론 Deibert, 휴먼 라이츠 워치, 아 비어 마사 알람, 그 시간에 매우 관대했다 여러 기자와 연구원.

부록 A : 해킹 팀 RCS 아키텍처 분산

이 이미지는 문서에 따르면, 분산 해킹 팀 RCS 수집 인프라를 나타낸다.

이미지 출처 : "해킹 팀, RCS 9 : 정부의 차단, 시스템 관리자 안내서에 대한 해킹 스위트,"2013

부록 B : 'rilcap'명령의 목록

명령에 의해 제공 :
/ 시스템 / 빈 / rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93
볼륨 데몬 (vold를)를 죽일
BLR
마운트 / 시스템을 읽기 전용으로
BLW
읽기 - 쓰기로 마운트 / 시스템
RT
권한을 가진 복제 자체에 / 시스템 / 빈 / rilcap 04755
qzx [명령] [인수]
() 시스템에 인수 전달
FHC [출처] [대상]
파일 복사
PZM [권한 플래그] [파일]
파일 권한을 수정할
QZS
파일 이름 QZS에서 명령을 읽고 그들을 실행 (execv / 시스템 / 빈 / 쉬 ...)
REB
재부팅
ADM [이름]
장치 policies.xml에 [이름] 추가
RU
자기의 연결을 해제
fho [사용자] [사용자 이름] [파일 이름]
파일 소유자 수정
SD
확인하고 SD 카드를 마운트 (하지만 경로 / MNT / SDCARD로 하드 코딩, 그래서 항상 작동하지 않습니다)
FB [파일]
프레임 버퍼로부터의 카피 (스크린 샷) 파일로

각주

1 http://developer.android.com/reference/android/Manifest.permission.html
2 https://developer.android.com/about/dashboards/index.html


 ====================================================
 https://citizenlab.org/2014/06/backdoor-hacking-teams-tradecraft-android-implant/

Police Story: Surveillance Malware gouvernement de Hacking équipe

24 juin 2014
 Télécharger la version PDF Je Lire sur ISSUU
Auteurs:
Morgan Marquis-Boire, John Scott-Railton, Claudio Guarnieri, et Katie Kleemola
Pour la couverture médiatique de ce rapport, voir The Economist , Associated Press , Wired , VICE , International Business Times , Forbes , Ars Technica , Threatpost de Kaspersky , Slash vitesse , Engadget , Aide Net Security , The Verge , CIO Aujourd'hui , Voice of America (VOA ) , Computer World , Infosecurity Magazine , et Slate .
Lire la version arabe / النسخة العربية traduit par Cyber ​​Arabes
Les journaux de gauche pourraient pleurnicher un peu
Mais les gars de la station, ils ne donnent pas une merde
appels d'expédition "que tu fais quelque chose de méchant?"
»« Pas de billets Désirée, Jack, nous sommes juste Givin "
Police Truck, Dead Kennedys (1980)

Résumé

  • Dans la partie 1 , nous analysons un implant Android nouvellement découvert que nous attribuons à Hacking équipe et mettre en évidence le sous-texte politique du contenu de l'appât et le contexte d'attaque.
  • Dans la partie 2 , nous exposons la fonctionnalité et l'architecture de contrôle à distance du système de Hacking Team (RCS) et exploitant tradecraft en détail encore jamais publié.

Introduction

Ce rapport analyse l'implant de Hacking Android Team, et utilise de nouveaux documents pour illustrer comment leur produit d'interception Remote Control System (RCS) fonctionne. Ce travail se appuie sur notre recherche précédente dans les technologies et les entreprises derrière «interception légale" malware. Cette technologie est commercialisé comme le remplissage d'un fossé entre l'interception passive (comme la surveillance de réseau) et les recherches physiques. En substance, il est également un Malware vendus aux gouvernements. Contrairement à la surveillance de téléphone et les recherches physiques, cependant, la plupart des pays ont peu de directives juridiques et de surveillance pour l'utilisation de ce nouveau pouvoir. À la lumière de l'absence de directives et de supervision, ainsi que sa nature clandestine, cette technologie est particulièrement vulnérable à une mauvaise utilisation. En analysant les outils, et leur prolifération dans les mains de sociétés comme Hacking équipe et Gamma Group , nous espérons soutenir les efforts pour se assurer que ces outils sont utilisés de manière responsable, et ne pas violer les principes fondamentaux des droits de l'homme et état ​​de droit .
Dans un rapport publié plus tôt cette année, nous avons présenté les résultats d'un effort mondial de balayage , et identifié 21 pays avec des déploiements de solution de surveillance à distance système de contrôle de Hacking Team. En outre, aux côtés d'autres chercheurs, nous avons découvert une série de cas où le logiciel "d'interception légale" a été utilisé contre des cibles politiques par des régimes répressifs. Objectifs de la société politique et civile ont inclus Mamfakinch au Maroc , militant des droits humains Ahmed Mansoor aux EAU , et ESAT , un service de nouvelles aux États-Unis en se concentrant sur ​​l'Éthiopie. Dans tous ces cas, un outil commercialisé pour "application de la loi" a été utilisée contre politique, plutôt que les menaces de sécurité. Dans d'autres cas encore, comme la Malaisie [PDF], nous avons trouvé des documents d'appâts et ensemencement évocateurs de ciblage politique.

Partie 1: Une équipe Android Hacking Backdoor en Arabie Saoudite

Manifestations en Arabie saoudite et Qatif

Tandis que l'Arabie saoudite n'a pas vu manifestations comparables à ceux ailleurs pendant le printemps arabe, il a connu des manifestations depuis 2011, principalement dans la province Ash-Sharqīyah. Il ya un certain nombre de raisons de tensions politiques, allant de la pression démographique, coût du logement et le chômage, les problèmes des femmes et les droits des minorités. La province est majoritairement chiite, qui ont griefs de longue date plus perçue marginalisation politique et culturelle par le régime au pouvoir sunnite. Ces griefs ont été amplifiées lorsque, au début de 2011, le gouvernement de Bahreïn a violemment réprimé des manifestations chiites avec l'aide de troupes saoudiennes.
Protestations ensuite propagée dans un certain nombre de domaines, y compris dans le gouvernorat de Qatif principalement chiite . En 2011, la plupart des manifestants chiites semblent avoir d'abord exigé la réforme, plutôt que l'un changement de régime préconisé dans d'autres pays arabes. Fait intéressant, Qatif a une histoire de Shia protestation, le plus célèbre des manifestations généralisées en 1979. En réponse aux protestations, qui exigeaient une plus grande participation politique et économique, le régime prévu vastes concessions économiques. En 2011, cependant, les autorités ont réagi avec violence et les arrestations de personnalités chiites éminents. Les manifestants ont été blessés et d'autres auraient été tués par les forces de sécurité, selon Human Rights Watch. Cette répression peut avoir contribué à l'évolution des demandes des manifestants; aujourd'hui, certains exigent explicitement un changement de régime en utilisant un langage laïque, selon des chercheurs et des journalistes directement familiers avec les développements récents qui ont parlé avec nous. Dans ce qui pourrait être décrit comme une réponse inflammatoire, les autorités saoudiennes ont également arrêté un chiite Cheikh franc et très visible.
"... Le procureur a exigé qu'il confrontés non seulement la peine de mort, mais une peine supplémentaire mandaté par la charia pour les infractions les plus odieux dans lequel le cadavre est souillé par être pendu à un poteau." - Reuters
L'escalade, qui a été accompagné de la violence contre les services de sécurité chez certains chiites, est utilisé par le régime pour justifier des mesures sévères, y compris "la répression des émeutes," arrestations et condamnations y compris la mort de manifestants sur des accusations de "sédition". D'autres ont été accusé d'espionnage pour le compte de l'Iran, dans une affaire qui a été réclamée par de nombreux chiites avoir été politiquement motivée .
Organisations des droits humains qui ont catalogués abus présumés, comme le Centre pour les droits de l'homme Adala, se sont vu refuser la possibilité d'enregistrer les organisations formelles, sous réserve de blocage d'URL , et avait le personnel harcelés et emprisonnés . Les journalistes qui tentent de rendre compte de Qatif sont bloqués à l'entrée , et régulièrement l'objet de menaces et la pression du gouvernement.
Les médias sociaux et les téléphones mobiles sont un élément clé de la façon dont les manifestations sont organisées, avec les manifestants de prendre des mesures, comme l'utilisation de comptes pseudonymes, à partager leur message. Néanmoins, selon des personnes familières avec les événements, les pratiques numériques de sécurité opérationnelles sont souvent fragmentaires, et ne correspondent pas aux capacités des services de sécurité.

Surveillance, suivi et contrôle de l'information en Arabie Saoudite

L'Arabie saoudite est un environnement unique et complexe de la sécurité, et ses services de sécurité jouent un éventail de rôles. D'une part, l'Arabie saoudite fait face à des menaces de sécurité étrangers et nationaux indéniables des groupes hostiles, les extrémistes et les autres gouvernements. D'autre part, le régime a été exceptionnellement agressive dans ses tentatives de contrôler et étouffer la dissidence et du pluralisme politique.
Les services de sécurité en Arabie saoudite font usage d'une gamme d'instruments du pouvoir d'Etat formel et informel pour contrôler l'environnement de l'information électronique dans le pays. À partir de points d'étranglement Internet maintenus par le gouvernement et se étendant vers les FAI, les blocs de l'Etat une large gamme de contenu politique, religieuse et culturelle. Ceci inclut les médias sociaux, que ce soit des utilisateurs spécifiques ou des plates-formes entières . Se étendant en outre, l'Etat exige que les sites d'actualité (sens large) enregistrer auprès des autorités. Sites inscrits sont soumis à une réglementation détaillée, tandis que les opérateurs non enregistrés qui ne ont pas enregistré de lourdes peines de risque. les opérateurs du site sont encouragés à auto-surveillance et le contenu modérée, sous peine de sanctions financières, des peines d'emprisonnement, et les châtiments corporels comme cils. En outre, la législation anti-cybercriminalité a également été utilisé pour poursuivre le dialogue en ligne que la plupart des sociétés envisageraient discours politique acceptable.
L'utilisation publique de surveillance mobile se étend dans les formes de contrôle social que de nombreuses sociétés trouveraient hautement répréhensible. Par exemple, le gouvernement a obtenu la condamnation internationale quand il a annoncé qu'il mettrait en œuvre un système permettant à leur tuteur masculin pour surveiller le comportement de Voyage des femmes sous leur garde. Remplacement d'un ancien système permission-dérapant base («cartons jaunes»), les tuteurs reçoivent des messages texte lorsque les femmes arrivent dans les locaux de l'aéroport international , demandant si les femmes sont autorisées à voyager.
Internet et des médias sociaux les utilisateurs sont encouragés à l'auto-censure et le rapport sur l'autre. Le gouvernement se engage dans des annonces publiques des campagnes pour encourager les deux comportements, et précise aux citoyens saoudiens qu'ils regardent, et l'écoute. En particulier, l'État a mis en place des sanctions spécifiques pour le partage-re, publics ou privés, contenu jugé répréhensible. En plus d'utiliser les outils explicites de la loi, il est largement admis que l'État encourage une «armée électronique" des individus pro-gouvernementaux de submerger conversations sur les médias sociaux avec des voix pro-régime et de harceler les dissidents.
Discours impliquant des thèmes religieux est particulièrement risqué, car le gouvernement est prêt à utiliser des accusations graves religieuses, y compris la peine de mort et les châtiments corporels, et les outils de la jurisprudence internationale comme l'extradition, de détenir et de punir ceux qui violent ses normes strictes fins politiques, religieuses, et le discours culturel.
Dans deux cas notables, l'opérateur du forum de discussion saoudiens libéraux a finalement été condamné à 10 ans de prison et 1 000 coups de fouet pour le maintien d'un forum sur la discussion de la religion et de la réforme. Ce était une réduction de toutes sortes, que la poursuite a demandé son exécution. De nombreux cas similaires, en utilisant diverses accusations, ont été rapportés par les organisations des droits de l'homme et des commentateurs.
Ces mesures ont un effet volontairement dissuasif sur le discours politique et font régulièrement l'objet de critiques de la communauté internationale des droits humains . Néanmoins, les médias sociaux reste le premier débouché pour les discours politiques. Beaucoup d'utilisateurs pratiquent un certain degré d'autocensure, ou discours indirect, alors que d'autres utilisent des pseudonymes et d'autres moyens techniques afin de préserver leur anonymat. Pour accéder au contenu interdit, les réseaux privés virtuels (VPN) d'utilisation est également commune. En réponse, les services de sécurité utilisent la police et les pouvoirs d'enquête pour démasquer les affiches, et les punit sévèrement, parfois après des arrestations où le nom du détenu (s) est tenue secrète.
L'utilisation du téléphone en Arabie Saoudite a un taux de 170% de pénétration , avec une moyenne estimée de 30% du revenu individuel consacré à téléphone et Internet coûts mobiles en 2014. En conséquence, anciens mécanismes de surveillance d'Internet, comme la surveillance des cafés Internet, sont remplacé. Les utilisateurs individuels sont tenus d'utiliser de véritables identités lors de l'enregistrement des appareils mobiles, et il est clair que l'Etat cherche une plus grande visibilité dans le trafic crypté. En 2010, par exemple, l'Arabie Saoudite a gagné avec succès l'accès aux communications BlackBerry après avoir serveurs saoudiens situé un quid pro-quo de laisser les dispositifs sur les réseaux saoudiens . Plus récemment, l'appétit du gouvernement pour les communications cryptées a été révélé par Moxie Marlinspike, un chercheur en sécurité et développeur, qui a reçu une ouverture de compagnie saoudienne de télécommunications Mobily cherchant son aide pour accéder le trafic crypté . L'entreprise cherchait une solution d'interception (sur demande du gouvernement saoudien, disaient-ils) pour l'accès à un éventail de clients mobiles de chat (Viber, LINE, WhatsApp) ainsi que le mobile-version de Twitter.
L'utilisation de logiciels malveillants mobiles peut être comprise dans le cadre de ce désir, en aucune manière limitée à l'Arabie saoudite, de faire correspondre les technologies utilisées par leur population.

Semis: A Lure avec Subtext politique?

Utilisation des signatures développées dans le cadre de notre recherche en cours sur "l'interception légale" malware développé par Hacking équipe, nous avons identifié un package d'installation suspecte Android (APK). Le fichier est une copie fonctionnelle de la «Aujourd'hui Qatif» (القطيف اليوم) demande de nouvelles livré avec une charge utile Hacking Team. Documents que nous avons examinés suggèrent que Hacking équipe se réfère à ce type d'implant mobile comme un «package d'installation», où un troisième fichier légitime d'application du parti est livré avec l'implant (Voir: développer et déployer des implants ). Ce genre de tactique avec le paquet implants Android a été vu dans d'autres attaques de logiciels malveillants ciblées (qui ne utilisent pas "interception légale" produits commerciaux), y compris la campagne de Luckycat , et les attaques contre les militants tibétains et des groupes dans la communauté ouïghoure .
Le véritable app 'Qatif Aujourd'hui »est un Android (télécharger ici ) et l'application iPhone qui fournit des nouvelles et des informations en arabe avec un intérêt particulier pour le gouvernorat de Qatif de l'Arabie saoudite.

Qatif Aujourd'hui dans le Google Play Store
La connexion à Qatif est intéressant, compte tenu de l'histoire récente de protestation à Qatif comme indiqué ci-dessus. Nous ne sommes pas en mesure de déterminer l'identité du groupe ou individu ciblé avec ce malware, cependant, nous pensons que l'attaque pourrait être liée à la contestation politique dans l'est de l'Arabie saoudite.

Hacking échantillons équipe

L'APK malveillant, QatifNews.apk, a le hachage suivante:
8e64c38789c1bae752e7b4d0d58078399feb7cd3339712590cf727dfd90d254d
Au moment de la première communication à la base VirusTotal, le fichier a été détecté par zéro sur 50 produits antivirus dans VirusTotal:
0/50 11/03/2014 09:28:49 11.03.2014 09:28:49
Il semble que l'APK du même nom a été ensemencée sur Twitter cinq jours plus tard par un compte Twitter (de_bhpearl) liée à Bahreïn, un pays de grand intérêt pour les chiites à Qatif.

Tweet avec des liens par_bhpearl (supprimé depuis)
Les liens tweetés ont été raccourcies en utilisant le service de goo.gl. Ces décidé de:
https://itunes.apple.com/app/qatiftoday-alqtyf-alywm/id584947120?mt=8
et
https://dl.dropboxusercontent.com/s/fw92fsu9r694iqc/QatifNews.apk
Le premier lien vers la boutique iTunes possède 18 841 clics sur le lien raccourci et semble légitime. Le deuxième lien, cependant, ne redirige pas vers la véritable application à l'Android App Store. Au lieu de cela, il redirige vers un fichier de Dropbox qui a depuis été retiré. Examen de l'analyse sur la deuxième lien raccourci est intéressant; il y avait seulement 13 clics. Nous pouvons remise de 7 de ces clics (ceux des États-Unis et l'Allemagne) en tant que chercheurs, tandis que trois sont en Arabie Saoudite. Un clic à Taiwan peut être un VPN ou un chercheur en sécurité.

Google Analytics Shortener
Bien que nous ne pouvons pas confirmer que le fichier sur Dropbox était le même APK, nous soupçonnons le moment du tweet, et l'utilisation d'une méthode non-standard pour partager une application Android, ne est pas une coïncidence.

Signature code malveillant APK

L'APK malveillant a été signé par le certificat suivant:
Emetteur:
DN: C = US, O = Sun, OU = JavaSoft, CN = Serveur
C: US
CN: Serveur
O: Sun
OU: JavaSoft
Objet:
DN: C = US, O = Sun, OU = JavaSoft, CN = Serveur
C: US
CN: Serveur
O: Sun
OU: JavaSoft
De série: 1369041295
SHA256 empreintes digitales: 8ab03660fe537994b207e900f8e2f5711c08e61232e167ce97e52bb3fd77757f
Une discussion plus large des pratiques de signature de code pour les implants Hacking équipe est abordée plus loin dans le document dans la section " Signature de code et des certificats ".

Des échantillons supplémentaires

Nous avons pu identifier un six échantillons supplémentaires signés avec le même certificat:
e85db2d92ae97f927905d6e931a0cb1f5b6def2475c23e023fe617249dddddb4
0b657e29a3e249b414fbde3a85e7be0829ddaad49b8ff2832350cfe5af190ba1
535070b5bd076f137052eb82257f16db4c3ba3e3516970b8934524e4a750a8f1
748e04aee9ec1a82abd2f0a9d3ddc33925a8a74b5058088dbf3d6a3c1e9698d8
8d2012d44208e79ea6e511847f86af0c45271e6f678ccc19639fe6c2eee75449
e6a77c8bf232636a505c31fae0215789caf8d73682102304a2541513de945526
Le premier échantillon de cette liste (... db4) a été soumis à VirusTotal que:
Date Nom de fichier ID émetteur Envoyé Pays
2012-08-28 10:06:01 rcs.apk 18e48a9b (api) Allemagne
Fait intéressant, ce était le premier échantillon (chronologiquement) qui sera soumis à VirusTotal de ce groupe de fichiers. Le nom "rcs.apk" semble être une abréviation du nom de la solution de surveillance ciblée de Hacking équipe, 'Remote Control System ».

Autorisations

L'application originale nécessite les autorisations suivantes:
android.permission.INTERNET
android.permission.GET_ACCOUNTS
android.permission.WAKE_LOCK
android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
com.google.android.c2dm.permission.RECEIVE
com.aymax.qatiftoday.permission.C2D_MESSAGE
android.permission.USE_CREDENTIALS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.VIBRATE
L'implant demande les autorisations suivantes, qui lui donnent la capacité de traiter les appels, lire et écrire des SMS, de contrôler la localisation GPS de l'utilisateur, et plus encore.
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_WIFI_STATE
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.FLASHLIGHT
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALENDAR
android.permission.READ_CONTACTS
android.permission.READ_LOGS
android.permission.READ_PHONE_STATE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.USER_PRESENT
android.permission.WRITE_SMS
La permission suivante a été demandée par plusieurs des autres implants android de l'équipe Hacking identifié:
android.permission.WRITE_APN_SETTINGS (écrire Access Point Name paramètres)
Cette valeur permet aux applications de modifier l'APN (Access Point Name), un cadre sur un téléphone mobile qui identifie un réseau externe, le téléphone peut accéder à des données. Cette valeur est marqué comme pas être utilisé par des applications tierces dans la référence Développeurs Android. 1 Pour plus de détails sur cette fonctionnalité, voir: Autres capacités .

Comportement & Communication Network

Après avoir analysé le comportement de l'application, nous avons pu confirmer davantage la nature malveillante du fichier.
Lorsqu'il est exécuté, l'application effectue un courrier à:
http://iphone.al-motamiz.com/qatiftoday/gcms/register.php
Ce serveur est hébergé chez iWeb à Montréal:
Adresse IP 174.142.97.245
Hôte server.5edma.com
Emplacement canadaflag CA, Canada
Ville Montréal, QC H3E 1Z6
Organisation IWeb Technologies
ISP IWeb Technologies
Nombre AS AS32613 iWeb Technologies Inc.
Nous croyons que ce est la communication légitime par l'application de leurre.
Nous avons également observé commandement et de contrôle (C2) la communication avec les deux serveurs supplémentaires. Nous avons trouvé plus tard, les mêmes adresses IP dans le texte déchiffré à partir du fichier de configuration de l'implant (voir: obfuscation Configuration / implant ). Incidemment, ce était compatible avec les implants de l'équipe adresses magasin C2 comment Hacking.
http://91.109.17.189/
http://106.186.17.60/
Le premier serveur est hébergé sur Leaseweb en Allemagne:
Hôte 91.109.17.189
Emplacement germanflag DE, Allemagne
Organisation Leaseweb Germany GmbH (précédemment netdirekt e. K.)
Nombre AS AS16265 LeaseWeb BV
La seconde est hébergé sur Linode au Japon:
Adresse IP 106.186.17.60
Hôte li528-60.members.linode.com
Emplacement japanflag JP, Japon
Organisation KDDI Corporation
Nombre AS AS2516 KDDI KDDI CORPORATION
Dans des travaux antérieurs , nous avons identifié la fois le Leaseweb et Linode IP dans le cadre d'une chaîne de proxy Hacking équipe découvert dans nos rapports avant. À l'époque, nous avons également identifié un tiers IP (206.190.155.40) qui appartenait au même groupe. Cette constatation confirme indirectement les méthodes utilisées dans le rapport précédent, et met en évidence le troisième IP comme probablement partie du même infrastructure de collecte.
91.109.17.189
206.190.155.40
106.186.17.60
Ce est IP supplémentaire dans un bloc détenue par le fournisseur d'hébergement SoftLayer Technologies.

Enracinement Exploit

L'implant malveillant tente d'stat () les fichiers suivants:
/ Dev / mem Exynos-
/ Dev / DspBridge
/ Dev / S5P-smem
Ce comportement est cohérent avec un connue exploit (CVE-2012-6422) qui permet à un utilisateur sans autorisations d'écrire à la mémoire physique d'un périphérique compromise. Une analyse approfondie de cette exploit est fourni par Azimut sécurité ici .
Bien que cet exploit ne serait pas efficace contre la dernière version du système d'exploitation Android, un pourcentage élevé des utilisateurs utilisent encore des versions héritées qui peuvent être vulnérables. 2

Crédit Image: Google

Contexte sur l'enracinement appareils Android

Enracinement un téléphone Android implique généralement deux composantes: le binaire su et une application de supervision.
Pour installer le binaire su, le fabricant de l'appareil a permis le chargeur de démarrage pour être déverrouillé ou une vulnérabilité est exploitée pour élever temporairement les autorisations. Une fois le binaire su installé, les applications peuvent l'utiliser de manière contrôlée pour élever leurs autorisations à d'autres fins.
Le su ressemble beaucoup à la traditionnelle Unix - il utilise le drapeau suid afin que les applications qui appellent élever leurs autorisations à celui de l'exécutable qu'ils appellent - dans la plupart des cas, y compris celui-ci, racine. Chaque application sur Android est géré par son propre utilisateur afin d'empêcher les applications d'accès aux ressources, il n'a pas d'autorisations pour.
Une application de supervision (généralement Superuser.apk) est utilisé par des gens qui enracinent intentionnellement leur téléphone de manière binaire su peut appeler le superviseur qui sera ensuite notifier à l'utilisateur et de leur permettre d'approuver ou de refuser l'escalade de privilège. Ainsi, même avec un téléphone enracinée l'utilisateur est toujours avisé lorsque les applications effectuent des actions nécessitant un accès root.

Comment cela se applique au RCS Android Implant

Dans ce cas, une vulnérabilité est exploitée pour gagner d'abord un accès root, et un binaire est abandonnée. Il se copie dans / system / bin / rilcap (via / proc / self / exe) et définit son propriétaire d'être root ainsi que la fixation des exécutables et suid drapeaux. Cela permet un accès racine persistante.
/ System / bin / rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93

RILCAP Fonctionnalité

Examen du binaire a révélé que les techniques de base comme simple de cryptage de chaînes sont utilisés pour entraver l'analyse.
Algorithme de chiffrement:
si str est b [0] ... b [n],
len = b [0] ^ b [1] ^ b [2]
B [i] en b [3] ... b [n]:
b [i] = b [i] ^ b [1]
b [i] = (b [i] - b [1]) et 0xff
b [i] = b [i] ^ b [0]
Le binaire contient les fonctionnalités suivantes:
  • Capturer des informations à partir du framebuffer (/ dev / graphiques / fb0) - qui peut ensuite être utilisé pour assembler les screenshots
  • Tuer le démon de volume (qui détecte automatiquement et installe les périphériques de stockage lorsqu'il est ajouté)
  • Mont / système en lecture seule ou écriture lu
  • Vérifiez / proc / mounts pour une sdcard
  • Exécuter des commandes à partir d'applications utilisant le système non privilégiés ()
  • Exécuter des commandes à partir d'un fichier à l'aide execv / system / bin / sh
  • Modifier /data/system/device-policies.xml pour ajouter l'application en tant qu'administrateur de l'appareil
  • Copier des fichiers
  • Modifier les permissions de fichiers
  • Changer propriétaires de fichiers
  • Délier auto
  • Redémarrez le périphérique
Cette fonctionnalité permet RILCAP d'agir comme le binaire su serait - seulement il n'y a pas application de supervision pour avertir l'utilisateur d'escalade de privilèges et d'offrir la possibilité d'autoriser ou nier.
Une liste complète des commandes de peut être trouvé dans l'annexe B .

Fonctionnalité

En regardant les échantillons en tant que groupe, nous avons identifié une gamme de comportements indicatifs des capacités de surveillance de l'implant.
Les tentatives d'accès 3rd party applications chat / voix:
Nous avons constaté que les applications tentent d'accéder à des fichiers locaux stockés par les médias sociaux populaires, discuter, et d'appeler des applications, y compris Facebook, Viber, WhatsApp, Skype, LINE et QQ.
/data/data/com.facebook.katana/databases
/data/data/com.facebook.orca/databases
/data/data/com.skype.raider/files/shared.xml
/data/data/com.whatsapp/shared_prefs
/data/data/com.whatsapp/shared_prefs/RegisterPhone.xml
/data/data/com.viber.voip/files
/data/data/com.tencent.mm/MicroMsg/
/data/data/com.viber.voip/files/preferences/reg_viber_phone_num
/data/data/jp.naver.line.android/databases/naver_line_myhome
/data/data/jp.naver.line.android
/data/data/jp.naver.line.android/databases
En outre, l'application accède aux fichiers courrier stockés localement appartenant au compte de messagerie de l'utilisateur compromise.
/data/data/com.google.android.gm/databases/mailstore.{username}@gmail.com.db

Obfuscation Configuration / Implant

Afin d'éviter un examen supplémentaire dans le fonctionnement interne de la porte dérobée, le code source semble avoir été fortement obscurci par l'utilisation de DexGuard (0r similaire), qui peut fournir le cryptage des chaînes, des classes et des actifs entières, considérablement ralentissent et compliquent l'inverse processus d'ingénierie.
En analysant l'implant, nous dé-brouillé le fichier de configuration. Ci-dessous, nous mettons en évidence un certain nombre de lignes qui correspondent à la fonctionnalité dans RCS (pour une liste plus complète, voir: Modules Implant et la fonctionnalité ).
Nous trouvons une gamme de l'enregistrement audio, appareil photo, vidéo, enregistrement de frappe, "micro en direct,« chat, Device INFO etc. paramètres de configuration relatives à la fonctionnalité de surveillance de l'implant. Nous notons également la présence d'un module de «crise», qui fournit des fonctionnalités anti-analyse expliqué ci-dessous (voir: Analyse Anti-Fonctionnalité & Anti Forensics ).
{“record”:true,”compression”:5,”buffer”:512000,”module”:” call “},{“module”:” camera “,”quality”:”med”},{“module”:” chat “},{“module”:” clipboard “},{“module”:” conference “,”number”:””},{“synchronize”:false,”position”:true,”module”:” crisis “,”mic”:true,”network”:{“processes”:[],”enabled”:false},”call”:true,”camera”:true,”hook”:{“processes”:[],”enabled”:true}},{“module”:” device “,”list”:false},{“module”:” keylog “},{“module”:” livemic “,”number”:””}
Nous voyons aussi ce qui semble être, modules emplacement, prise de capture d'écran, et l'activité de navigation.
{“cell”:true,”gps”:false,”wifi”:true,”module”:” position “},{“quality”:”med”,”module”:” screenshot “,”onlywindow”:false},{“module”:” url “}
Nous avons également constaté que l'implant semble avoir été déployée avec un filtre permettant de spécifier une plage de dates ("de datefrom" et "dateto" pour les messages mail, SMS et MMS qu'elle cherche.
{"Mail": {"filtre": {"datefrom": "10/03/2014 00:00:00", "maxsize": 100000, "dateto": "01/01/210000:00:00″,”history”:true},”enabled”:true},” mms “:{“filter”:{“datefrom”:”2014-03-10 00:00:00 "," dateto ":" 01/01/210000:00:00″,”history”:true},”enabled”:true},”module”:”messages”,” sms “:{“filter”:{“datefrom”:”2014-03-10 00:00:00 "," dateto ":" 01/01/2100 00:00:00 "," histoire ": true}," permis ": true}}
Nous voyons également des informations sur la façon dont les données de l'implant, avec ses serveurs de C2. Fait intéressant, il semble que l'implant est capable de contrôler la connectivité des périphériques (par exemple, wifi, réseau cellulaire), en choisissant le type de connexion, et le taux de limitation de la bande passante. Notez que ce sont les mêmes serveurs que nous avons observées dans les communications réseau de l'implant.
{“desc”:”SYNC”,”subactions”:[{“host”:” 91.109.17.189 “,”mindelay”:0,”stop”:true,” cell “:true,”action”:”synchronize”,” wifi “:true,”maxdelay”:0,” bandwidth “:500000},{“host”:” 106.186.17.60 “,”mindelay”:0,”stop”:false,”cell”:true,”action”:”synchronize”,”wifi”:true,”maxdelay”:0,”bandwidth”:500000}]}]}

Partie 2: Hacking équipe Opération RCS

Après nous avons publié notre recherche sur Hacking équipe plus tôt cette année, nous avons été envoyés documentation par un individu anonyme se rapportant à la mise en place et le fonctionnement de RCS de Hacking équipe qui Hacking équipe fournit à ses clients. Les documents semblent dater de l'automne 2013. Nous ne avons aucune connaissance quant à l'origine des documents, et quiconque envoyés eux ont pris des mesures pour dissimuler leur identité. Bien que l'authenticité de ces documents ne est pas vérifiée, nous ne avons pas relevé des incohérences avec ce que l'on sait actuellement sur ​​le piratage équipe RCS (nos dernières découvertes inclus). Nous sommes préoccupés, toutefois, que la libération des documents dans leur forme complète pourrait apporter risques à la source. Ce qui suit est donc un aperçu général de certaines des fonctionnalités et spécificités du système de contrôle à distance, selon ces documents. Les captures d'écran que nous EXTRAIT sont clairement marqués comme cas exemplaires "DEMO", plutôt que des opérations réelles.

Architecture d'un déploiement Hacking équipe RCS

L'image suivante suggère l'architecture logique d'un déploiement Hacking équipe RCS prototype. Dans les cas spécifiques, selon ces documents, une architecture «distribuée» peut être utilisé (voir: Annexe: Distribué Hacking équipe RCS architecture ).

Image Source: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide, de l'administrateur du système" 2013.

Les joueurs de Fonctionnement du système

Selon les documents, RCS a une série de rôles définis, chacun avec leurs propres responsabilités et les autorisations sur le système. En bref:
  • Un administrateur système semble recevoir une formation de Hacking équipe au cours de la "phase de contrat", ainsi que d'autres tâches d'administration du système, y compris l'installation et la mise à jour de réseaux de serveurs de RCS ainsi que les injecteurs de réseau.
  • Un administrateur crée des comptes, et crée deux opérations et désigne des cibles.
  • Un technicien est responsable de la création implants ("agents" inscrits dans la documentation) et la gestion des injecteurs de réseau.
  • Les analystes gèrent sorties du système et d'effectuer l'analyse du renseignement via la console RCS.

Développer et déployer des implants

Selon les documents, le logiciel peut créer une gamme complète d'implants grâce à une «usine» qui est compilé spécifiquement pour une enquête. Le technicien est responsable de la création de ces agents utilisant le Voici l'invite présenté au technicien "usine.":

Dans cette image, le technicien prépare un implant Mac OSX. Image Source: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide du technicien," 2013.
Le technicien dispose d'une gamme d'options de l'usine ainsi que la capacité supplémentaire pour utiliser Injection réseau (non représenté). Ces options comprennent:
  • Injection de réseau: via injecté trafic malveillant en coopération avec un FAI
  • Tactique injection réseau: on LAN ou WiFi
  • Demande fondu: le regroupement d'une équipe aux côtés de gouttes Hacking une application d'appâts
  • Package d'installation: un installateur mobiles
  • Exploit: exploiter basée sur des documents pour mobile et bureau
  • Installation locale: installation mobile via USB ou carte SD
  • Installation hors ligne: créer un ISO bootable pour une SDHC, CD ou USB. Cette option inclut la possibilité de dispositifs infectés hiberné et mis hors tension
  • QR Code: un lien mobile qui, lorsqu'il imagina, infecte la cible
  • Web Applet: probablement un site Web malveillant (déprécié après v 8.4.)
  • Installer le silence: un exécutable de bureau qui va installer l'implant
  • Infected U3 USB: un auto-infectant U3 USB
  • WAP Push Message: la cible sera infecté si l'utilisateur accepte le message (fonctionne sur tous les systèmes d'exploitation mobiles à part iOS)

Infection: "Agents scouts» et «placeurs pour compte»

Les documents indiquent que RCS fait usage d'un "agent de scout," communément connu comme un «validateur» qui aide à déterminer si un implant complète ("agent") doit être installé. Cet implant mince recueille captures d'écran et des informations de l'appareil pour déterminer si la cible est d'intérêt.
Les documents suggèrent que Hacking Team est explicitement préoccupé par la possibilité que leur implant pourrait devenir démasqué, et stipule que les techniciens qu'une fonction de «agents scouts" est de déterminer si le système est «sûr» pour infecter, ou si elle pourrait risquer démasquer le l'agent.
Lorsque le système est déterminée pour être sûr d'infecter, l '«agent de scout" est remplacé par l'implant plein. Selon les documents, Hacking équipe conseille aux utilisateurs d'ajouter progressivement des fonctionnalités pour les implants. Ces implants exfiltrer des données et reçoivent des instructions par un processus appelé «synchronisation».

Modules d'implants et fonctionnalités

L'implant («agent») offre une fonctionnalité clic pour demander des informations à partir de périphériques cibles. Les techniciens sont encouragés à ajouter des fonctionnalités au besoin.

Image Source: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide du technicien," 2013.
En outre, une approche plus avancée peut être prise, permettant un technicien sophistiqué pour déterminer une séquence spécifique d'activation du module lors de l'infection, en utilisant un modèle de flux graphique. Ceci permet à l'utilisateur de définir les événements qui déclenchent des actions particulières, sous-actions, des modules et des séquences.
Les documents fournissent un exemple d'une telle séquence:
Événement: L'appareil est connecté à l'adaptateur
Sous Action: Envoyer SMS, commencez position de l'exploitation forestière, désactiver un événement assortie à des changements de la carte SIM.

Image Source: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide du technicien," 2013.

Sélection des modules de surveillance disponibles

  • Fichiers accédés
  • Carnet d'adresses
  • Applications utilisées
  • Calendrier
  • Contacts
  • Type de périphérique
  • Fichiers accédés
  • Keylogging
  • Mots de passe enregistrés
  • Activité souris (destinée à vaincre les claviers virtuels)
  • enregistrer les appels et les données d'appel
  • Captures d'écran
  • Prendre des photos avec webcam
  • Chats records
  • Copie Clipboard
  • Enregistrement audio de microphone
    • Avec la détection de voix et le silence supplémentaire pour conserver de l'espace
  • Surveillance audio en temps réel ("de micro en direct:" module ne est disponible pour Windows Mobile)
  • Position de périphériques
  • URL visitées
  • Créer des appels de conférence (avec une 3ème partie silencieuse)
  • Infecter d'autres dispositifs (déprécié depuis v. 8.4)

Autres capacités

Une fois un implant est opérationnel ses opérations de collecte peuvent être mis à jour. En outre fichiers peuvent être envoyés et reçus par le dispositif.
En outre, les implants ont un capuchon de défaut sur des «preuves» de 1 Go d'espace sur le périphérique cible. Enregistrement de nouveau matériel se arrête lorsque l'espace est atteint. Les opérateurs ont également la possibilité de supprimer les données ne sont pas encore transmises sur le dispositif.

Synchronisation & données exfiltration

Le processus de synchronisation a un certain nombre d'étapes, paraphrasés ici:
  • Autorisation entre l'implant et le serveur
  • Temps synchronisation entre l'implant et le serveur RCS
  • Retrait de l'implant (si cas spécifié comme "fermé" par un technicien)
  • Implant mise à jour de configuration
  • Implant téléchargements matière envoyé depuis le serveur RCS
  • Télécharger au serveur RCS de "télécharger" matériau de repère
  • Télécharger au serveur RCS de preuves, combiné avec suppression sécurisée
  • Suppression sécurisée de preuve supplémentaire
Versions mobiles et de bureau ont des paramètres légèrement différents. Bien que les implants de bureau peuvent avoir une bande passante et des retards dans l'envoi de matériaux ajoutée, les paramètres mobiles ont des caractéristiques uniques.
Les techniciens peuvent forcer le type de canal de données (WiFi ou réseau cellulaire) que l'implant utilise pour mettre à jour. Fait intéressant, les techniciens peuvent spécifier les informations de connexion de l'APN utilisé pour exfiltrer des données . Cela permet à l'implant pour éviter des frais de données et l'affichage de la circulation à la victime. La fonctionnalité est spécifiée comme uniquement disponible sur BlackBerry et Symbian OS dans la version 9 de RCS.

Anti-analyse Fonctionnalité & Anti Forensics

Une fonctionnalité dénommée «crise» permet d'actions sur la détection de l'activité «hostile» (les documents donnent l'exemple d'un renifleur de paquets). Cette fonctionnalité peut être déclenchée par une série de scénarios et ont un certain nombre d'options basées sur l'identification des processus. Dans les versions de bureau, ces options peuvent notamment se arrêtant synchronisation, et non accrochage programmes. Pour les versions mobiles de ces options comprend pause audio, appareil photo, l'emplacement de collecte, et la synchronisation.
Un essuyez peut également être déclenchée, et selon les documents, Hacking équipe informe les utilisateurs qu'elle laissera "aucune trace" de l'implant. La désinstallation action a plusieurs caractéristiques qui pourraient être d'intérêt pour l'analyse médico-légale des dispositifs potentiellement infectés: (i) désinstallation sur BlackBerry déclenche un redémarrage automatique; (Ii) désinstaller sur les appareils Android où root n'a pas été acquise avec succès les résultats dans une invite utilisateur demande l'autorisation de désinstaller; (Iii) sur Windows Phone, désinstallation supprime tous les fichiers mais ne supprime pas l'icône de l'application dans la liste des programmes.

Signature de code et les certificats

RCS est conçu pour intégrer la signature de code lors de la création implants. Les documents suggèrent utilement Verisign, Thawte et GoDaddy comme sources de certificats de signature de code. En outre, les documents encouragent les utilisateurs à contacter le support technique Hacking équipe d'assistance pour l'obtention d'un certificat.
Interesingly, pour Symbian, les utilisateurs sont priés d'acheter un «certificat de développeur" directement à partir TrustCenter et fournit même l'URL ( https://www.trustcenter.de/en/products/tc_ publisher_id_for_symbian.htm ).
Pour infecter les téléphones Windows, les utilisateurs sont invités à créer un compte Microsoft ( signup.live.com ) et un compte Windows Phone Dev Center ( https://dev.windowsphone.com/en-us/join/ ).
Les documents indiquent que Hacking Team est soucieux d'assurer aux utilisateurs de gérer correctement le processus d'approbation (géré par Symantec) et demande aux utilisateurs de répondre rapidement à de téléphone et e-mail des communications de Symantec. Les utilisateurs obtiennent également instsructions dans la façon d'obtenir un certificat de signature de code mobile Enterprise ( https://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do )

Questions spécifiques Android

Afin d'exécuter certains de ses modules (chat, messages, écran), l'implant Android nécessite les droits root sur le périphérique. Dans certains cas, lorsque l'acquisition de privilèges root échoue, la victime peut demander manuellement pour donner accès racine de l'application. En outre, dans les cas où la racine n'a pas été acquis avec succès sur un appareil Android, la victime voit une autorisation demandant invite si une désinstallation a été déclenché.
Hacking Equipe note utilement que l'implant de fichier par défaut APK apparaît comme une application normale nommé "DeviceInfo" qui affiche les informations de l'appareil.

Anonymizer & Proxy Chain architecture

Cette image montre comment un administrateur système voit une chaîne distribuée par procuration (voir: Annexe: Distribué Hacking équipe RCS architecture ) et de l'architecture du collecteur.

Source de l'image: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide de l'administrateur du système" 2013

Licences, mises à jour

Au moment de la création d'une architecture de collection, un fichier de licence de Hacking équipe est requis par le logiciel, selon les documents. D'autres licences sont nécessaires pour pour des fonctionnalités spécifiques, ainsi que les outils d'analyse les plus développés.
Les documents suggèrent que Hacking équipe maintient un cycle de mise à jour pour ses produits. Le processus de mise à jour est effectuée par un administrateur système en utilisant les mises à jour fournies par Hacking équipe et comprend des mises à jour à la fois l'infrastructure de collecte et l'injecteur, et aux implants.

Vérification des comptes

Le programme ne semblent avoir une fonction d'enregistrement de base et les capacités d'audit, permettant aux administrateurs autorisés de consulter les journaux des actions de l'utilisateur dans tout le système, y compris les interactions avec des implants. Cette capacité semble avoir été développé pour rendre la trousse plus compatible avec les exigences de preuves pour en matériel numérique. Nous notons cependant, la facilité avec laquelle la preuve, les journaux, les implants, et "usines" peut être irréversible supprimé par les utilisateurs autorisés.

Les analystes Eye View

Cette image montre graphiquement les façons dont plusieurs appareils d'une seule cible pourrait être compromise et simultanément surveillés.

Source de l'image: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide des analystes," 2013
Les analystes peuvent effectuer des recherches sur les données à l'aide de chaînes de texte ainsi que le filtrage et les données triées. En outre, les analystes peuvent données de drapeau pour importance, ainsi que d'appliquer des règles automatiques pour signaler données.
Le stockage des données fait usage de la open source MongoDB, et de la documentation indique que Hacking équipe RCS utilise MongoDB 2.4.8.
Ensuite, également d'une instance démo, nous voyons les informations exfiltré à partir d'un ordinateur cible. Il est à noter l'utilisation d'un système de repérage codé couleur de base (rouge, vert, jaune) à la preuve du pavillon, ainsi que le type d'informations disponibles à l'analyste de chaque capture. Ici, nous voyons screenshots des opérations du programme particuliers (par exemple exécutant le logiciel BlackBerry Desktop, et Skype) ainsi que des informations de localisation. Adresses dans les informations de localisation sont identiques à l'adresse la disposition du public des Hacking Team.

Image Source: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide des analystes," 2013.
Dans l'image suivante, nous voyons la console analyste lecture d'un appel Skype intercepté.

Image Source: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide des analystes," 2013.
Dans l'image suivante, nous voyons la navigation en direct de l'arborescence des fichiers d'un système infecté. Il se agit d'une fonctionnalité qui peut être activée dans certains cas.

Image Source: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide des analystes," 2013.
L'image ci-dessous montre une carte et un calendrier tenu de la position de dispositifs infectés. Fait intéressant, dans cette image, utilisé comme une illustration pédagogique, il semble que Hacking équipe aurait pu par inadvertance révélé des informations sur une démonstration à une application de la loi des États-Unis à ses autres clients . Plus précisément, l'emplacement de l'appareil "Jimmy Page" sur cette carte est dans l'accès contrôlé stationnement du shérif du comté de Los Angeles (et semble être estampillés avec la date 6 septembre 2013 ou 3 Décembre 2012). Il peut être une coïncidence que Hacking Team a été largement représenté au World ISS lieu plus tard en Septembre 2013 aux Etats-Unis.

Image Source: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide des analystes," 2013.
L'utilisation de Google Maps dans l'outil fournit une vue graphique des cibles; mais il peut présenter une violation grave de la sécurité opérationnelle pour les clients, y compris trahir données de localisation pour les enquêtes en cours. Même si certaines des données du point ne est pas transmis, Google a besoin de connaître la carte barycentre (et donc l'emplacement cible) prestation de certains de ces données cartographiques.
Il est possible que l'équipe RCS Hacking expose les données d'enquête très sensibles de clients gouvernementaux Google comme ils font usage de l'API Google Maps pour afficher cette carte.
En outre, le trafic de Google Maps, même en utilisant SSL, a été soumis à succès analyse du trafic par des tiers dans le passé. Alors que nous ne avons pas démontré cette vulnérabilité, nous croyons que cette possibilité mérite une enquête plus approfondie.
Au-delà de la collecte de données, les documents indiquent que Hacking Team offre une boîte à outils de gestion des enquêtes de base y compris l'analyse de liaison de base et d'autres caractéristiques à l'achat d'une licence supplémentaire. Le logiciel peut construire très analyse de base de lien en utilisant "Peer" (contact entre les entités comme les appels) et «savoir» (un ou deux individus se trouvent dans d'autres répertoire) liens. Le système tente automatiquement de créer des liens d'identité lorsque les détails sont partagés entre les entités (par exemple un numéro de téléphone). Les séries chronologiques et les données de localisation peuvent également être affichées.

Source de l'image: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide des analystes," 2013

Terminologie en évolution

Les documents suggèrent que Hacking équipe a fait un certain nombre de changements dans la langue qu'il utilise pour décrire ses outils. Nous avons constaté par exemple que dans v7.6 et ci-dessous, ils ont utilisé le terme "Backdoor" pour se référer à leur implant, mais a changé le terme en version 8.0 et au-dessus de «Agent». De même, ils ont changé le terme «Backdoor classe" à " Factory "dans le même laps de temps.

"Invisibilité"

Selon les documents, Hacking équipe apparaît à fournir aux clients avec un «Rapport d'invisibilité" pour son solultion RCS. Par exemple, nous avons examiné la "Version 9.0 - Rapport d'invisibilité» pour le programme d'installation silencieuse, l'application fondu, Réseau Injector INJECT-EXE attaque, et hors CD ".
Le document informe les clients: essais ont été effectués sur un 64-bit Windows 7 installation par défaut.
Image Source: "Version 9.0 - Rapport Invisibilité," non datée.
Image Source: "Version 9.0 - Rapport Invisibilité," non datée.

Conclusion

Hacking système de contrôle à distance de l'équipe est un outil de surveillance de logiciels malveillants commercialisé pour une utilisation "d'interception légale". Nous avons identifié et analysé implants RCS Android qui avaient leurres avec un sous-texte politique en proposant des objectifs dans le Gouvernorat de Qatif de l'Arabie saoudite. L'analyse de ces implants a révélé une gamme de fonctions de surveillance.
Dans les dernières années, nous avons déniché deux Gamma Group et Hacking équipe , exposer leur prolifération mondiale, et mettant en évidence les technologies et les tactiques qu'ils utilisent. Notre intérêt pour ces groupes est pas parce qu'ils créent des implants les plus sophistiqués . En effet, depuis l'incident Aurora en 2009, il ya eu de nombreux rapports publics de logiciels malveillants sophistiqués utilisés par les États-nations. Par exemple, Turla, une campagne attribué à la Russie, a été décrit comme «l'un des programmes les plus complexes de cyber espionnage découverts à ce jour." Campagnes supplémentaires de la note incluent Careto, liée à l'Espagne [PDF], et Miniduke . Pendant ce temps, une analyse approfondie et le débat public ont été consacrés à l'Stuxnet, Duqu et Flame, qui sont prétendument un produit de États-Unis et la collaboration israélienne.
Ces à fort impact (et le coût généralement élevé de développement) kits d'implants semblent tous être utilisés exclusivement par les pays, ils sont attribués à, et sont conçus pour effectuer des intrusions ciblées.
Hacking équipe et le groupe Gamma sont différents pour plusieurs raisons. Premièrement, leur logiciel est disponible à tous, mais quelques pays, à condition qu'ils paient. Deuxièmement, leur logiciel est commercialisé à cibler la criminalité quotidienne et «menaces de sécurité," alors que les campagnes soutenues par l'État que nous avons décrites ci-dessus sont conçus pour soutenir les opérations d'espionnage contre endurcis, cibles de grande valeur.
Ce type de boîte à outils extrêmement invasive, une fois une capacité boutique coûteuse déployée par les services de renseignement et les militaires, est maintenant disponible à tous, mais une poignée de gouvernements. Une hypothèse sous-jacente est que les clients qui peuvent payer pour ces outils seront les utiliser correctement, et surtout à des fins strictement supervisés, à des fins juridiques. Comme notre recherche a montré, cependant, en réduisant considérablement le coût d'entrée sur la surveillance invasive et dur-à-trace, l'équipement réduit le coût de cibler les menaces politiques pour ceux qui ont accès à Hacking équipe et en groupe Gamma outils.

Remerciements

Seth Hardy, Sarah McKune, Marcia Hoffman, Sebastian Porst, Masashi Crète-Nishihata, Bill Marczak, Ron Deibert, Human Rights Watch, Abeer Allam, et plusieurs journalistes et des chercheurs qui ont été très généreux de leur temps.

Annexe A: Distribué Hacking équipe RCS architecture

Cette image montre une infrastructure de collecte Hacking équipe RCS distribué, selon les documents.

Source de l'image: "Hacking équipe, RCS 9: La suite de piratage d'interception gouvernementale, Guide de l'administrateur du système," 2013

Annexe B: Liste des commandes »de rilcap '

Commandes fournie par:
/ System / bin / rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93
vol tuer le démon volume (vold)
blr
mount / système en lecture seule
blw
mount / système en lecture-écriture
rt
clone auto à / system / bin / rilcap avec des autorisations 04755
qzx [commande] [args]
passe argument pour system ()
FHC [source] [destination]
copie de fichier
pzm [Les drapeaux d'autorisation] [fichier]
modifier les autorisations de fichiers
QZS
commandes de lecture de fichier nommé QZS et de les exécuter (execv / system / bin / sh ...)
reb
redémarrage
adm [nom]
ajoute [nom] à l'appareil-policies.xml
ru
dissocier auto
OFL [Utilisateur] [utilisateur] [fichier]
modifier le propriétaire du fichier
Dakota du Sud
vérifier et montage carte sd (mais il a chemin en dur / mnt / sdcard, donc ne fonctionnera pas toujours)
fb [fichier]
copies de tampon de trame dans un fichier (captures d'écran)

Notes

1 http://developer.android.com/reference/android/Manifest.permission.html
2 https://developer.android.com/about/dashboards/index.html


 =================================================
 https://citizenlab.org/2014/06/backdoor-hacking-teams-tradecraft-android-implant/

警察ストーリー:ハッキングチームの政府監視マルウェア

2014年6月24日
 PDF版をダウンロードし 、私はにIssuuで読む
著者:
モーガン·マークイス·ボワール、ジョン·スコット·Railton、クラウディオGuarnieri、とケイティKleemola
このレポートのメディア報道については、 エコノミストがAP通信は有線VICE国際ビジネス·タイムズフォーブスArs TechnicaのカスペルスキーのThreatpostはスラッシュギアEngadgetのヘルプネットセキュリティベルジェCIO今日アメリカの声(VOA )コンピュータの世界Infosecurityマガジン 、およびスレート
読むアラビア語版/النسخةالعربيةサイバーアラブ人によって翻訳さを
左の新聞は少し駄々をこねることがあります
しかし、駅の連中は、彼らはたわごとを与えていない
発送は「あなたは「邪悪な何かをdoinのしていますか?」と呼んで
「いいえsiree、ジャック、私たちは「チケットを引けるんだ」
警察トラック、デッド·ケネディー(1980)

要約

  • ではパート1 、私たちはハッキングチームに属性を新たに発見されたAndroidのインプラントを分析し、餌の内容と攻撃コンテキストの政治的サブテキストを強調表示します。
  • パート2 、私たちは決して、前に出版詳細にハッキングチームのリモートコントロールシステム(RCS)とオペレータtradecraftの機能とアーキテクチャを公開。

はじめに

このレポートは、ハッキングチームのAndroidインプラントを分析し、それらのリモートコントロールシステム(RCS)傍受製品がどのように機能するかを説明するために新しい文書を使用しています。 この作品は、上に構築私たちのこれまでの研究 「合法的傍受」マルウェアの背後にある技術や企業へ。 この技術は、(例えば、ネットワーク監視など)、パッシブ受信および物理検索する間のギャップを埋めるように市販されている。 本質的に、それは、政府に売却マルウェアである。 電話の監視と物理的な検索のとは異なり、ほとんどの国は、この新しい電力の使用のためのいくつかの法的なガイドラインと監督を持っている。 ガイドラインと監督の欠如に照らして、一緒にその秘密の自然と、この技術は誤用に独自に脆弱である。 ハッキングチームとのような企業の手でツール、およびそれらの増殖を分析することによりガンマグループ 、我々はこれらのツールは、説明責任の方法で使用されており、人権と法の支配の基本原則に違反しないことを確実にするための努力を支援するために願っています。
今年初めに発表した報告書では、我々は結果を提示グローバルスキャンの努力をし、特定し、21カ国をハッキングチームのリモートコントロールシステム監視ソリューションの展開に。 また、他の研究者と一緒に、私たちは "合法的傍受」ソフトウェアは抑圧的な政権によって政治的目標に対して使用されている例の範囲を発見した。 政治と市民社会のターゲットが含まれているモロッコのMamfakinch 、人権活動UAEのアーメド·マンスール 、及びESAT 、エチオピアに焦点を当て、米国ベースのニュースサービスを。 これらのケースの全てにおいて、「法執行」のために市販のツールは政治的ではなく、 セキュリティの脅威に対して使用した。 さらに他の場合には、同様にマレーシア [PDF]、我々は政治的な標的を示唆する餌文書や播種を発見した。

パート1:Androidのハッキングチームバックドアサウジアラビア

サウジアラビアとカティフで抗議

サウジアラビアはアラブの春に別の場所に匹敵抗議を見ていないが、それは主にアッシュ-Sharqīyah州で、2011年以来、抗議を経験している。 人口動態の圧力、住宅のコスト、および失業、から女性と少数派の権利の問題に至るまで政治的緊張のための多くの理由があります。 県はスンニ派与党政権によって知覚される政治的、文化的疎外オーバー長年の不満を持っている主にシーア派、です。 初期の2011年に、バーレーン政府は激しくサウジアラビア軍の支援を受けてシーア派の抗議行動を抑制した際に、これらの不満が拡大された。
抗議は、その後、多くの分野に広がっ主にシーア派カティフ庁舎に含む 2011年には、シーア派のほとんどのデモ参加者は、最初はむしろ、他のアラブ諸国に提唱政権-変化よりも、改革を要求しているように見える。 興味深いことに、カティフは、より大きな政治的、経済的参加を要求した抗議行動に応答して、1979年に広範囲に抗議の中で最も有名な、シーア派の抗議の歴史があり、政権は大規模な経済的譲歩を提供。 2011年には、しかし、当局はと答えた暴力と逮捕著名なシーア派人物の。 抗議は、負傷したと他の人は、伝えられるところで殺さヒューマン·ライツ·ウォッチによると、治安部隊による。 この弾圧は、デモ参加者の要望をシフトに貢献している可能性があります。 今日、いくつかは明示的に私たちと話をした最近の進展に直接お馴染みの研究者やジャーナリストによると、世俗的な言語を使用して政権交代を要求する。 炎症反応のように説明するかもしれないもので、サウジ当局はまた、率直なと非常に目に見えるシーア派シェイクを逮捕した。
「...検察官は、彼が死刑宣告が、死体がポールから絞首刑にされることによって汚されているほとんどの凶悪犯罪のためのシャリア法で義務付けられて追加の罰だけでなく直面要求した。 " - ロイター
いくつかのシーア派の間でセキュリティサービスに対する暴力を伴ってきたエスカレーションは、「暴動鎮圧、「逮捕、とを含む厳しい措置、正当化するために政権によって使用され死亡を含む文章の容疑でデモ参加者は「治安を。「その他なっているであったと多くのシーア派によって主張された場合に、イランに代わってスパイ行為で起訴政治的動機
人権Adalaセンターのような、疑惑の侵害をカタログ化している人権団体は、対象と正式な団体として登録する機能が拒否されたURLブロッキングを 、と持っていたスタッフは嫌がらせと投獄 カティフを報告しようとしてジャーナリストがされて入るのをブロックし、定期的に脅威と政府の圧力を受ける。
ソーシャルメディアや携帯電話は、デモ隊が彼らのメッセージを共有するために、ペンネームのアカウントを使用してのように、対策を講じて、抗議の編成方法の重要な部分である。 それにもかかわらず、イベントに慣れている人によると、デジタル運用上のセキュリティ慣行は、多くの場合、断片的であり、セキュリティサービスの機能が一致しません。

サウジアラビア監視、監視と情報管理

サウジアラビアは、ユニークで複雑なセキュリティ環境であり、そのセキュリティサービスは、役割の範囲を果たしている。 一方で、サウジアラビアは敵対グループ、過激派や他の政府から否定できない国内外のセキュリティの脅威に直面している。 一方、政権を制御し、反対意見と政治的多元を抑圧するために、その試みに非常に積極的になっている。
サウジアラビアのセキュリティサービスは、国の電子情報環境を制御するための公式·非公式国家権力の楽器の範囲を利用する。 政府·維持インターネットチョークポイントで始まり、状態ブロック、ISPに、政治的、宗教的、文化的なコンテンツの広い範囲を拡張する。 これはどうか、社会的な媒体を含む、特定のユーザーまたは全部プラットフォーム さらに拡張、状態は(広義の)ニュースサイトは当局に登録する必要があります。 リスク厳しい罰則を登録していない未登録のオペレーターながら登録されたウェブサイトは、広範な規制の対象となっている。 サイトの運営者は、罰金、懲役、とまつ毛のような体罰の脅威の下、自己モニター​​と適度なコンテンツに奨励されています。 さらに、抗サイバー犯罪法案もされているオンライン対話訴追するために使用されるほとんどの社会が許容政治的発言を検討する。
移動監視の公共の使用は、多くの社会は非常に不愉快見つけるだろう社会統制のフォーム内に延びている。 それが彼らの有効にするためにシステムを実装することを発表したとき例えば、政府は、国際非難を獲得した男性の保護者を自分のケアの下で女性の交通行動を監視すること。 古い許可スリップベースのシステム(「黄色のカードを」)の交換、男性の保護者は、女性が国際空港の敷地内に到着したときにテキストメッセージを受信女性が旅行に許可されているかどうかを尋ねる、。
インターネットやソーシャルメディアのユーザーが相互に自己検閲し、レポートすることが奨励される。 政府は、公共広告に従事するキャンペーンの両方の行動を奨励するために、それは彼らが見ている、と聞いていることをサウジ国民に明らかにしている。 具体的には、状態は、再共有のための具体的な罰則を実施している、個人的にまたは公に、コンテンツが不愉快なものとみなさ。 法律の明示的なツールを使用することに加えて、それが広く状態が奨励していると考えられる親政府の個人の「電子軍」プロ政権の声を持つソーシャルメディアでの会話を圧倒し、反対者に嫌がらせをする。
宗教的なテーマを含むスピーチは、政府が死刑と体罰などの深刻な宗教的な電荷を、使用する意思があるように、特に危険であり、引き渡しのような国際法学のツール、政治的、宗教的なために、その厳格な規範に違反した者たちを拘留し、処罰する、そして文化的なスピーチ。
2つの注目すべきケースでは、サウジ自由党ディスカッションフォーラムの運営者は、最終的に刑を宣告された懲役10年と1000まつげ宗教改革の議論に関するフォーラムを維持するために。 検察は彼の実行を要求したので、これは一種の減少であった。 多くの同様のケースは、様々な電荷を使用して、によって報告されている人権団体コメンテーター。
これらの措置は政治演説に意図的に萎縮効果を持っており、定期的に批判の対象である国際人権コミュニティ それにもかかわらず、ソーシャルメディアは政治的なスピーチのための一次出口のまま。 他の人が彼らの匿名性を維持するために偽名やその他の技術的手段を使用しながら、多くのユーザーは、いくつかの自己検閲の程度、または間接的なスピーチを練習。 禁止されたコンテンツにアクセスするために、仮想プライベートネットワーク(VPN)を使用することも一般的である。 これに応答して、セキュリティサービスは、ポスターのマスクを解除するために警察と捜査力を使用し、時には被拘禁者(複数可)の名前は秘密にされて逮捕した後、激しく、それらを罰する。
サウディアアラビア電話の使用は持って170%の普及率をの推定平均で、 個人所得の30% 、インターネットカフェを監視するように、その結果、2014年に携帯電話やインターネットのコストに費やさインターネット監視の古いメカニズムをされている置き換え。 個々のユーザは、モバイルデバイスを登録するときに本当のアイデンティティを使用する必要があり、その状態は暗号化されたトラフィックに可視性を求めていることは明らかであるされている。 2010年には、例えば、サウジアラビアに成功サウジ-配置されたサーバーにの頭の良い-プロ-現状維持行った後にBlackBerry通信へのアクセスを得サウジネットワーク上のデバイスを可能にする さらに最近では、暗号化通信のための政府の食欲はサウジ通信会社Mobily社からの序曲を受け元気Marlinspike氏、セキュリティ研究者、開発者、によって明らかにされた暗号化されたトラフィックにアクセスする際に彼の援助を求めて 同社はモバイルチャットクライアントの範囲(Viberの、LINE、WhatsApp)だけでなく、ツイッターのモバイル版にアクセスするために(彼らは言った、サウジ政府の要請に)インターセプトソリューションを求めていた。
モバイルマルウェアの使用は、それらの集団が使用している技術と一致するように、サウジアラビアに限定されるものではなく、この欲求の一部として理解することができる。

播種:政治サブテキストとルアー?

ハッキングチームによって開発された「合法的傍受」マルウェアへの当社の継続的な研究の一環として開発された署名を使用して、我々は不審なAndroidのインストールパッケージ(APK)を同定した。 ファイルには、ハッキングチームのペイロードにバンドルされている「カティフ今日(القطيفاليوم)ニュース·アプリケーションの機能性コピーだった。 我々が検討している文書が正当なサードパーティのアプリケーションファイルがインプラントにバンドルされている場所ハッキングチーム」、インストールパッケージ」としてモバイルインプラントのこの種を指していることを示唆している(参照: 開発とデプロイインプラント )。 Androidのパッケージインプラントと戦術のこの種はを含む他の標的のマルウェア攻撃(コマーシャル「合法的傍受」製品を使用しない)に見られているLuckyCatキャンペーン 、およびに対する攻撃におけるチベット活動家で、グループウイグルコミュニティ
本物の 「カティフ今日のアプリは、Android(ダウンロードされ、ここで )、サウジアラビアのカティフ庁舎への特別な関連性とアラビア語でのニュースや情報を提供するiPhoneアプリケーション。

Google Playのアプリストアでカティフ今日
カティフへの接続は、上記のようにカティフで抗議の最近の歴史を考えると、興味深いものです。 私たちは、このマルウェアの標的とグループまたは個人の同一性を決定する立場にはない、しかし、我々は、攻撃が東部サウジアラビアの政治的抗議にリンクすることができると推測している。

チームのサンプルをハッキング

悪質なAPK、QatifNews.apkは、以下のハッシュがあります。
8e64c38789c1bae752e7b4d0d58078399feb7cd3339712590cf727dfd90d254d
VirusTotalデータベースへの最初の提出時に、ファイルはVirusTotalにゼロ50のうち、ウイルス対策製品によって検出されました:
0/50 2014年3月11日9時28分49秒2014年3月11日9時28分49秒
これは、同じ名前のAPKはバーレーン、カティフでシーア派への大きな関心の国にリンクTwitterアカウント(@_bhpearl)で5日後にTwitterで播種したことが表示されます。

(削除されたので)@_bhpearlによってリンクと一緒にツイート
ツイートのリンクはgoo.glサービスを使用して短縮された。 これらに解決:
https://itunes.apple.com/app/qatiftoday-alqtyf-alywm/id584947120?mt=8

https://dl.dropboxusercontent.com/s/fw92fsu9r694iqc/QatifNews.apk
iTunesストアへの最初のリンクを短縮リンク上の18841回のクリックがあり、合法的な表示されます。 第二リンクは、しかし、Androidのアプリケーションストアで本物のアプリケーションにリダイレクトしません。 その代わりに、以来、削除されたDropboxのファイルにリダイレクトします。 短縮二リンク上での分析の検討は興味深いです。 わずか13回のクリックがあった。 3は、サウジアラビアにいる間私たちは、研究者としてこれらのクリック(米国とドイツのもの)の7を割り引くことができます。 台湾のワンクリックでは、VPN、またはセキュリティ研究者である。

Googleの短縮サービス解析
我々はDropboxの上のファイルが同じAPKであることを確認することはできませんが、私たちはつぶやきのタイミング、およびAndroidアプリケーションを共有するための非標準的な方法の使用を疑う、偶然ではない。

悪質なAPKコード署名

悪質なAPKは、次の証明書によって署名された。
発行者:
DN:C = US、O =サン、OU = JavaSoftの、CN =サーバー
C:US
CN:サーバー
O:日
OU:Javaソフトウェア
件名:
DN:C = US、O =サン、OU = JavaSoftの、CN =サーバー
C:US
CN:サーバー
O:日
OU:Javaソフトウェア
シリアル:1369041295
SHA256指紋:8ab03660fe537994b207e900f8e2f5711c08e61232e167ce97e52bb3fd77757f
ハッキングチームのインプラントのためのコード署名の実践の広範な議論は、セクション」のドキュメントで後述しコード署名と証明書 」。

追加のサンプル

私たちは、同じ証明書で署名され、追加の6つのサンプルを識別することができました:
e85db2d92ae97f927905d6e931a0cb1f5b6def2475c23e023fe617249dddddb4
0b657e29a3e249b414fbde3a85e7be0829ddaad49b8ff2832350cfe5af190ba1
535070b5bd076f137052eb82257f16db4c3ba3e3516970b8934524e4a750a8f1
748e04aee9ec1a82abd2f0a9d3ddc33925a8a74b5058088dbf3d6a3c1e9698d8
8d2012d44208e79ea6e511847f86af0c45271e6f678ccc19639fe6c2eee75449
e6a77c8bf232636a505c31fae0215789caf8d73682102304a2541513de945526
このリスト(... DB4)の最初のサンプルは次のようにVirusTotalに提出されました:
日付 ファイル名 投稿者ID 投稿者国
2012年8月28日10時06分01秒 rcs.apk 18e48a9b(APIの) ドイツ
興味深いことに、これは、ファイルのこのグループからVirusTotalに提出する最初のサンプル(年代順)であった。 名前「rcs.apkは「ハッキングチームの目標と監視ソリューション、の名前の省略形であるように思われる」遠隔制御システム。」

パーミッション

オリジナルのアプリは、以下のアクセス許可が必要です。
android.permission.INTERNETの
android.permission.GET_ACCOUNTS
android.permission.WAKE_LOCK
android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
com.google.android.c2dm.permission.RECEIVE
com.aymax.qatiftoday.permission.C2D_MESSAGE
android.permission.USE_CREDENTIALS
android.permission.WRITE_EXTERNAL_STORAG​​E
android.permission.ACCESS_NETWORK_STATEの
android.permission.VIBRATE
インプラントは、それをユーザーのGPS位置を監視し、より多くの、SMSメッセージの読み取りと書き込み、コールを処理する能力を与える次の権限を要求する。
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_WIFI_STATE
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.FLASHLIGHT
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALENDAR
android.permission.READ_CONTACTS
android.permission.READ_LOGS
android.permission.READ_PHONE_STATE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.USER_PRESENT
android.permission.WRITE_SMS
以下の許可が他の同定されたハッキン​​グチームアンドロイドインプラントのいくつかのことで要求されました:
android.permission.WRITE_APN_SETTINGS(アクセスポイント名設定の書き込み)
この値は、アプリケーションがAPN(アクセスポイント名)、電話がデータにアクセスすることができ、外部ネットワークを識別し、携帯電話上で設定を変更することができます。 この値は、 いない Androidの開発者リファレンスのサードパーティ製のアプリケーションで使用するためのマークが付けられます。 1この機能の詳細な説明については、以下を参照してください。 他の能力を

行動&ネットワークコミュニケーション

アプリケーションの動作を分析した後、我々はさらに、ファイルの悪質な性質を確認することができました。
実行すると、アプリがにPOSTを実行します。
http://iphone.al-motamiz.com/qatiftoday/gcms/register.php
このサーバは、モントリオールでのiWebでホストされています。
IPアドレス 174.142.97.245
ホスト server.5edma.com
場所 canadaflag CA、カナダ
シティ モントリオール、QC H3E 1Z6
組織 ボーンデジタル·テクノロジーズ
ISP ボーンデジタル·テクノロジーズ
数AS AS32613 iWebのテクノロジー株式会社
私たちは、これがおとりアプリケーションによって正当な通信であると信じる。
我々はまた、二つの追加のサーバを指定して、コマンドおよびコントロール(C2)通信を観察した。 私たちは、後にインプラントの設定ファイル(:参照から復号化されたテキストで同じIPアドレスを見つけた難読化/インプラントの設定 )。 ちなみに、これはどのようにハッキングチームインプラントストアC2アドレスと一致した。
http://91.109.17.189/
http://106.186.17.60/
最初のサーバーは、ドイツでLEASEWEBでホストされている:
ホスト 91.109.17.189
場所 germanflag DE、ドイツ
組織 LEASEWEBドイツGmbH社(以前netdirekt E。K.)
数AS AS16265 LEASEWEB BV
第二は、日本ではLinodeの上でホストされています。
IPアドレス 106.186.17.60
ホスト li528-60.members.linode.com
場所 japanflag JP、日本
組織 KDDI株式会社
数AS AS2516 KDDI KDDI株式会社
前の仕事 、私たちは私たちの前に、報告で明らかになったハッキングチームプロキシチェーンの一部としてLEASEWEBとLinodeのIPアドレスの両方を同定した。 同時に、私たちも、同じグループに属していた第三のIP(206.190.155.40)を同定した。 この知見は、間接的に、以前のレポートで使用される方法を検証し、同じコレクションインフラの可能性が高い一部として3番目のIPを強調しています。
91.109.17.189
206.190.155.40
106.186.17.60
この追加のIPは、ホスティングプロバイダSOFTLAYERテクノロジーズが所有するブロックである。

エクスプロイト発根

悪質なインプラント)(以下のファイルをstatをしようとします。
は/ dev / exynos-MEM
は/ dev / DspBridge
は/ dev / S5P-SMEM
この動作は、知られている(CVE-2012から6422)妥協デバイスの物理メモリへの書き込み権限なしでユーザーに許可利用すると一致している。 このエクスプロイトの詳細な分析でアジマスSecurityが提供されてここに
このエクスプロイトは、Androidオペレーティングシステムの最新バージョンに対して有効ではないだろうが、利用者の割合が高いがまだ脆弱である可能性が従来のバージョンを使用しています。 2

画像クレジット:グーグル

発根のAndroidデバイスの背景

のsuバイナリとスーパーバイザアプリケーション :Android携帯電話を発根すると、通常、2つのコンポーネントが含まれます。
のsuバイナリをインストールするには、デバイスの製造元のいずれかがアンロックされるブートローダーを許可しているか、この脆弱性は、一時的にアクセス権を昇格するために利用されている。 のsuバイナリがインストールされると、アプリケーションは、他の目的のためにその権限を昇格させる制御された方法でそれを使用することができます。
SUは非常に伝統的なUnixのようなものです - この1、ルートを含め、ほとんどの場合、中に - それを呼び出すアプリケーションは、彼らが呼び出している実行ファイルのそれにその権限を昇格だから、SUIDフラグを使用しています。 Android上で各アプリケーションは、それがために権限を持っていないリソースにアクセスするアプリケーションを防ぐために、独自のユーザーによって実行される。
スーパーバイザー·アプリケーション(通常Superuser.apk)はSUバイナリが、ユーザーに通知し、それらが権限昇格を承認または拒否することができます上司を呼び出すことができるように意図的に自分の携帯電話をルート人々によって使用されます。 アプリケーションは、ルートアクセスを必要とするアクションを実行するとこのように、でも根ざし電話を持つユーザーはまだ通知されます。

これはRCSのAndroidインプラントに適用する方法

この場合、脆弱性は、最初にルートアクセス権を取得するために利用されており、バイナリは削除されます。 IT /システム/ binに/ rilcap(は/ proc /自己/ ex​​eファイルを介して)に自身をコピーし、その所有者を設定するには、ルートだけでなく、実行可能ファイルとSUIDフラグを設定することが。 これは永続的なrootアクセスが可能になります。
/システム/ binに/ rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93

RILCAP機能

バイナリの検査は、単純な文字列の暗号化などの基本的な技術は、分析を妨げるために使用されることが明らかになった。
暗号化アルゴリズム:
文字列をbとした場合[0] ...、B [n]は、
LEN =のB [0] ^ B [1] ^ B [2]
bについて[i]とB [3] ...、B [n]は:
B [i]は= bの[i]は^ B [1]
B [i]は=の(b [i]が - [1] b)のに0xff&
B [i]は= bの[i]は^ B [0]
バイナリは、次の機能が含まれています。
  • その後スクリーンショットを組み立てるために使用することができます - フレームバッファ(は/ dev /グラフィックス/ FB0)からの情報をキャプチャ
  • (自動的に検出して、コメントを追加したときにストレージデバイスをマウント)ボリュームデーモンを殺す
  • 読み取り専用または読み取り書き込みとしてマウント/システム
  • SDカードのためには、/ proc /マウントを確認
  • システムを使用して、権限のないアプリケーションからのコマンドを実行します()
  • EXECV /システム/ bin / shのを使用してファイルからコマンドを実行します
  • デバイス管理などのアプリケーションを追加する/data/system/device-policies.xml変更
  • ファイルのコピー
  • ファイルのパーミッションを変更します。
  • 変更ファイルの所有者
  • 自己のリンク解除
  • デバイスを再起動します
唯一の権限昇格のユーザに通知し、それを許可または拒否する選択肢を提供するために何スーパーバイザアプリケーションがありません - この機能は、SUバイナリが同じようRILCAPを動作させることができます。
コマンドのの完全なリストが記載されています付録B

機能性

グループとしてのサンプルを見ると、インプラントの監視能力を示す行動の範囲を特定した。
サードパーティチャット/音声のアプリにアクセスしようとします。
私たちは、アプリは、人気のソーシャルメディアに格納されているローカルファイルにアクセスチャット、FacebookやViberの、WhatsApp、スカイプ、LINEとQQなどのアプリを呼び出そうとすることがわかった。
/data/data/com.facebook.katana/databases
/data/data/com.facebook.orca/databases
/data/data/com.skype.raider/files/shared.xml
/data/data/com.whatsapp/shared_prefs
/data/data/com.whatsapp/shared_prefs/RegisterPhone.xml
/data/data/com.viber.voip/files
/data/data/com.tencent.mm/MicroMsg/
/data/data/com.viber.voip/files/preferences/reg_viber_phone_num
/data/data/jp.naver.line.android/databases/naver_line_myhome
/data/data/jp.naver.line.android
/data/data/jp.naver.line.android/databases
また、アプリは乗っ取ったユーザのメールアカウントに属するローカルに保存されたメールファイルにアクセスします。
/data/data/com.google.android.gm/databases/mailstore.{username}@gmail.com.db

難読化/インプラントの設定

バックドアの内部に追加の検査を防止するために、ソースコードが重くの使用を介して難読化されているようDexGuard (0R類似)、文字列全体のクラスおよび資産の暗号化を提供することができる、かなりの逆を遅くし複雑エンジニアリングプロセス。
インプラントを分析しながら、我々は、設定ファイルをデ難読化。 以下では、(:より完全なリストについては、を参照してくださいRCSにおける機能性と一致する行数を強調インプラントモジュールおよび機能 )。
私たちは、インプラントの監視機能に関連するデバイス情報等を構成設定、チャット "、ライブマイク「オーディオ録音、カメラ、ビデオ、キーロギング、の範囲を見つける。 (:参照我々はまた、以下に説明する抗分析機能を提供「危機」のモジュールの存在に注意アンチ分析機能&アンチフォレンジックを )。
{“record”:true,”compression”:5,”buffer”:512000,”module”:” call “},{“module”:” camera “,”quality”:”med”},{“module”:” chat “},{“module”:” clipboard “},{“module”:” conference “,”number”:””},{“synchronize”:false,”position”:true,”module”:” crisis “,”mic”:true,”network”:{“processes”:[],”enabled”:false},”call”:true,”camera”:true,”hook”:{“processes”:[],”enabled”:true}},{“module”:” device “,”list”:false},{“module”:” keylog “},{“module”:” livemic “,”number”:””}
我々はまた、場所、スクリーンショットの取り方、およびブラウジング活動モジュールであるように見えるかを参照してください。
{“cell”:true,”gps”:false,”wifi”:true,”module”:” position “},{“quality”:”med”,”module”:” screenshot “,”onlywindow”:false},{“module”:” url “}
我々はまた、インプラントが日付範囲(「datefrom」、それが求めているメール、SMSおよびMMSメッセージ用の「dateto」を指定するためのフィルタで展開されているように見えることがわかった。
{" メール ":{"フィルタ":{"datefrom": "2014年3月10日0時00分00秒」、「MAXSIZE":100000、 "dateto": "2100年1月1日00:00:00″,”history”:true},”enabled”:true},” mms “:{“filter”:{“datefrom”:”2014-03-10午前〇時00分00秒」、「dateto ":" 2100年1月1日00:00:00″,”history”:true},”enabled”:true},”module”:”messages”,” sms “:{“filter”:{“datefrom”:”2014-03-10 00:00:00 "、" dateto ":" 2100年1月1日00:00:00」、「歴史」:真}は、「「使用可能:真}}
私たちは、そのC2サーバとともに、どのようにインプラントexfiltratesデータに関する情報をも参照してください。 興味深いことに、インプラントは、デバイスの接続(例えば無線LAN、セルラーネットワーク)を監視し、接続タイプを選択し、速度、帯域幅を制限することが可能であると思われる。 これらは、我々はインプラントのネットワーク通信で観察同じサーバであることに注意してください。
{“desc”:”SYNC”,”subactions”:[{“host”:” 91.109.17.189 “,”mindelay”:0,”stop”:true,” cell “:true,”action”:”synchronize”,” wifi “:true,”maxdelay”:0,” bandwidth “:500000},{“host”:” 106.186.17.60 “,”mindelay”:0,”stop”:false,”cell”:true,”action”:”synchronize”,”wifi”:true,”maxdelay”:0,”bandwidth”:500000}]}]}

パート2:ハッキングチームRCS操作

我々は解放された後、研究 、今年初めにハッキングチームのを、私たちはハッキングチームが顧客に提供してハッキングチームのRCSのセットアップおよび設定操作に関する匿名の個人文書を送った。 文書は、我々は、文書の原点として知識がない、と誰でもそれらを送ったことは自分の身元を隠すための措置を取った秋2013年から現在までに表示されます。 これらの文書の信憑性は未検証ですが、我々は現在、ハッキングチームRCS(私たちの最新の知見を含む)について知られていることと矛盾は確認されていません。 私たちは、彼らの完全な形式で文書を解放することはソースにリスクをもたらす可能性があること、しかし、懸念している。 以下では、 これらの文書によると 、このようにリモートコントロールシステムの機能と仕様の一部の一般的な概要です。 我々は抜粋のスクリーンショットは「デモのコピーではなく、実際の運用としてマークインスタンスから明らかにします。

ハッキングチームRCSの展開のアーキテクチャ

次の図は、プロトタイプのハッキングチームRCS展開の論理アーキテクチャを提案する。 具体的な事例では、これらの文書によると、「分散型」アーキテクチャを使用することができます(参照: 付録:ハッキングチームRCS分散アーキテクチャを )。

イメージソース:「ハッキングチーム、RCS 9:政府の傍受のためのハッキングスイート、システム管理者ガイド」、2013年。

システム運用の選手

文書によると、RCSは、自分の責任と権限を持つ各システムで定義されているロール、のシリーズがあります。 簡単に説明すると:
  • システム管理者は、「契約フェーズ」のほか、インストールとRCSサーバー·ネットワークなどのネットワークインジェクタを更新するなど、他のシステム管理タスク、中にハッキングチームから訓練を受けるように思われる。
  • 管理者がアカウントを作成し、両方の操作を作成し、ターゲットを指定します。
  • 技術者は、(ドキュメントの"薬"という名前)のインプラントを作成し、ネットワークインジェクタを管理する責任を負う。
  • アナリストは、システムからの出力を処理し、RCSコンソール経由でインテリジェンス分析を行う。

インプラントを開発とデプロイ

文書によると、ソフトウェアは、調査のために特別にコンパイルされる「工場」を通じてインプラントの完全な範囲を作成することができます。 「工場」 技術者は、ここで使用して、これらの薬剤を作成するための責任がある技術者に提示プロンプトです。

この画像では、技術者は、Mac OSXのインプラントを準備している。 イメージソース:「ハッキングチーム、RCS 9:政府の傍受のためのハッキングスイート、テクニシャン者ガイド」、2013。
技術者は、工場からのオプションの範囲だけでなく、ネットワーク·インジェクション(図示せず)を使用する付加的な能力を有している。 これらのオプションは次のとおりです。
  • ネットワーク注入:注入された悪意のあるトラフィックを経由してISPと協力して
  • 戦術ネットワークインジェクション :LANまたは無線LAN上で
  • 溶融したアプリケーション :餌アプリケーションと一緒にハッキングチームのスポイトをバンドル
  • インストールパッケージ :モバイルインストーラ
  • エクスプロイト :ドキュメントベースのモバイルおよびデスクトップの悪用
  • ローカルインストール :USBやSDカードを介して移動インストール
  • オフラインインストール:起動可能なSDHC、CD、またはUSB用のISOイメージを作成します。 このオプションは、感染した休止状態と電源がオフのデバイスへの機能が含まれています
  • QRコード:、思い描くと、ターゲットに感染するモバイルリンク
  • アプレットウェブ:そう、悪意のあるウェブサイト(V後に償却8.4。)
  • サイレントインストーラ:インプラントをインストールしたデスクトップ実行可能
  • 感染U3のUSB:自動感染するU3 USBの
  • WAPプッシュメッセージ :ユーザーがメッセージを受け入れた場合、ターゲットが感染します(離れてのiOSからすべてのモバイルオペレーティングシステム上で動作します)

感染:「スカウトエージェント "と"エージェント "

文書は、RCSは、一般的に完全なインプラント(「薬剤」)をインストールする必要があるかどうかを判断するのに役立ちます "バリ"として知られている「スカウト剤」を利用していることを示している。 この薄い注入ターゲットに関心があるかどうかを決定するためのスクリーンと、デバイス情報を収集する。
文 書はハッキングチームが彼らのインプラントがマスクされていないになることができる可能性を持つ明示的に懸念している、と「スカウト·エージェント」の機 能は、システムが感染する「安全」であるかどうかを判断することであること、またはそれがアンマスキング危険にさらすことができるかどうかを技術者に指示 していることを示唆しているエージェント。
システムが感染しても安全であると判断された場合、「スカウト剤」は、完全なインプラントで置き換えられる。 文書によると、ハッキングチームが徐々にインプラントに機能を追加するようにユーザーにアドバイスします。 これらのインプラントは、データをexfiltrateと呼ばれるプロセスを介して指示を受ける「同期」

インプラントモジュールと機能

インプラント(「薬剤」)は、ターゲット·デバイスからの情報を要求するためのワンクリック機能を提供しています。 技術者は、必要に応じて機能を追加することをお勧めします。

イメージソース:「ハッキングチーム、RCS 9:政府の傍受のためのハッキングスイート、テクニシャン者ガイド」、2013年。
加えて、より高度なアプローチは、グラフィカル流れモデルを使用して、洗練された技術者が感染の際にモジュール起動の特定の配列を決定することができ、取り出すことができる。 これは、ユーザが特定のアクションを、サブアクション、モジュール、およびシーケンスをトリガするイベントを定義することができる。
文書は、そのようなシーケンスの例を提供します。
イベント:デバイスが電源アダプタに接続されている
サブアクション:SIMカードの変更にキーイベントを無効にする、ログ記録位置を開始し、SMSを送信します。

イメージソース:「ハッキングチーム、RCS 9:政府の傍受のためのハッキングスイート、テクニシャン者ガイド」、2013年。

利用可能な監視モジュールの選択

  • アクセスしたファイル
  • アドレス帳
  • アプリケーションが使用
  • カレンダー
  • コンタクト
  • デバイスタイプ
  • アクセスしたファイル
  • キーロギング
  • 保存されているパスワード
  • マウスの活動 (仮想キーボードを倒すことを目的)
  • レコード·コールとコールデータ
  • スクリーンショット
  • ウェブカメラで写真を撮る
  • レコードのチャット
  • クリップボードにコピー
  • マイクからのオーディオの録音
    • スペースを節約するための追加音声と沈黙検出に
  • リアルタイムオーディオサーベイランス (「ライブマイク: "モジュールは、Windows Mobileでのみ使用可能です)
  • デバイス位置
  • URLを訪問
  • (サイレントサードパーティとの) 電話会議を作成します。
  • 他の機器に感染する (ので、V。8.4減価償却)

その他の機能

インプラントが動作すると、そのコレクション操作を更新することができる。 またファイル内に送信することができ、デバイスから受信した。
また、インプラントは、ターゲットデバイス上で1ギガバイトの「証拠」スペースのデフォルトのキャップを持っている。 スペースに達したときに新素材の録音が終了します。 オペレータは、デバイス上の未送信のデータを削除する能力を有する。

同期&データExfiltration

同期処理は、ここで言い換えステップ数を持っています。
  • インプラントとサーバ間の認証
  • タイムインプラントとRCSサーバとの間で同期する
  • (ケースは技術者が「閉」として指定されている場合)インプラント除去
  • インプラント構成の更新
  • RCSサーバから送信されたインプラントダウンロード素材
  • 「ダウンロード」キュー材料のRCSサーバへのアップロード
  • 安全な削除と合わせ、証拠のRCSサーバへのアップロード
  • 証拠の追加の安全な削除
モバイルとデスクトップのバージョンでは少し異なるパラメータを持っている。デスクトップインプラントが追加資料を送信する際に、帯域幅と遅延を有することができるが、モバイルの設定がいくつかのユニークな特徴を持っている。
技術者は、インプラントを更新するために使用するデータ·チャネル(WiFiまたはセルネットワーク)の種類を強制することができます。興味深いことに、APNは、データをexfiltrateするために使用するための技術者は、ログイン資格情報を指定することができます。これはインプラントがデータ料金を負担し、被害者へのトラフィックを表示しないようにすることができます。機能は、RCSのバージョン9内のBlackBerryやSymbian OSの上でのみ利用可能として指定されている。

アンチ分析機能&アンチフォレンジック

「危機」と呼ばれる機能が(ドキュメントがパケットスニファの例を与える)「敵対的」活性の検出に対するアクションが可能になります。この機能は、シナリオの範囲によってトリガとプロセスを特定することに基づいて、多くのオプションを持つことができます。デスクトップバージョンでは、これらのオプションは、同期を一時停止するなど、およびプログラムをフックすることができません。モバイルバージョンでは、これらのオプションは、オーディオ、カメラ、ロケーション·収集、および同期を一時停止が含まれています。
A 拭くまたトリガー、およびドキュメントによると、ハッキングチームは、インプラントの「痕跡」を残さないことをユーザーに通知することができます。アンインストールのアクションは、感染の可能性デバイスの法医学的分析における関心のある可能性があり、いくつかの機能があります:ブラックベリーは、自動再起動をトリガーにアンインストールの(i); (II)ルートが正常にアンインストールするための許可を要求しているユーザープロンプトで結果を得ていなかったのAndroidデバイス上でアンインストール。(III)は、Windows Phoneで、アンインストールは、すべてのファイルを削除しますが、プログラムのリストからアプリケーションアイコンを削除しません。

コー​​ド署名と証明書

RCSは、インプラントを作成する際にコード署名を組み込むように設計されています。文書は親切示唆ベリサイン、Thawte社とGoDaddyのをコード署名証明書のソースとして。また、文書が証明書を取得するための支援情報についてのハッキングチームの技術サポートに連絡するようユーザーに促す。
Interesingly、シンビアンのために、ユーザーがセキュリティセンターから直接、「開発者証明書」を購入するように指示され、さらには(URLを提供https://www.trustcenter.de/en/products/tc_ publisher_id_for_symbian.htm)。
Windowsの携帯電話に感染するため、ユーザーは、Microsoftのアカウント(登録することが奨励されsignup.live.com)とWindows Phoneのデベロッパーセンターアカウント(https://dev.windowsphone.com/en-us/join/)を。
文書はハッキングチームは、ユーザーが正しく(シマンテックが管理して)承認プロセスを管理し、ユーザーは速やかにシマンテック社から電話や電子メールコミュニケーションに返信するように指示するの確保に懸念していることを示している。また、ユーザーはエンタープライズモバイルコード署名証明書を取得する方法でinstsructionsを取得する(https://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do

Androidの固有の問題

そのモジュール(チャット、メッセージ、スクリーンショット)の一部を実行するには、Androidのインプラントは、デバイス上のroot権限が必要です。root権限の取得に失敗したいくつかのケースでは、被害者は手動でアプリケーションのルートアクセス権を与えることを求められることができる。アンインストールがトリガされている場合に加えて、根が正常のAndroidデバイス上で取得されていないケースでは、被害者がプロンプトを要求するパーミッションを見ている。
ハッキングチームが親切デフォルトAPKファイルのインプラントは、デバイス情報が表示され、「DeviceInfoを "という名前の通常のアプリケーションとして表示されていることを指摘している。

Anonymizerの&プロキシチェーンアーキテクチャ

この画像は、システム管理者は、分散プロキシチェーン(:参照見ているかを強調して:付録分散ハッキングチームRCSアーキテクチャとコレクタアーキテクチャ)。

イメージソース:「ハッキングチーム、RCS 9:政府の傍受のためのハッキングスイート、システム管理者ガイド」2013

ライセンス、アップデート

収集アーキテクチャの作成時に、ハッキングチームからライセンスファイルが文書によると、ソフトウェアによって必要とされる。他のライセンスは、特定の機能だけでなく、より発展した分析ツールキットのために必要とされる。
文書はハッキングチームは製品の更新サイクルを維持することを示唆している。更新処理がハッキングチームで提供される更新プログラムを使用して、システム管理者によって行われ、収集及びインジェクタインフラへ、そしてインプラントの両方の更新プログラムが含まれている。

会計監査

プログラムは、認可された管理者は、インプラントとの相互作用を含め、システム全体のユーザアクションのログを表示することができ、基本的なロギング機能と監査機能を持っているように見えません。この機能は、デジタル素材との証拠要件を持つツールキットは、より適合するように開発されてきているように見えます。我々は、しかし、証拠、ログ、インプラント、及び「工場」は不可逆的に許可されたユーザにより削除することができる容易さの点に注意してください。

アナリストの目を見る

この画像は、グラフィカルに単一のターゲットの複数のデバイスが損なわ同時に監視することができる方法を示している。

イメージソース:「ハッキングチーム、RCS 9:政府傍受、アナ·ガイドハッキングスイート、「2013
アナリストは、テキスト文字列、ならびにフィルタリングおよびソートされたデータを使用してデータの検索を行うことができる。また、アナリストは、フラグの重要性についてのデータだけでなく、データにフラグを立てるための自​​動化されたルールを適用することができます。
データストレージは、オープンソースのMongoDBを利用して、ドキュメントがハッキングチームRCSが使用することを示してMongoDBの 2.4.8を。
次に、またデモインスタンスから、我々は、ターゲットコンピュータからexfiltrated情報を参照してください。注目すべきは、フラグ証拠に基本色コード化されたフラグ系(赤、緑、黄)、ならびにそれぞれのキャプチャからアナリストが利用可能な情報の種類を使用することである。ここでは、特定のプログラム動作のスクリーンショット(例えばは、BlackBerry Desktopソフトウェアを実行し、そしてスカイプ)などの位置情報を参照してください。位置情報のアドレスがハッキングチームの公に利用可能なアドレスと同じです。

イメージソース:「ハッキングチーム、RCS 9:政府傍受、アナ·ガイドハッキングスイート、 "2013。
以下の画像では、傍受のSkype通話を再生するアナリストコンソールを参照してください。

イメージソース:「ハッキングチーム、RCS 9:政府傍受、アナ·ガイドハッキングスイート、 "2013。
以下の画像では、感染したシステムのファイルツリーのライブブラウジングを参照してください。これは特定の場合に有効にすることができる機能です。

イメージソース:「ハッキングチーム、RCS 9:政府傍受、アナ·ガイドハッキングスイート、 "2013。
下の画像は、感染したデバイスの位置のマップとタイムライン図を示している。興味深いことに、この画像では、教育イラストとして使用される、それがハッキングチームがあることを表示され、誤ってその他の顧客への米国法施行にデモに関する情報を明らかにしている可能性があります。具体的には、このマップの「ジミー·ペイジ」デバイスの位置は、ロサンゼルス郡保安官のアクセス制御さ駐車場にある(と日付2013年9月6日でスタンプしているようまたは 2012年12月3日)。それはあることを偶然かもしれハッキングチームは広範囲に表現された、米国で2013年9月の後半に開催され、ISSの世界で。

イメージソース:「ハッキングチーム、RCS 9:政府傍受、アナ·ガイドハッキングスイート、 "2013。
ツール内のGoogleマップの使用は、ターゲットのグラフィック表示を提供します。しかしそれは進行中の調査のための位置データを裏切るなどのクライアントのための運用上のセキュリティの重大な違反を提示することができる。ポイントデータの一部が送信されない場合でも、グーグルマップの重心を知っている(従って、位置をターゲット)この地図データの一部を配信する必要がある。
それは彼らがこのマップを表示するには、GoogleマップAPIを利用しているようにハッキングチームRCSがGoogleに政府のクライアントの機密性の高い調査データを公開している可能性があります。
また、Googleマップのトラフィックは、さえSSLを使用して、対象となっている成功したトラフィック分析、過去に第三者による。私たちは、この脆弱性を実証していないが、我々はこの可能性はさらに調査を保証信じています。
データの収集を超えて、文書がハッキングチームは、基本的なリンク解析と追加ライセンスを購入すると他の機能などの基本的な調査管理ツールキットを提供していることを示している。ソフトウェアは、構築することができ、非常に「ピア」(呼び出しのようなエンティティ間の接触)と「知っている」(1または他人の電話帳で見つかった両方の個体)のリンクを使用して、基本的なリンク解析を。このシステムはまた、自動的に詳細がエンティティ(例:電話番号)の間で共有されている場合、アイデンティティのリンクを作成しようとします。時系列と位置的データも表示することができる。

イメージソース:「ハッキングチーム、RCS 9:政府傍受、アナ·ガイドハッキングスイート、「2013

進化し続けている用語

文書は、ハッキングチームがそのツールを記述するために使用する言語の変更の数を行ったことを示唆している。私たちは、v7.6および以下の彼らは用語「バックドア」は彼らのインプラントを参照するために使用されるが、これらにV 8.0にし、上記の期間を変更したこと、たとえば発見「エージェント。」同様に、彼らが言葉 "バックドアクラス」に変更」同じ期間の工場」。

「不可視」

文書によると、ハッキングチームはRCSのsolultionのための「スケスケ報告書」をお客様に提供するように思われる。サイレントインストーラ、溶けたアプリケーション、ネットワークインジェクタINJECT-EXE攻撃、およびオフラインCDのために - 「インビジレポートバージョン9.0」「例えば、私たちは確認しました。
文書は、顧客​​に通知:テストは、デフォルトの64ビット版のWindows 7のインストールを行った。
イメージソース:「バージョン9.0 - 不可視のレポート、「日付のない。
イメージソース:「バージョン9.0 - 不可視のレポート、「日付のない。

結論

チームの遠隔操作システムをハッキングすることは「合法的傍受」使用のために市販の監視マルウェアツールキットです。私たちは、サウジアラビアのカティフ計画に、目標を示唆している政治的なサブテキストにルアーを持っていたRCS Androidのインプラントを特定し、分析した。これらのインプラントの分析は、監視機能の範囲を明らかにした。
過去数年間で、我々は両方の研究しているガンマグループハッキングチームを彼らのグローバル増殖を露出させ、そしてそれらが使用する技術や戦術を強調。これらのグループの私たちの関心がある、彼らは最も洗練されたインプラントを作成しているためではない。実際、2009年のオーロラ事件以来、国民国家によって使用される洗練されたマルウェアの多くの公共報告されている。たとえば、Turla、ロシアに起因するキャンペーンは、として記載された「今までに発見され、最も複雑なサイバースパイプログラムの一つ。「ノートの追加のキャンペーンはCareto、含まれるスペインにリンク [PDF]、およびMinidukeを。一方、重要な分析と公開議論がされているStuxnetは、Duquの、そして炎、に入った容疑者の米国の製品とイスラエルのコラボレーションを。
これらの耐衝撃性(典型的には高い開発コスト)インプラントキットはすべて、それらが起因している国によって排他的に使用されるように見え、そして標的侵入を実行するように設計されている。
ハッキングチームとガンマグループはいくつかの理由のために異なっている。まず、彼らのソフトウェアは、彼らが支払う提供、いくつかの国が、すべてに使用可能です。第二に、彼らのソフトウェアは、我々は上に概説状態主催のキャンペーンが硬化し、価値の高い標的に対するスパイ操作をサポートするように設計されていのに対し、日常の犯罪と「セキュリティの脅威を、「ターゲットとする販売されている。
非常に侵襲的なツールキットのこのタイプは、諜報コミュニティや軍隊が配備高価なブティック能力と、すべてが、政府の一握りに利用できるようになりました。暗黙の仮定は、これらのツールのために支払うことができ、顧客が、主に厳しく監督し、法的な目的のために、それらを正しく使用することである。私たちの研究が示したように、しかし、劇的に浸潤性およびハード·ツー·トレース監視上のエントリのコストを下げることによって、機器は、ターゲティングのコスト低下政治的脅威をハッキングチームとガンマグループツールキットへのアクセスとのそれらのために。

謝辞

セス·ハーディ、サラ·マックーン、マーシャ·ホフマン、セバスチャンPORST、正史クレタ島 - 西畑、ビル·マルクザック、ロンDeibert、自分の時間と非常に寛大だったヒューマン·ライツ·ウォッチは、Abeer·アラム、およびいくつかの ジャーナリストや研究者。

付録A:ハッキングチームRCSアーキテクチャ分散

この画像は文書によると、分散型のハッキングチームRCS収集インフラストラクチャを示しています。

イメージソース:「ハッキングチーム、RCS 9:政府の傍受のためのハッキングスイート、システム管理者ガイド」、2013

付録B:「rilcap」コマンドの一覧

コマンドによって提供されています:
/システム/ binに/ rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93
容量ボリュームデーモン(voldを)を殺す
BLR
読み取り専用としてマウント/システム
BLW
読み書きとしてマウント/システム
RT
権限を持つクローン自己へ/システム/ binに/ rilcap 04755
qzx [コマンド] [引数]
)(システムに引数を渡す
FHC [ソース] [先]
コピーファイル
PZM [許可フラグ] [ファイル]
ファイルのパーミッションを変更する
QZS
QZSという名前のファイルからコマンドを読み取り、実行し(EXECV /システム/ bin / shの...)
REB
リブート
ADM [名前]
デバイスpolicies.xmlへ[name]を追加します
RU
自己のリンクを解除
FHO [ユーザー] [ユーザー] [ファイル名]
ファイルの所有者を変更
SD
をチェックすると、SDカードのマウント(それがパスを/ mnt / SDカードとしてハードコード持っているので、常に動作しません)
FB [ファイル]
(スクリーンショット)ファイルにフレームバッファからのコピー

脚注

1 http://developer.android.com/reference/android/Manifest.permission.html
2 https://developer.android.com/about/dashboards/index.html


 ==================================================
 https://citizenlab.org/2014/06/backdoor-hacking-teams-tradecraft-android-implant/

Police Story: Hacking Teams Regierung Surveillance Malware

24. Juni 2014
 Download PDF-Version I Lesen Sie ISSUU
Autoren:
Morgan Marquis-Boire, John Scott-Railton, Claudio Guarnieri und Katie Kleemola
Für die Medienberichterstattung über diesen Bericht, siehe The Economist , Associated Press , Wired , VICE , International Business Times , Forbes , Ars Technica , Kaspersky Threatpost , Slash Gang , Engadget , Help Net Security , The Verge , CIO heute , Voice of America (VOA ) , Computer World , Infosecurity Magazine und Schiefer .
Lesen Sie die arabische Version / النسخة العربية durch Cyber ​​Araber übersetzt
Die linken Zeitungen könnte ein bisschen jammern
Aber die Jungs an der Station sie eine Scheiße nicht geben,
Versand Anrufe "machst du etwas böse?"
"Nein siree, Jack, wir sind nur Givin 'Karten"
Police Truck, Dead Kennedys (1980)

Zusammenfassung

  • In Teil 1 , analysieren wir eine neu entdeckte Android Implantat, das wir schreiben, um Hacking-Team und markieren Sie die politischen Subtext des Köders Inhalt und Angriff Kontext.
  • In Teil 2 , wir setzen die Funktionalität und Architektur von Hacking-Teams Remote Control System (RCS) und Betreiber tradecraft in nie zuvor veröffentlicht Detail.

Einführung

Dieser Bericht analysiert Hacking Teams Android Implantat und verwendet neue Dokumente zu zeigen, wie ihre Remote Control System (RCS) Abfangen Produkt funktioniert. Diese Arbeit baut auf unserer früheren Forschung in die Technologien und Unternehmen hinter "Lawful Interception" Malware. Diese Technologie wird als eine Lücke zwischen passiven Interception (zB Netzwerk-Monitoring) und Durchsuchung vermarktet. Im Wesentlichen ist es von Malware an Regierungen verkauft. Im Gegensatz zu Telefonüberwachung und Durchsuchung, aber die meisten Länder haben nur wenige gesetzliche Richtlinien und die Aufsicht für den Einsatz dieser neuen Macht. Angesichts des Fehlens von Richtlinien und die Aufsicht sowie im Verborgenen ist diese Technologie einzigartig anfällig für Missbrauch. Durch die Analyse der Werkzeuge und ihre Verbreitung in den Händen der Unternehmen wie Hacking-Team und Gamma-Gruppe wollen wir Anstrengungen, um sicherzustellen, dass diese Werkzeuge in verantwortlicher Weise verwendet werden und Grundprinzipien der Menschenrechte und der Rechtsstaatlichkeit nicht zu verletzen unterstützen .
In einer in diesem Jahr veröffentlichten Bericht, haben wir die Ergebnisse einer globalen Scanaufwand und identifiziert 21 Ländern mit Bereitstellungen von Hacking-Teams Remote Control System-Monitoring-Lösung. Darüber hinaus zusammen mit anderen Forschern, haben wir eine Reihe von Fällen, in denen Software "Lawful Interception" hat sich gegen politische Ziele, die von repressiven Regimen verwendet deckt. Politik und Zivilgesellschaft haben Ziele enthalten Mamfakinch in Marokko , Menschenrechtsaktivist Ahmed Mansoor in den Vereinigten Arabischen Emiraten und ESAT , eine US-amerikanische Nachrichtendienst mit Schwerpunkt auf Äthiopien. In all diesen Fällen wurde ein Werkzeug für die "Strafverfolgung" vermarktet gegen politische verwendet, anstatt Sicherheitsbedrohungen. In anderen Fällen, wie Malaysia [PDF], haben wir Köder Dokumente und Aussaat suggestive der politischen Ausrichtung zu finden.

Teil 1: Ein Android-Hacking-Team Backdoor in Saudi-Arabien

Proteste in Saudi-Arabien und Qatif

Während Saudi-Arabien nicht Proteste vergleichbar, die an anderer Stelle während des arabischen Frühlings zu sehen ist, hat es Proteste seit 2011 erlebt, vor allem in der Provinz Ash-Sharqīyah. Es gibt eine Reihe von Gründen für die politischen Spannungen, die von demografischen Druck, Kosten für Wohnraum, und die Arbeitslosigkeit, zu Themen der Frauen- und Minderheitenrechte. Die Provinz ist überwiegend Schiiten, der langjährige Beschwerden über wahrgenommene politische und kulturelle Marginalisierung durch die sunnitische herrschenden Regime haben. Diese Beschwerden wurden verstärkt, wenn, im Frühjahr 2011, die bahrainische Regierung gewaltsam nieder schiitischen Proteste mit Unterstützung des saudi-arabischen Truppen.
Proteste dann in einer Reihe von Bereichen zu verbreiten, einschließlich in der überwiegend schiitischen Qatif Governorate . Im Jahr 2011 erscheint Shia meisten Demonstranten haben zunächst verlangte Reform, anstatt den Regimewechsel in anderen arabischen Ländern befürwortet. Interessanterweise hat Qatif eine Geschichte des schiitischen Proteste, am bekanntesten in massiven Protesten im Jahr 1979. Als Reaktion auf die Proteste, die größere politische und wirtschaftliche Teilhabe gefordert, das Regime vorgesehen umfangreiche wirtschaftliche Zugeständnisse. Im Jahr 2011 jedoch reagierte Behörden mit Gewalt und Verhaftungen von prominenten schiitischen Zahlen. Die Demonstranten wurden verletzt und andere angeblich getötet durch die Sicherheitskräfte laut Human Rights Watch. Dieses Vorgehen kann zu Verschiebung Demonstranten Forderungen beigetragen haben; Heute, einige explizit fordern Regimewechsel mit säkulare Sprache, nach Ansicht der Forscher und Journalisten direkt vertraut mit den jüngsten Entwicklungen, die mit uns sprach. In, was als eine Entzündungsreaktion beschrieben werden, Saudi-Behörden festgenommen auch eine freimütige und gut sichtbare schiitischen Scheich.
"... Der Staatsanwalt forderte er nicht nur die Todesstrafe, aber eine zusätzliche Strafe von Scharia für die abscheulichsten Straftaten, in dem der Leichnam wird, indem sie an einer Stange aufgehängt verunreinigt Auftrag stellen." - Reuters
Die Eskalation, die von Gewalt gegen Sicherheitsdienste unter einigen schiitischen begleitet worden ist, wird durch das Regime benutzt, um harte Maßnahmen, einschließlich "Reiz" Festnahmen, und rechtfertigen Sätze einschließlich Tod für Demonstranten wegen "Aufwiegelung". Andere wurden mit Spionage für Iran erhoben, in einem Fall, der von vielen Schiiten in Anspruch genommen hat, um worden sind politisch motiviert .
Menschenrechtsorganisationen, die angeblichen Misshandlungen katalogisiert haben, wie die Adala Zentrum für Menschenrechte, haben die Fähigkeit, als formale Organisationen vorbehaltlich registrieren verweigert URL-Blockierung und hatte Personal schikaniert und inhaftiert . Journalisten versuchen, auf Qatif zu melden sind vom Betreten blockiert , und regelmäßig Drohungen und Druck der Regierung ausgesetzt.
Soziale Medien und Mobiltelefone sind ein ganz wichtiger Teil der Proteste organisiert, mit Demonstranten, Maßnahmen, wie die Verwendung von Pseudonymen Konten, um ihre Botschaft zu teilen. Dennoch, nach Menschen mit den Ereignissen vertraut sind digitale Betriebssicherheitspraktiken häufig unsystematisch und nicht die Fähigkeiten der Sicherheitsdienstleistungen entsprechen.

Surveillance, Beobachtungs- und Informationskontrolle in Saudi-Arabien

Saudi-Arabien ist eine einzigartige und komplexe Sicherheitsumgebung, und seine Sicherheitsdienste spielen eine Reihe von Rollen. Auf der einen Seite sieht sich Saudi-Arabien nicht zu leugnen ausländischen und inländischen Sicherheitsbedrohungen aus verfeindeten Gruppen, Extremisten und anderen Regierungen. Auf der anderen Seite hat das Regime in ihren Versuchen, zu kontrollieren und zu unterdrücken Dissens und politischen Pluralismus außerordentlich aggressiv.
Die Sicherheitsdienste in Saudi-Arabien nutzen eine Reihe von Instrumenten von formellen und informellen Staatsmacht, um den elektronischen Informationsumfeld des Landes kontrollieren. Beginnend an der Regierung aufrechterhalten Internet Engpässe bis hin zu ISPs, den Zustand blockiert eine Vielzahl von politischen, religiösen und kulturellen Inhalten. Dazu gehören soziale Medien, ob bestimmte Benutzer oder ganze Plattformen . Weiter auszubauen, erfordert der Zustand, Nachrichten-Websites (im weiteren Sinne) zu registrieren, mit den Behörden. Registrierte Webseiten unterliegen einer umfassenden Regulierung, während nicht registrierten Betreiber, die Gefahr schweren Strafen nicht registriert haben. Website-Betreiber, um selbst zu überwachen und moderate Inhalte unter Androhung von Geldstrafen und Geldbußen, Gefängnisstrafen und körperliche Züchtigung wie Wimpern ermutigt. Darüber hinaus hat Anti-Cybercrime-Gesetzgebung auch verwendet werden, um Online-Dialog zu verfolgen , die den meisten Gesellschaften würden akzeptable politische Rede halten.
Die öffentliche Nutzung mobiler Überwachung erstreckt sich in Formen sozialer Kontrolle, die viele Gesellschaften wäre höchst anstößig finden. Zum Beispiel kann die Regierung verdient internationale Verurteilung, wenn es angekündigt, dass sie ein System, um ihre Umsetzung zu ermöglichen männlichen Vormund , um das Reiseverhalten von Frauen unter ihrer Obhut zu überwachen. Austausch einer älteren Erlaubnis-Rutsch-basiertes System ("gelbe Karten"), männlich Erziehungsberechtigten erhalten Textnachrichten, wenn Frauen kommen auf dem Gelände des internationalen Flughafens , zu fragen, ob die Frauen ist es gestattet, zu reisen.
Internet und Social Media-Nutzer sind zur Selbstzensur und Bericht über einander gefördert. Die Regierung engagiert sich in der öffentlichen Werbung Kampagnen , beide Verhaltensweisen zu fördern, und macht deutlich, nach Saudi-Bürger, dass sie beobachten und hören. Insbesondere hat der Staat bestimmte Strafen für Wiederbeteiligung umgesetzt, privat oder öffentlich, Inhalt Anlass zur Beanstandung. Neben der Verwendung von ausdrücklich Werkzeuge des Gesetzes, wird allgemein angenommen, dass der Staat einen fördert "elektronische Armee" von Pro-Regierungs-Individuen , soziale Medien Gesprächen mit regime Stimmen überfluten und zu belästigen Andersdenkenden.
Rede mit religiösen Themen ist besonders riskant, da die Regierung bereit ist, wie die Auslieferung ernsthafte religiöse Gebühren, einschließlich der Todesstrafe und körperliche Züchtigung und Werkzeuge der internationalen Rechtsprechung zu verwenden, um festzunehmen und zu bestrafen, die seine strengen Normen aus politischen, religiösen verletzt, und kulturellen Rede.
In zwei bemerkenswerten Fällen wurde der Betreiber der Saudi Liberalen Diskussionsforum schließlich verurteilt 10 Jahre im Gefängnis und 1000 Peitschenhiebe für die Aufrechterhaltung der ein Forum für die Diskussion über Religion und Reform. Das war eine Reduktion der Art, wie die Staatsanwaltschaft forderte seine Hinrichtung. Viele ähnliche Fälle, mit verschiedenen Ladungen, wurden von berichtet Menschenrechtsorganisationen und Kommentatoren.
Diese Maßnahmen haben einen absichtlich abschreckende Wirkung auf politische Rede und sind regelmäßig in der Kritik von internationalen Menschenrechtsgemeinschaft . Dennoch bleibt Social Media das primäre Ventil für politische Rede. Viele Anwender üben ein gewisses Maß an Selbstzensur oder indirekter Rede, während andere Pseudonyme und andere technische Mittel, um ihre Anonymität zu wahren. Um den Zugriff verboten Inhalt, ist auch die Verwendung von virtuellen privaten Netzwerken (VPNs) gemeinsam. Als Reaktion, Sicherheitsdienste verwenden Polizei und Ermittlungsbefugnisse, die Plakate zu entlarven, und bestraft sie stark, manchmal nach Festnahmen, wo der Name des Häftlings (n) wird geheim gehalten.
Telefon Einsatz in Saudi-Arabien hat eine Penetrationsrate von 170% , mit einem geschätzten Durchschnitt von 30% der individuellen Einkommens auf Telefon- und Internetkosten mobilen verbrachte im Jahr 2014. Als Ergebnis älteren Mechanismen der Internet-Überwachung, wie die Überwachung Internet-Cafés, sind als ersetzt. Einzelne Benutzer werden benötigt, um echte Identitäten für die Registrierung mobile Geräte, und es ist klar, dass der Staat sucht einen besseren Einblick in verschlüsselten Datenverkehr. Im Jahr 2010 zum Beispiel Saudi-Arabien erfolgreich Zugriff auf Blackberry-Kommunikation gewonnen nachdem Saudi-located Server ein quid-pro-quo ermöglicht die Geräte auf Saudi-Networks . In jüngerer Zeit wurde Appetit der Regierung für die verschlüsselte Kommunikation von Moxie Marlinspike, ein Sicherheitsforscher und Entwickler, der eine Ouvertüre von Saudi Telecom Mobily erhalten zeigte sucht seine Hilfe beim Zugang zu verschlüsselten Datenverkehr . Das Unternehmen suchte nach einer Schnittlösung (auf Anfrage des saudischen Regierung, sagten sie) für den Zugang zu einer Reihe von mobilen Chat-Clients (Viber, LINE, WhatsApp) sowie die mobile-Version von Twitter.
Der Einsatz mobiler Malware als Teil dieses Wunsches zu verstehen ist, keineswegs auf Saudi-Arabien beschränkt, um die Technologien im Einsatz durch ihre Bevölkerung entsprechen.

Seeding: Ein Köder mit politischen Subtext?

Mit Unterschriften im Rahmen unserer laufenden Forschung in "rechtlich zulässiges Abhören" Malware von Hacking-Team entwickelt entwickelt identifizierten wir eine verdächtige Android-Installationspaket (APK). Die Datei war eine funktionsfähige Kopie der 'Qatif heute (القطيف اليوم) Nachrichten-Anwendung mit einem Hacking-Team Nutzlast gebündelt. Dokumente, die wir überprüft haben, schlagen vor, dass Hacking-Team bezieht sich auf diese Art von mobilen Implantat als "Installationspaket", wo eine berechtigte Dritte Anwendungsdatei mit dem Implantat gebündelt (Siehe: Entwicklung und Bereitstellung von Implantaten ). Diese Art von Taktik, mit Android-Paket Implantate in anderen gezielten Malware-Attacken (die nicht mit kommerziellen "rechtlich zulässiges Abhören" Produkte), einschließlich der gesehen worden LuckyCat Kampagne , und in Angriffe gegen tibetische Aktivisten und Gruppen in der Uiguren-Gemeinschaft .
Die echten "Qatif heutige App ist ein Android (Download hier ) und iPhone-Anwendung, die Nachrichten und Informationen in arabischer Sprache mit einer speziellen Bedeutung für die Qatif Governorate von Saudi-Arabien.

Qatif Heute im Google Play App Store
Die Verbindung zu Qatif ist interessant, angesichts der jüngsten Geschichte des Protests in Qatif wie oben beschrieben. Wir sind nicht in der Lage, die Identität der Gruppe oder Einzelperson mit dieser Malware gezielt bestimmen, aber wir vermuten, dass der Angriff kann zum politischen Protest im Osten Saudi-Arabien verbunden werden.

Hacking-Team Proben

Der bösartige APK, QatifNews.apk, hat die folgende Hash:
8e64c38789c1bae752e7b4d0d58078399feb7cd3339712590cf727dfd90d254d
Zum Zeitpunkt der ersten Vorlage an die Virustotal Datenbank wurde die Datei von Null aus 50 Antivirus-Produkte in Virustotal erkannt:
0/50 2014-03-11 09:28:49 2014-03-11 09:28:49
Es scheint, dass ein APK mit dem gleichen Namen auf Twitter 5 Tage später von einem Twitter-Account (_bhpearl) nach Bahrain, ein Land von großem Interesse für Schiiten in Qatif verbunden ausgesät.

Tweet mit Links von_bhpearl (seit gelöscht)
Die tweeted Links wurden mit dem goo.gl Service verkürzt. Dies beschlossen:
https://itunes.apple.com/app/qatiftoday-alqtyf-alywm/id584947120?mt=8
und
https://dl.dropboxusercontent.com/s/fw92fsu9r694iqc/QatifNews.apk
Die erste Verbindung zum iTunes Store hat 18.841 Klicks auf der verkürzten Link und erscheint legitim. Der zweite Link ist jedoch nicht auf die echte App im Android App Store umgeleitet werden. Stattdessen leitet es an ein Dropbox-Datei, da entfernt wurde. Die Untersuchung der Analytik auf der verkürzten zweite Link ist interessant; gab es nur 13 Klicks. Wir können Diskont 7 dieser Klicks (die in den USA und Deutschland) als Forscher, drei sind in Saudi-Arabien. Ein Klick in Taiwan kann ein VPN oder eine Sicherheitsexperte sein.

Google Analytics Shortener
Wir können zwar nicht bestätigen, dass die Datei auf Dropbox war die gleiche APK, vermuten wir, das Timing des tweet, und die Verwendung eines Nicht-Standard-Verfahren für die gemeinsame Nutzung eines Android-Anwendung, ist kein Zufall.

Malicious APK Code Signing

Der bösartige APK wurde nach dem folgenden Zertifikat signiert:
Emittent:
DN: C = DE, O = Sonne, OU = Javasoft, CN = Server
C: US
CN: Server
O: Sun
OU: Javasoft
Betreff:
DN: C = DE, O = Sonne, OU = Javasoft, CN = Server
C: US
CN: Server
O: Sun
OU: Javasoft
Seriell: 1369041295
SHA256 Fingerabdruck: 8ab03660fe537994b207e900f8e2f5711c08e61232e167ce97e52bb3fd77757f
Eine breitere Diskussion von Codesignatur Practices für Hacking-Team Implantate wird später in diesem Dokument im Abschnitt "diskutiert Code Signing und Zertifikate ".

Zusätzliche Proben

Wir konnten weitere sechs mit demselben Zertifikat signiert Proben zu identifizieren:
e85db2d92ae97f927905d6e931a0cb1f5b6def2475c23e023fe617249dddddb4
0b657e29a3e249b414fbde3a85e7be0829ddaad49b8ff2832350cfe5af190ba1
535070b5bd076f137052eb82257f16db4c3ba3e3516970b8934524e4a750a8f1
748e04aee9ec1a82abd2f0a9d3ddc33925a8a74b5058088dbf3d6a3c1e9698d8
8d2012d44208e79ea6e511847f86af0c45271e6f678ccc19639fe6c2eee75449
e6a77c8bf232636a505c31fae0215789caf8d73682102304a2541513de945526
Die erste Stichprobe von dieser Liste (... DB4) wurde als zu Virustotal vorgelegt:
Datum Dateinamen Submitter ID Submitter Land
2012.08.28 10.06.01 rcs.apk 18e48a9b (api) Deutschland
Interessanterweise war dies die erste Probe (in chronologischer Reihenfolge), um zur Virustotal aus dieser Gruppe von Dateien eingereicht werden. Der Name "rcs.apk" scheint eine Abkürzung des Namens der gezielten Überwachungslösung Hacking-Teams, sein 'Remote Control System. "

Berechtigungen

Die ursprüngliche App benötigt folgende Berechtigungen:
android.permission.INTERNET
android.permission.GET_ACCOUNTS
android.permission.WAKE_LOCK
android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
com.google.android.c2dm.permission.RECEIVE
com.aymax.qatiftoday.permission.C2D_MESSAGE
android.permission.USE_CREDENTIALS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.VIBRATE
Das Implantat fordert die folgenden Berechtigungen, die sie in der Lage, Anrufe zu verarbeiten, Lesen und Schreiben von SMS-Nachrichten zu überwachen GPS den Standort des Nutzers und mehr geben.
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_WIFI_STATE
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.FLASHLIGHT
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALENDAR
android.permission.READ_CONTACTS
android.permission.READ_LOGS
android.permission.READ_PHONE_STATE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.USER_PRESENT
android.permission.WRITE_SMS
Die folgende Berechtigung wurde von mehreren der anderen identifizierten Hacking-Team android Implantate angefordert:
android.permission.WRITE_APN_SETTINGS (Zugriffspunktname schreiben Einstellungen)
Dieser Wert ermöglicht es Anwendungen, die APN (Access Point Name), eine Einstellung auf einem Mobiltelefon, das ein externes Netzwerk das Telefon für die Daten zugreifen können identifiziert ändern. Dieser Wert wird als nicht zur Verwendung durch Anwendungen von Drittanbietern in der Referenz Android Developers markiert. 1 Weitere Erläuterungen zu dieser Funktionalität finden Sie hier: Andere Funktionen .

Verhalten & Netzwerkkommunikation

Nach der Analyse des Verhaltens der Anwendung konnten wir die bösartige Natur der Datei weiter zu bestätigen.
Wenn er ausgeführt wird, führt die App eine POST an:
http://iphone.al-motamiz.com/qatiftoday/gcms/register.php
Dieser Server wird bei iWeb in Montreal statt:
IP Address 174.142.97.245
Gastgeber server.5edma.com
Lage canadaflag CA, Kanada
City Montréal, QC H3E 1Z6
Organisation IWeb Technologies
ISP IWeb Technologies
AS Anzahl AS32613 iWeb Technologies Inc.
Wir glauben, dass diese für den rechtmäßigen Kommunikation durch das Köder-Anwendung sein.
Wir beobachteten auch Kommando und Kontrolle (C2) die Kommunikation mit zwei zusätzlichen Servern. Wir fanden später die gleichen IP-Adressen im entschlüsselten Text von Konfigurationsdatei des Implantats (siehe: Verschleierung / Implantatgeometrie ). Übrigens war dies stimmt mit der Hacking-Team Implantate Speicher C2-Adressen.
http://91.109.17.189/
http://106.186.17.60/
Der erste Server auf Leaseweb in Deutschland gehostet:
Gastgeber 91.109.17.189
Lage GermanFlag DE, Deutschland
Organisation LeaseWeb Deutschland GmbH (vormals netdirekt e. K.)
AS Anzahl AS16265 LeaseWeb BV
Die zweite ist auf Linode in Japan veranstaltet:
IP Address 106.186.17.60
Gastgeber li528-60.members.linode.com
Lage japanflag JP, Japan
Organisation KDDI Corporation,
AS Anzahl AS2516 KDDI CORPORATION KDDI
In früheren Arbeiten haben wir sowohl die Leaseweb und die Linode IPs identifiziert als Teil einer Hacking-Team Proxy-Kette in unsere vorherige Berichterstattung aufgedeckt. Zu der Zeit, die wir auch eine dritte IP (206.190.155.40), die in der gleichen Gruppe angehört identifiziert. Dieser Befund indirekt bestätigt die im letzten Bericht angewendeten Methoden, und unterstreicht die dritte IP so wahrscheinlich Teil der gleichen Sammelinfrastruktur.
91.109.17.189
206.190.155.40
106.186.17.60
Diese zusätzliche IP ist in einem Block von den Hosting-Provider Softlayer Technologies gehört.

Rooting Exploit

Der bösartige Implantat versucht, stat () die folgenden Dateien:
/ Dev / mem Exynos-
/ Dev / DspBridge
/ Dev / S5P-smem
Dieses Verhalten ist konsistent mit einer bekannten Exploit (CVE-2012-6422), die einen Benutzer ohne Berechtigungen ermöglicht, auf den physikalischen Speicher eines kompromittierten Gerät zu schreiben. Eine eingehende Analyse der diese Sicherheitslücke wird von Azimuth Sicherheit vorgesehen hier .
Während dies auszunutzen, nicht wirksam gegen die neueste Version des Android-Betriebssystem sein, ein hoher Prozentsatz der Nutzer immer noch ältere Versionen, die anfällig sein kann. 2

Bild-Kredit: Google

Hintergrundinformationen zu Rooting Android-Geräte

Rooting ein Android-Handy umfasst in der Regel zwei Komponenten: den su Binär- und ein Supervisor-Anwendung.
Um den su binäre installieren, hat entweder der Gerätehersteller den Bootloader entsperrt werden darf oder eine Schwachstelle ausgenutzt wird, um vorübergehend zu erhöhen Berechtigungen. Sobald die su binäre installiert wird, kann es Anwendungen, in einer kontrollierten Art und Weise zu verwenden, um ihre Berechtigungen für andere Zwecke zu erheben.
Die so ist ähnlich wie die traditionellen Unix - es nutzt das suid Flagge so Anwendungen, die sie nennen sich höhere Berechtigungen zu dem des ausführbaren sie anrufen - in den meisten Fällen, einschließlich der vorliegenden, Wurzel. Jede Anwendung auf Android wird von einem eigenen Benutzer, um Anwendungen den Zugriff auf Ressourcen, die sie nicht über Berechtigungen für verhindern laufen.
Ein Supervisor-Anwendung (in der Regel Superuser.apk) wird von Menschen, die absichtlich kern ihr Telefon so die su binäre können die Vorgesetzten, die dann benachrichtigt den Benutzer und ihnen erlauben, genehmigen oder ablehnen die Rechteerweiterung rufen verwendet. Selbst mit einer verwurzelt Telefon wird der Benutzer benachrichtigt, wenn noch Anwendungen führen Aktionen Root-Zugriff erfordern.

Wie dies gilt für die RCS Android Implant

In diesem Fall wird eine Sicherheitslücke ausgenutzt, um Root-Zugriff zunächst zu gewinnen, und eine binäre entfällt. Eine Kopie seiner selbst / system / bin / rilcap (über / proc / self / exe) und sein Besitzer setzt root sowie der Einstellung der Programmdatei und suid Flags sein. Dies ermöglicht eine anhaltende Root-Zugriff.
/ System / bin / rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93

RILCAP Funktionalität

Prüfung des binären ergab, dass Grundtechniken wie einfache Verschlüsselung von Saiten werden zur Analyse behindern.
Verschlüsselungsalgorithmus:
wenn str b [0] ... b [n],
len = b [0] ^ b [1] ^ b [2]
für b [i] in b [3] ... b [n]:
b [i] = b [i] ^ b [1]
b [i] = (b [i] - b [1]) & 0xff
b [i] = b [i] ^ b [0]
Die binäre enthält die folgenden Funktionen:
  • Erfassen von Informationen aus dem Framebuffer (/ dev / Grafiken / fb0) - die dann verwendet werden, um Screenshots zu montieren sein
  • Töten Sie die Lautstärke-Daemon (die automatisch erkennt und mountet Speichergeräten, wenn hinzugefügt)
  • Berg / System nur lesen oder lesen Schreib
  • Überprüfen Sie / proc / mounts für eine SD-Karte
  • Ausführen von Befehlen von unprivilegierten Anwendungen mit system ()
  • Führt Befehle aus einer Datei mit execv / system / bin / sh
  • Ändern /data/system/device-policies.xml die Anwendung als Administrator Gerät hinzufügen
  • Kopieren von Dateien
  • Ändern Sie Dateiberechtigungen
  • Ändern Sie die Dateibesitzer
  • Unlink Selbst
  • Starten Sie das Gerät
Diese Funktionalität ermöglicht RILCAP als su binäre handeln würde - nur gibt es kein Supervisor-Anwendung, um den Benutzer von Zugriffsrechten zu informieren und bieten die Wahl zu ermöglichen oder zu leugnen.
Eine vollständige Liste der Befehle finden Sie in Anhang B .

Funktionalität

Betrachtet man die Proben als eine Gruppe, die wir identifiziert eine Reihe von Verhaltensweisen, bezeichnend für Überwachungsmöglichkeiten des Implantats.
Versuche, die 3rd-Party-Chat / Voice Anwendungen zugreifen:
Wir haben festgestellt, dass die apps versuchen, die lokale Dateien von populären Social Media gespeichert sind, Chat und rufen Apps wie Facebook, Viber, WhatsApp, Skype, LINE und QQ.
/data/data/com.facebook.katana/databases
/data/data/com.facebook.orca/databases
/data/data/com.skype.raider/files/shared.xml
/data/data/com.whatsapp/shared_prefs
/data/data/com.whatsapp/shared_prefs/RegisterPhone.xml
/data/data/com.viber.voip/files
/data/data/com.tencent.mm/MicroMsg/
/data/data/com.viber.voip/files/preferences/reg_viber_phone_num
/data/data/jp.naver.line.android/databases/naver_line_myhome
/data/data/jp.naver.line.android
/data/data/jp.naver.line.android/databases
Darüber hinaus greift die App die lokal gespeicherten Mail-Dateien, um E-Mail-Konto des Benutzers kompromittiert gehören.
/data/data/com.google.android.gm/databases/mailstore.{username}@gmail.com.db

Verschleierung / Implantatgeometrie

Um zusätzliche Kontrolle in die Interna der Hintertür zu verhindern, wird der Quellcode wurde stark durch den Einsatz von verschleiert haben DexGuard (0r ähnlich), die Verschlüsselung für die Zeichenfolgen, ganze Klassen und Werte deutlich verlangsamt und erschwert die Rückwärts bieten kann Engineering-Prozess.
Bei der Analyse des Implantats, wir de-verschleierten die Konfigurationsdatei. Im Folgenden stellen wir eine Reihe von Linien, die Funktionalität in RCS entsprechen (für eine vollständige Liste finden Sie unter: Implant Module und Funktionalität ).
Wir finden eine Reihe von Audio-Aufnahme, Kamera, Video, Key-Logging "Live-Mikrofon," Chat, Geräteinfo usw. Konfigurationseinstellungen, die für die Überwachungsfunktionen des Implantats. Wir stellen ferner das Vorhandensein einer "Krise" Modul, das Anti-Analysefunktionen weiter unten erläutert stellt (siehe: Anti-Analyse Funktionalität & Anti-Forensik ).
{“record”:true,”compression”:5,”buffer”:512000,”module”:” call “},{“module”:” camera “,”quality”:”med”},{“module”:” chat “},{“module”:” clipboard “},{“module”:” conference “,”number”:””},{“synchronize”:false,”position”:true,”module”:” crisis “,”mic”:true,”network”:{“processes”:[],”enabled”:false},”call”:true,”camera”:true,”hook”:{“processes”:[],”enabled”:true}},{“module”:” device “,”list”:false},{“module”:” keylog “},{“module”:” livemic “,”number”:””}
Wir sehen auch, was zu sein scheinen, Standort, Bildschirmaufnahme, und Internet-Aktivitäten-Module.
{“cell”:true,”gps”:false,”wifi”:true,”module”:” position “},{“quality”:”med”,”module”:” screenshot “,”onlywindow”:false},{“module”:” url “}
Wir fanden auch, dass das Implantat scheint mit einem Filter bereitgestellt wurden, um einen Zeitraum ("DATEFROM" und "DATETO" für die E-Mail, SMS und MMS es sucht angeben.
{"Mail": {"Filter": {"DATEFROM": "2014.03.10 00:00:00", "maxsize": 100000, "DATETO": "2100.01.0100:00:00″,”history”:true},”enabled”:true},” mms “:{“filter”:{“datefrom”:”2014-03-10 00.00.00 "," DATETO ":" 2100.01.0100:00:00″,”history”:true},”enabled”:true},”module”:”messages”,” sms “:{“filter”:{“datefrom”:”2014-03-10 00.00.00 "," DATETO ":" 2100.01.01 00:00:00 "," Geschichte ": true}," freigegeben ": true}}
Wir sehen auch Informationen darüber, wie das Implantat exfiltriert Daten, zusammen mit seinen C2-Servern. Interessanterweise scheint es, dass das Implantat in der Lage, die Überwachung der Geräte-Konnektivität (zB WLAN, Mobilfunknetz), die Auswahl Verbindungstyp und Übertragungsratenbegrenzung, die Bandbreite ist. Beachten Sie, dass diese die gleichen Servern wir in der Netzkommunikation des Implantats beobachtet.
{“desc”:”SYNC”,”subactions”:[{“host”:” 91.109.17.189 “,”mindelay”:0,”stop”:true,” cell “:true,”action”:”synchronize”,” wifi “:true,”maxdelay”:0,” bandwidth “:500000},{“host”:” 106.186.17.60 “,”mindelay”:0,”stop”:false,”cell”:true,”action”:”synchronize”,”wifi”:true,”maxdelay”:0,”bandwidth”:500000}]}]}

Teil 2: Hacking-Team RCS Betrieb

Nachdem wir veröffentlicht unsere Forschung auf Hacking-Team in diesem Jahr waren wir Unterlagen von einem anonymen Einzel gesendet im Zusammenhang mit der Einrichtung und dem Betrieb von Hacking-Teams RCS, die Hacking-Team bietet seinen Kunden. Die Dokumente erscheinen auf dem neuesten Stand vom Herbst 2013. Wir haben keine Kenntnis über die Herkunft der Dokumente, und wer sie geschickt hat Schritte unternommen, um ihre Identität zu verbergen. Während die Echtheit dieser Dokumente ungeprüft, haben wir nicht Inkonsistenzen mit dem, was derzeit etwa Hacking-Team RCS bekannt sind, identifiziert (unsere neuesten Erkenntnisse im Lieferumfang enthalten). Wir sind jedoch besorgt darüber, dass die Freigabe der Dokumente in ihrer vollen Form könnte Gefahr an der Quelle zu bringen. Im Folgenden ist daher ein Überblick über einige der Funktionen und Besonderheiten der Remote Control System, nach diesen Dokumenten. Die Screenshots, die wir exzerpieren deutlich von Instanzen als "Demo" kopiert, anstatt tatsächlichen Operationen markiert.

Architektur eines Hacking-Team RCS Deployment

Das folgende Bild schlägt die logische Architektur eines prototypischen Hacking-Team RCS-Bereitstellung. In bestimmten Fällen, entsprechend dieser Dokumente kann ein "verteilt" Architektur verwendet werden (siehe: Anhang: Verteilte Hacking-Team RCS Architektur ).

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Systemverwalterhandbuch", 2013.

Spieler im Systembetrieb

Nach den Unterlagen, hat RCS eine Reihe von definierten Rollen, jede mit ihren eigenen Zuständigkeiten und Berechtigungen auf dem System. In Kürze:
  • Ein Systemadministrator wird die Ausbildung von Hacking-Team während der "Contract Phase", wie auch andere Systemverwaltungsaufgaben, einschließlich Installation und Aktualisierung von RCS-Server-Netzwerke sowie Netzwerk Injektoren empfangen.
  • Ein Administrator erstellt Konten und erstellt beide Operationen und bezeichnet Ziele.
  • Ein Techniker ist für die Erstellung von Implantaten (mit dem Namen "Agenten" in der Dokumentation) und Verwaltung von Netzwerk Injektoren verantwortlich.
  • Analysten verarbeiten Ausgänge aus dem System, und führen Intelligence-Analysen über das RCS-Konsole.

Entwicklung und Bereitstellung von Implantaten

Nach den Dokumenten, kann die Software eine breite Palette von Implantaten durch eine "Fabrik", die speziell für eine Untersuchung kompiliert erstellen. Der Techniker ist für die Erstellung dieser Agenten mit dem verantwortlichen Hier ist die Aufforderung an die Techniker präsentiert "Fabrik.":

In diesem Bild ist der Techniker Vorbereitung eines Mac OSX Implantat. Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Techniker-Handbuch" 2013.
Der Techniker hat eine Reihe von Optionen aus der Fabrik als auch die zusätzliche Fähigkeit, Netzwerk-Injection zu verwenden (nicht abgebildet). Zu diesen Optionen gehören:
  • Netzwerk-Injection: über bei einem ISP injiziert schädlichen Datenverkehr in Zusammenarbeit
  • Tactical Netzwerk Injection: auf LAN oder WiFi
  • Geschmolzene Anwendung: Bündelung einer Hacking-Team Pipette neben einem Köder Anwendung
  • Installationspaket: eine mobile Installer
  • Exploit: dokumentenbasierte nutzen für mobile und Desktop-
  • Lokale Installation: mobile Installation über USB oder SD-Karte
  • Offline-Installation: Erstellen Sie ein ISO für eine bootfähige SDHC, CD oder USB. Diese Option bietet die Möglichkeit, infizierte Winterschlaf und ausgeschaltet Geräte
  • QR Code: eine mobile Verbindung, die, wenn im Bild, wird das Ziel zu infizieren
  • Applet Web: wahrscheinlich eine schädliche Website (nach v abgeschrieben 8.4.)
  • Silent-Installer: ein Desktop-ausführbare Datei, die das Implantat installiert werden
  • Infizierte U3 USB: ein Auto-infiziert U3 USB
  • WAP-Push-Nachricht: das Ziel wird angesteckt werden, wenn der Benutzer die Nachricht akzeptiert (funktioniert auf allen mobilen Betriebssystemen außer iOS)

Infektion: "Scout-Agenten" und "Agenten"

Die Dokumente zeigen, dass RCS nutzt eine "Scout-Agent", allgemein als "Validator", die, um zu bestimmen, ob eine vollständige Implantat ("Agent") installiert werden soll hilft bekannt. Diese dünne Implantat sammelt Screenshots und Geräteinformationen, um zu bestimmen, ob das Ziel von Interesse.
Die Dokumente zeigen, dass Hacking Team ausdrücklich sich mit der Möglichkeit, dass die Implantat könnte entlarvt zu werden, und weist Techniker, dass eine Funktion des "Scout-Agenten" ist, um zu bestimmen, ob das System "sicher" zu infizieren, oder ob es könnte die Gefahr der Entlarvung Mittel.
Wenn das System bestimmt, sicher zu infizieren zu können, wird die "Scout Mittel" durch die vollständige Implantat ersetzt. Nach den Unterlagen, Hacking-Team empfiehlt allen Benutzern, Funktionalität, um Implantate nach und nach hinzufügen. Diese Implantate exfiltrate Daten und durch einen Prozess namens Anweisungen zu erhalten "Synchronisieren".

Implant Module und Funktionalität

Implantat ("Agent") bietet One-Click-Funktionalität zur Anforderung von Informationen von Zielgeräten. Techniker sind aufgefordert, Funktionen hinzufügen, wie gebraucht.

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Techniker-Handbuch" 2013.
Darüber hinaus kann ein weitergehender Ansatz gemessen werden, wodurch ein hochentwickeltes Techniker, um eine spezifische Sequenz von Aktivierungsmodul nach einer Infektion zu bestimmen, unter Verwendung einer grafischen Datenflussmodell. Dies ermöglicht es dem Benutzer, Ereignisse, bestimmte Maßnahmen anzuzeigen, Unteraktionen, Module und Sequenzen auslösen soll.
Die Dokumente geben ein Beispiel für eine solche Sequenz:
Veranstaltung: Gerät an Netzteil angeschlossen
Sub Aktion: Senden Sie eine SMS, beginnt mit dem Protokollieren Position, ein Ereignis, um die SIM-Karte Änderungen eingegeben deaktivieren.

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Techniker-Handbuch" 2013.

Die Auswahl der zur Verfügung stehenden Überwachungsmodule

  • Aufgerufenen Dateien
  • Adressbuch
  • Verwendete Anwendungen
  • Kalender
  • Kontakte
  • Gerätetyp
  • Name der abgerufenen Datei
  • Keylogging
  • Gespeicherte Passwörter
  • Maus-Aktivität (soll virtuelle Tastaturen besiegen)
  • Nehmen Sie Anrufe und Anrufdaten
  • Screenshots
  • Nehmen Sie Fotos mit einer Webcam
  • Nehmen Chats
  • Kopieren Zwischenablage
  • Nehmen Sie Audio von Mikrofon
    • Mit zusätzlichen Sprach und Stille-Erkennung, um Platz zu sparen
  • Echtzeit-Audio-Überwachung ("Live-Mikrofon:" Modul für Windows Mobile verfügbar)
  • Geräte-Position
  • URLs Besucht
  • Neues Telefonkonferenzen (mit einer stillen 3rd-Party)
  • Infizieren andere Geräte (da v. 8.4 abgeschrieben)

Weitere Funktionen

Sobald ein Implantat ist betriebs seiner Sammlung Operationen aktualisiert werden kann. Zusätzlich können Dateien gesendet und vom Gerät empfangen werden.
Darüber hinaus haben Implantate eine Standardkappe auf "Beweise" Raum von 1 GB auf dem Zielgerät. Aufzeichnen neuer Material stoppt, wenn der Raum erreicht wird. Die Betreiber haben auch die Möglichkeit, noch-nicht-übertragenen Daten auf dem Gerät löschen.

Synchronisieren & Daten Exfiltration

Der Synchron Verfahren weist eine Reihe von Schritten, hier umschrieben:
  • Authorization zwischen Implantat und Server
  • Zeit Synchronisierung zwischen Implantat und RCS-Server
  • Implantatentfernung (wenn hier als "geschlossen" festgelegt durch Techniker)
  • Implant Konfigurations-Update
  • Implant Downloads Material aus dem RCS-Server gesendet
  • Laden Sie den RCS-Server von "download" Cue Material
  • Laden Sie den RCS-Server von Beweismitteln, kombiniert mit sicheren Lösch
  • Zusätzliche sicheren Löschen von Beweis
Mobile und Desktop-Versionen haben leicht unterschiedliche Parameter. Während Desktop-Implantate können Bandbreite und Verzögerungen bei der Übermittlung Materialien hinzugefügt, müssen die mobilen Einstellungen einige einzigartige Eigenschaften.
Techniker können Sie die Art der Datenkanal (WiFi oder Cell Network), dass das Implantat verwendet, um zu aktualisieren, zu erzwingen. Interessanterweise können die Techniker Anmeldeinformationen angeben, für die APN verwendet, um Daten exfiltrate . Dies ermöglicht es dem Implantat zu vermeiden, entstehen Datengebühren und Anzeige von Datenverkehr zum Opfer. Die Funktion ist als nur auf Blackberry und Symbian OS in Version 9 von RCS angegeben.

Anti-Analyse Funktionalität & Anti-Forensik

A-Funktionalität als "Krise" bezeichnet ermöglicht Aktionen auf dem Nachweis von "feindlichen" Aktivitäten (die Dokumente geben das Beispiel eines Packet Sniffer). Diese Funktionalität kann durch eine Reihe von Szenarien ausgelöst werden und eine Anzahl von Optionen, basierend auf Identifizieren von Prozessen. In Desktop-Versionen können diese Optionen, einschließlich Pause Synchron und nicht Einhaken Programme. Für den mobilen Versionen diese Optionen enthält Pause Ton, Kamera, Ort sammeln, und Synchronisieren.
Ein wischen kann auch ausgelöst werden, und nach den Unterlagen, Hacking-Team informiert die Benutzer, dass es "keine Spur" des Implantats zu verlassen. Die Deinstallation Aktion verfügt über mehrere Funktionen, die von Interesse in der forensischen Analyse von möglicherweise infizierten Geräte sein könnten: (i) Deinstallieren auf Blackberry löst einen automatischen Wiederanlauf; (Ii) zu deinstallieren auf Android-Geräten, wenn root nicht erfolgreich zu einer Benutzereingabeaufforderung eine Erlaubnis eingeholt zu deinstallieren gewonnen; (Iii) für Windows Phone, löscht deinstallieren Sie alle Dateien, aber nicht in der Liste der Programme, entfernen Sie das Anwendungssymbol.

Code Signing und Zertifikate

RCS ist für die Codesignatur übernehmen bei der Erstellung von Implantaten. Die Dokumente hilfreich vorschlagen Verisign, Thawte und GoDaddy als Quellen der Code Signing-Zertifikate. Darüber hinaus werden die Dokumente fordern Benutzer auf Hacking-Team technische Unterstützung für Hilfe bei der Beschaffung eines Zertifikats zu kontaktieren.
Interesingly, für Symbian, werden die Benutzer angewiesen, eine "Entwickler-Zertifikat" direkt vom Trustcenter erwerben und bietet sogar die URL ( https://www.trustcenter.de/en/products/tc_ publisher_id_for_symbian.htm ).
Für infizieren Windows Phones, werden die Benutzer aufgefordert, ein Microsoft-Konto (anmelden signup.live.com ) und ein Windows Phone Dev Center Rechnung ( https://dev.windowsphone.com/en-us/join/ ).
Die Dokumente zeigen, dass Hacking-Team geht zu sichern, Benutzer ordnungsgemäßen Ablauf des Genehmigungsprozesses (von Symantec verwaltet) und weist Benutzer umgehend antworten auf Telefon und E-Mail-Kommunikation von Symantec ist. Benutzer erhalten auch instsructions in, wie man eine Unternehmensmobil Code Signing Zertifikat erhalten ( https://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do )

Android Spezifische Probleme

Um einige seiner Module (Chat, Nachrichten, Screenshot) laufen, die Android-Implantat erfordert Root-Rechte auf dem Gerät. In einigen Fällen, in denen Übernahme von Root-Rechten nicht erfolgreich ist, kann das Opfer von Hand aufgefordert, die Anwendung Root-Zugriff zu geben. Zusätzlich wird in Fällen, in denen Stamm nicht erfolgreich auf einem Android-Gerät erworben haben, sieht das Opfer eine Eingabeaufforderung eine Erlaubnis eingeholt, wenn eine Deinstallation ausgelöst wurde.
Hacking-Team hilfreich stellt fest, dass die Standard-APK-Datei Implantat wird wie eine normale Anwendung mit dem Namen "Deviceinfo", die Geräteinformationen angezeigt.

Anonymizer & Proxy-Kette Architektur

Dieses Bild zeigt, wie ein Systemadministrator sieht eine verteilte Proxy-Kette (siehe Anhang: Verteilte Hacking-Team RCS Architektur ) und Kollektor Architektur.

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, System-Administrator-Handbuch" 2013

Licensing, Updates

Zum Zeitpunkt der Erstellung einer Sammlung Architektur wird eine Lizenzdatei von Hacking-Team von der Software erforderlich, nach den Unterlagen. Andere Lizenzen sind für bestimmte Funktionen, sowie den stärker entwickelten Analyse-Toolkits erforderlich.
Die Dokumente zeigen, dass Hacking-Team unterhält ein Aktualisierungszyklus für seine Produkte. Der Update-Prozess wird von einem Systemadministrator mit Updates von Hacking-Team vorgesehen durchgeführt und enthält Updates, die die Erfassung und Injektor Infrastruktur und Implantate.

Wirtschaftsprüfung

Das Programm scheint, um eine Basisprotokollfunktion und Auditing-Fähigkeit haben, so dass autorisierte Administratoren, um Protokolle von Benutzeraktionen im gesamten System zu sehen, auch der Wechselwirkungen mit Implantaten. Diese Fähigkeit scheint entwickelt wurden das Toolkit mehr kompatibel mit Beweisanforderungen für mit digitalem Material zu machen. Wir stellen fest, aber die Leichtigkeit, mit der Beweise, Protokolle, Implantate und "Fabriken" irreversibel durch autorisierte Benutzer gelöscht werden.

Analysten Eye View

Dieses Bild zeigt graphisch die Art und Weise, in der mehrere Vorrichtungen eines einzelnen Ziels beeinträchtigt sein kann und zugleich überwacht.

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Analysten Guide", 2013
Analysten können Suchanfragen auf Daten mit Textzeichenfolgen sowie Filterung und sortiert Daten durchzuführen. Darüber hinaus Analysten können Flag-Daten für wichtig, ebenso wie für automatisierte Regeln für die Kennzeichnung von Daten.
Datenspeicherung nutzt die Open-Source-MongoDB und Dokumentation gibt an, dass Hacking-Team RCS verwendet MongoDB 2.4.8.
Als nächstes auch aus einem Demo-Beispiel sehen wir die Informationen von einem Zielcomputer exfiltrated. Bemerkenswert ist die Verwendung eines basischen farbcodierte Flagging-System (rot, grün, gelb), um Flagge Beweise sowie die Art der Informationen, die der Analyst von jeder Aufnahme. Hier sehen wir Screenshots von bestimmten Programmoperationen (zB mit Blackberry Desktop-Software und Skype) sowie Standortinformationen. Adressen in der Standortinformationen sind identisch mit dem öffentlich zugänglichen Adresse des Hacking-Team.

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Analysten Guide", 2013.
In der folgenden Abbildung sehen wir die Analysten Konsole Wiedergabe einer abgefangen Skype-Anruf.

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Analysten Guide", 2013.
In der folgenden Abbildung sehen wir Live-Browsing von Dateibaum einer infizierten Systems. Dies ist eine Funktionalität, die in bestimmten Fällen aktiviert werden kann.

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Analysten Guide", 2013.
Das folgende Bild zeigt eine Karte und Timeline-Ansicht von der Position der infizierten Geräte. Interessant ist, dass in diesem Bild, als Lehr-Darstellung verwendet wird, scheint es, dass Hacking-Team könnte versehentlich enthüllt haben Informationen über eine Demonstration an einen US-Strafverfolgungsbehörden, um ihre anderen Kunden . Genauer gesagt, ist die Lage des "Jimmy Page" Gerät auf dieser Karte in der zugangskontrollierten Parkplatz des LA County Sheriff (und scheint mit dem Datum 6. September 2013 abgestempelt werden oder 3. Dezember 2012). Es mag Zufall sein, dass Hacking Team wurde ausführlich dargestellt im ISS-Welt später im September 2013 in den USA statt.

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Analysten Guide", 2013.
Die Verwendung von Google Maps in der Tool bietet eine grafische Darstellung der Ziele; aber es kann einen schwerwiegenden Verstoß gegen die Betriebssicherheit für die Kunden, einschließlich verraten Standortdaten für die laufenden Ermittlungen zu präsentieren. Auch wenn einige der Punktdaten werden nicht übertragen, benötigt Google die Karte Schwerpunkts wissen (und damit Zielposition), um einige dieser Plan Daten zu liefern.
Es ist möglich, dass Hacking-Team RCS ist hochempfindliche Untersuchungsdaten der Regierungskunden auszusetzen Google als sie machen Gebrauch von der Google Maps API, um diese Karte anzuzeigen.
Darüber hinaus Google Maps Traffic, auch unter Verwendung von SSL, war Gegenstand erfolgreich Traffic-Analyse durch Dritte in der Vergangenheit. Wir haben zwar nicht diese Sicherheitslücke nachgewiesen, glauben wir, diese Möglichkeit eine weitere Untersuchung angezeigt.
Über Datensammlung, die Dokumente zeigen, dass Hacking-Team bietet eine grundlegende Untersuchung Management Toolkit einschließlich Grund Link-Analyse und andere Funktionen mit dem Kauf einer zusätzlichen Lizenz. Die Software kann bauen sehr Basic Link-Analyse mit "Peer" (Kontakt zwischen Entitäten wie Anrufe) und "Know" (eine oder beide Personen in anderen Telefonbuch gefunden) Verknüpfungen. Das System versucht automatisch, um die Identität, wenn Links Details werden zwischen Entitäten geteilt (zB eine Telefonnummer) zu erstellen. Zeitseriellen und Standortdaten können ebenfalls angezeigt werden.

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Analysten Guide", 2013

Evolving Terminologie

Die Dokumente zeigen, dass Hacking-Team hat eine Reihe von Änderungen in der Sprache, die es verwendet, um seine Instrumente zu beschreiben werden. Wir haben zum Beispiel, dass in v7.6 und unterhalb sie verwendete Ausdruck "Hintertür", um ihre Implantat beziehen, jedoch wird der Begriff in v 8,0 und höher, "Agent". Ähnlich sie den Begriff "Hintertür Class" geändert " Factory "in der gleichen Zeitperiode.

"Unsichtbarkeit"

Nach den Unterlagen, erscheint Hacking-Team, um Kunden mit einem "Unsichtbarkeit Report" für seine RCS solultion versorgen. Zum Beispiel haben wir die "Version 9.0 - Unsichtbarkeit Report" überprüft. Für den Silent-Installer, Melted Anwendung, Netzwerk-Injector INJECT-EXE Angriff und Offline-CD "
Das Dokument informiert die Kunden: Die Tests wurden auf einem Standard-64-Bit-Windows-7-Installation durchgeführt wird.
Bildquelle: "Version 9.0 - Unsichtbarkeit Report", undatiert.
Bildquelle: "Version 9.0 - Unsichtbarkeit Report", undatiert.

Abschluss

Hacking-Teams Remote Control System ist ein Überwachungs Malware Toolkit für "Lawful Interception" Verwendung vermarktet. Wir identifizierten und RCS Android Implantate, lockt mit einer politischen Subtext hindeutet Ziele im Qatif Governorate von Saudi-Arabien hatte analysiert. Die Analyse dieser Implantate zeigte eine Reihe von Überwachungsfunktionen.
In den vergangenen Jahren haben wir sowohl erforscht Gamma-Gruppe und Hacking-Team , setzen ihre globale Verbreitung und Hervorhebung der Technologien und Taktiken, die sie verwenden. Unser Interesse an diesen Gruppen ist nicht, weil sie den anspruchsvollsten Implantate zu erstellen . In der Tat, seit der Aurora Vorfall im Jahr 2009, gab es viele öffentliche Meldungen über ausgefeilte Malware von Nationalstaaten eingesetzt. Zum Beispiel Turla, eine Kampagne in Russland zurückzuführen, wurde beschrieben als "eine der komplexesten Cyber-Spionage-Programme auf dem neuesten Stand aufgedeckt." Zusätzliche Aktionen der Anmerkung umfassen careto, nach Spanien verbunden [PDF] und Miniduke . Inzwischen hat erhebliche Analyse und die öffentliche Diskussion in den Stuxnet, Duqu und Flamme, die verschwunden sind angeblich ein Produkt der amerikanischen und israelischen Zusammenarbeit.
Diese High-Impact (und in der Regel hohe Entwicklungskosten) Implantat-Kits alle scheinen ausschließlich die Länder, die sie zugeschrieben werden, und sind entworfen, um gezielte Angriffe durchzuführen.
Hacking-Team und Gamma-Gruppe unterscheiden sich aus mehreren Gründen. Erstens ist die Software zur Verfügung für alle, aber einige wenige Länder, sofern sie zu bezahlen. Zweitens wird ihre Software vermarktet, alltägliche Kriminalität und "Sicherheitsrisiken", zielen, während die staatlich geförderten Kampagnen, die wir oben umrissen sind so konzipiert, Spionageoperationen gegen gehärtet, hochwertige Ziele zu unterstützen.
Diese Art von außergewöhnlich invasive Toolkit, einmal eine teure Boutique Fähigkeit durch Geheimdienste und Militärs im Einsatz, ist ab sofort für alle außer einer Handvoll von Regierungen. Eine unausgesprochene Annahme ist, dass die Kunden, die für diese Instrumente zahlen können, werden sie richtig zu verwenden, und in erster Linie für streng überwacht, rechtliche Zwecke. Wie unsere Untersuchungen haben jedoch gezeigt, durch eine dramatische Senkung des Einstiegskosten auf invasive und schwer Spur Überwachung, senkt das Gerät die Kosten für die Ausrichtung der politischen Gefahren für Personen mit Zugriff auf Hacking-Team und Gamma-Gruppe Toolkits.

Danksagung

Seth Hardy, Sarah McKune, Marcia Hoffman, Sebastian Porst, Masashi Kreta-Nishihata, Bill Marczak, Ron Deibert, Human Rights Watch, Abeer Allam, und mehrere Journalisten und Forscher, die sehr großzügig mit ihrer Zeit waren.

Anhang A: Verteilte Hacking-Team RCS Architektur

Dieses Bild zeigt eine verteilte Hacking-Team RCS Sammelinfrastruktur, nach den Unterlagen.

Bildquelle: "Hacking Team RCS 9: Das Hacking-Suite für staatliche Überwachung, Systemverwalterhandbuch", 2013

Anhang B: Liste der Befehle 'rilcap'

Befehle bereitgestellt von:
/ System / bin / rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93
vol töten die Lautstärke-Dämon (vold)
blr
mount / System als schreibgeschützt
BLW
mount / System Lese-Schreib-
rt
Klon selbst zu / system / bin / rilcap mit Berechtigungen 04.755
Qzx [Befehl] [Argumente]
geht Argument system ()
fhc [Quelle] [Ziel]
Kopie-Datei
pzm [Erlaubnis flags] [file]
Dateiberechtigungen ändern
qzs
Lesebefehle aus der Datei mit dem Namen qzs und ausführen (execv / system / bin / sh ...)
reb
rebooten
adm [name]
fügt [name], um geräte policies.xml
ru
unlink Selbst
FHO [user] [user] [Dateiname]
ändern Dateieigentümer
sd
prüfen und montieren SD-Karte (aber es hat Pfad als / mnt / sdcard codiert, so wird nicht immer)
fb [file]
Kopien von Bildpuffer in eine Datei (für Screenshots)

Fußnoten

1 http://developer.android.com/reference/android/Manifest.permission.html
2 https://developer.android.com/about/dashboards/index.html


 ====================================================
 https://citizenlab.org/2014/06/backdoor-hacking-teams-tradecraft-android-implant/

Polico Story: Hacking Team Registaro Surveillance Malware

Junio ​​24, 2014
 Elŝuti PDF-version mi Legu plu ISSUU
Aŭtoroj:
Morgan Markizo-Boire, John Scott-Railton, Claudio Guarnieri, kaj Katie Kleemola
Por amaskomunikiloj kovrado de ĉi tiu raporto, vidu The Economist , Associated Press , Wired , vice , International Business Times , Forbes , Ars Technica , Kaspersky la Threatpost , Slash Gear , Engadget , Helpo Net Sekureco , The Verge , CIO Hodiaŭ , Voĉo de Ameriko (VOA ) , Computer World , Infosecurity Revuo , kaj Slate .
Legi la araba versio / النسخة العربية tradukita de Cyber ​​araboj
La maldekstra ĵurnaloj povus Whine iom
Sed la infanoj de la stacidomo ili ne donas fek
Dispatch alvokoj "Ĉu vi Doin 'Something Wicked?"
"Neniu siree, Joĉjo, ni nur givin 'biletoj"
Polico Kamiono, Dead Kennedys (1980)

Resumo

  • En Parto 1 , ni analizas nove eltrovita Android enplantas ke ni atribuas al Hacking Team kaj reliefigi la politikan subtexto de la logaĵo enhavo kaj atako kuntekston.
  • En Parto 2 , ni elmontros la funcionalidad kaj arkitekturo de Hacking Team La Remote Kontrolo System (RCS) kaj telefonisto tradecraft en neniam-antaŭ eldonita detalo.

Enkonduko

Tiu raporto analizas Hacking Team Android enplantas, kaj ĝi uzas novajn dokumentojn por ilustri kiom iliaj Remote Kontrolo System (RCS) interkaptita produkto funkcias. Tiu laboro konstruas sur nia antaŭa esplorado en la teknologioj kaj kompanioj malantaŭ "Laŭleĝa interkaptita" malware. Ĉi tiu teknologio estas surmerkatigitaj kiel plenigante truon inter pasiva interkaptita (kiel reto monitoreo) kaj fizikaj serĉoj. En esenco, ĝi estas malware vendataj al registaroj. Kontraste telefono monitoreo kaj fizikaj serĉoj, tamen, plej landoj havas malmultajn jurajn gvidlinioj kaj superrigardo por la uzo de tiu nova potenco. En lumo de la manko de gvidlinioj kaj superrigardo, kune kun lia kaŝa naturo, ĉi tiu teknologio estas unike vundebla al misuzo. Analizante la iloj, kaj lia proliferación al manoj de entreprenoj kiel Hacking Team kaj Gamma Group , ni esperas apogi klopodojn por certigi, ke tiuj iloj estas uzitaj en respondigebla maniero, kaj ne seksperforti bazajn principojn de homaj rajtoj kaj juroŝtato .
En informo eldonita komence de ĉi tiu jaro, ni prezentis la rezultojn de tutmonda scanning penado , kaj identigis 21 landoj kun disfaldas de Hacking Team La Remote Kontrolo System monitoreo solvo. Krome, kune kun aliaj investigadores, ni malkovris gamon da kazoj kie "Laŭleĝa interkaptita" programaro estis uzita kontraŭ politikaj celoj per subpremaj reĝimoj. Politikaj kaj civila socio celoj inkludis Mamfakinch en Maroko , homaj rajtoj aktivisma Ahmed Mansoor en la UAE , kaj ESAT , usona-bazita novaĵservoj enfokusigante en Etiopio. En ĉiuj tiuj kazoj, ilo surmerkatigitaj por "leĝo" estis uzita kontraŭ politika, prefere ol sekureco minacoj. En ankoraŭ aliaj kazoj, kiel Malajzio [PDF], ni trovis logaĵo dokumentoj kaj semitaj sugesta de politika celado.

Parto 1: androide Hacking Team backdoor en Saŭda Arabio

Protestoj en Saŭda Arabio kaj Qatif

Dum Saŭda Arabio ne vidis protestojn komparebla al tiuj aliloke dum la araba Printempo, ĝi spertis protestoj ekde 2011, ĉefe en la Ash-Sharqiyah provinco. Estas nombro de kialoj pro politikaj streĉiĝoj, kiuj iras de demografiaj premoj, kosto de loĝado, kaj senlaboreco, por temoj de virinaj kaj minoritataj rajtoj. La provinco estas plejparte ŝijaista, kiu havas longan-staranta plendoj super perceptitaj politikaj kaj kulturaj marginación de la sunaistoj reganta reĝimo. Tiuj plendoj estis Pligrandigita kiam, en frua 2011, la bahreiní registaro perforte subpremita Shia protestoj helpe de Saudi Arabian trupoj.
Protestoj tiam disvastiĝis en nombro de areoj, inkludante en la superregante Shia Qatif Governorate . En 2011, Shia plej manifestantes ŝajnas havi komence postulis reformo, prefere ol la reĝimo-ŝanĝon pledis en aliaj arabaj landoj. Interese Qatif havas historion de Shia protesto, plej fame en disvastigata protestoj en 1979. En respondo al la protestoj, kiuj postulis pli granda politika kaj ekonomia partopreno, la reĝimo havigis vasta ekonomia koncesiojn. En 2011, tamen, aŭtoritatoj respondis kun perforto kaj arestoj de elstara Shia figuroj. Manifestaciantoj estis vunditaj kaj aliaj supozeble mortigis per sekurecofortoj, laŭ Human Rights Watch. Tiu subpremo eble kontribuis al sxangxigxantaj manifestantes postuloj; hodiaŭ, iuj eksplicite postulas reĝimŝanĝo uzante laika lingvo, laŭ esploristoj kaj ĵurnalistoj rekte familiara kun freŝaj disvolviĝoj kiuj parolis kun ni. En kio povus esti priskribita kiel respondon inflamatoria, Saud aŭtoritatoj ankaŭ arestis al malkaŝema kaj alte videbla Shia Sheikh.
"... La prokuroro postulis li decidas ne nur pri la mortkondamno, sed plia puno mandatita de Ŝario juro por la plej abomenindaj ofendoj en kiu la mortinta korpo malpurigxis de esti pendigita de poluso." - Reuters
La grimpita, kiu estis akompanita per perforto kontraŭ sekureco servoj inter iuj ŝijaismaj, estas uzita de la reĝimo por pravigi severajn mezurojn, inkludante "tumulto kontrolo," arestoj kaj frazoj inkludante morto por manifestantes kun postenoj de "Sedición." Aliaj estis akuzita pri spionado nome de Irano, en kazo kiu estas pretendita de multaj Shia ke estis politike motivita .
Homaj rajtoj organizoj kiuj katalogis supozitaj misuzoj, kiel la Adala Centro por Homaj Rajtoj, estis neita la kapablon registri kiel formalaj organizoj, temo al URL blokado , kaj havis bastonon persekutadis kaj malliberigita . Ĵurnalistoj provas raporti pri Qatif estas forbarita de eniri , kaj regule submetitaj al minacoj kaj registaro premo.
Sociaj amaskomunikiloj kaj poŝtelefonoj estas ŝlosila parto de kiel protestoj estas organizitaj, kun manifestantes prenas mezurojn, kiel uzante pseŭdonimoj kontoj, dividi ilian mesaĝon. Tamen, laŭ homoj konata kun la okazaĵoj, cifereca operacional sekureco praktikoj estas ofte piecemeal, kaj ne egalas la kapablojn de la sekurecaj servoj.

Viglado, Viglado kaj Informo Kontrolo en Saŭda Arabio

Saŭda Arabio estas unika kaj kompleksa sekureco medion kaj sian sekurecon servoj ludi gamon de roloj. Unuflanke, Saŭda Arabio alfrontas innegable fremdaj kaj hejma sekureco minacoj de malamikaj grupoj, ekstremistoj kaj aliaj registaroj. Aliflanke, la reĝimo estis escepte agresema en liaj provoj por kontroli kaj subpremi malakordo kaj politika pluralismo.
La sekurecaj servoj en Saŭda Arabio uzi gamon de instrumentoj de formalaj kaj neformalaj ŝtatpotenco kontroli la elektronika informo medio en la lando. Komencante ĉe registaro-subtenita Interreto chokepoints kaj etendante al ISPs, la stato blokoj larĝa gamo de politikaj, religiaj kaj kulturaj enhavo. Tio inkluzivas sociaj rimedoj, ĉu specifajn uzantojn aŭ tutaj platformoj . Etendante pli tie, la ŝtato postulas ke novaĵoj retejoj (difinita larĝe) registri kun la aŭtoritatoj. Registritaj retejoj submetigxas al vasta regulado, dum neregistritajn telefonistoj kiuj ne registris risko severajn punojn. Site operatoroj Ni instigas mem-monitoro kaj modera enhavo, sub minaco de financaj punoj, malliberejo tempo, kaj korpa puno kiel okulharoj. Krome, anti-cibercrimen leĝaro ankaŭ estis uzitaj por procesi linio dialogo ke plej socioj konsiderus akceptebla politika parolado.
La publika uzo de móviles monitoreo etendas en formoj de socia kontrolo kiu multaj socioj trovus tre malaprobinda. Ekzemple, la registaro akiris internacian kondamnon kiam anoncis ke estus implementar sistemo por ebligi ilian vira gardisto por monitorear la vojaĝoj konduto de virinoj sub lia zorgo. Anstataŭante malnovan permeso-slip bazita sistemo ("flavaj kartoj"), masklo gardistoj ricevi mesaĝojn de teksto kiam virinoj alvenas sur la premisoj de la internacia flughaveno , demandante ĉu la virinoj estas permesitaj vojaĝi.
Interreto kaj la sociaj rimedoj uzantoj estas instigitaj al mem-cenzuristo kaj raporto pri ĉiu alia. La registaro engaĝiĝas en publika publikeco kampanjoj por instigi kaj kondutoj, faras ĝin klara al Saud civitanoj ke ili rigardas kaj aŭskultas. En aparta, la stato estas implementado specifaj punoj por re-sharing, private aŭ publike, enhavo juĝis malaprobindan. Krom uzi la eksplicita iloj de la leĝo, ĝi estas larĝe kredite ke la stato instigas al "elektronika armeo" de por-registaro individuoj al supersxargxu duonaj sociaj konversacioj kun por-reĝimo voĉoj kaj persekutadi alikredantoj.
Parolado engaĝante religiaj temoj estas speciale riska, kiel la registaro estas volanta uzi serioza religiaj postenoj, inkludante la mortpuno kaj korpa puno, kaj iloj de internacia jurisprudenco kiel ekstradicio, reteni kaj puni tiujn kiuj malobservas liaj striktaj normoj por politika, religia, kaj kultura parolado.
En du rimarkindaj kazoj, la telefonisto de la Saŭda Liberaluloj diskuto forumo estis eventuale kondamnita al 10 jaroj en malliberejo kaj 1000 okulharoj subteni forumon sur la diskuto de religio kaj reformo. Ĉi estis redukto de varoj, kiel la prokuroro postulis lian ekzekuton. Multaj similaj kazoj, uzante diversaj postenoj, estis raportitaj de homaj rajtoj organizoj kaj komentistoj.
Tiuj mezuroj havos intence fridiga efekton en politika parolado, kaj estas regule la temo de kritiko de la internacia homrajta komunumo . Tamen, la sociaj rimedoj daŭre estas la primara ellasejo por politika parolado. Multaj uzantoj praktiki iun gradon de mem cenzuro, aŭ nerekta parolo, dum aliaj uzas pseŭdonimojn kaj aliaj teknikaj rimedoj por antaŭgardi lian anonimecon. Por aliro malpermesita enhavo, la uzo de virtuala privata retoj (VPNs) estas ankaŭ komuna. En respondo, sekurecaj servoj uzas policano kaj enketan potencoj desenmascarar la afiŝoj, kaj punas ilin severe, foje post arestoj kie la nomo de la malliberigitoj (j) estas konservita sekreto.
Telefono uzo en Saudia Arabio havas penetradon imposto de 170% , kun estimita mezumo de 30% de individuaj enspezoj elspezita por poŝtelefono kaj interreto kostoj en 2014. Kiel rezulto, plej mekanismoj de Interreto viglado, kiel monitoranta Interreto kafejoj, estas esti anstataŭita. Individuaj uzantoj estas postulataj por uzi realajn identecojn kiam registri mekanismoj móviles, kaj estas certe ke la stato serĉas pli granda videbleco en ĉifrita trafiko. En 2010, ekzemple, Saŭda Arabio sukcese akiris aliron al BlackBerry konektoj post fari Saud-lokalizita serviloj de quid-por-quo de permesante la mekanismoj en Saud Retoj . Pli ĵuse, la registaro apetiton por ĉifrita konekto estis malkaŝita de Moxie Marlinspike, sekureca esploristo kaj ellaboranto, kiu ricevis uverturo de Saud telekomunikadoj kompanio Mobily sercxante lian helpon en alirante ĉifrita trafiko . La firmao sercxis detranĉo solvo (sur peto de la Saŭda registaro, ili diris) por aliro al gamo de moveblaj babilejo klientoj (Viber, LINIO, WhatsApp) tiel kiel la móviles-versio de Twitter.
La uzo de móviles malware povas esti komprenita kiel parto de tiu deziro, neniel limigita al Saud-Arabio, por kongrui la teknologiojn en uzo de ilia loĝantaro.

Sembrador: logilo kun Politikaj subtexto?

Uzante subskribojn disvolvita kiel parto de nia daŭranta esplorado en "laŭleĝa detranĉo" malware disvolvita de Hacking Team, ni identigis suspektindan Android instalado pako (APK). La dosiero estis funkcia kopio de la 'Qatif Today (القطيف اليوم) novaĵo apliko inkludita kun Hacking Team utila ŝarĝo. Dokumentoj ni reviziis sugestas ke Hacking Team nomas tiun tipon de móviles enplantas kiel "Instalado Pako," kie legitima triaj apliko dosiero estas inkludita kun la enplantas (Vidu: Disvolvante kaj disfaldante enplantas ). Tiu speco de taktiko kun Android pako enplantas estis vidita en aliaj celataj malware atakoj (kiu ne uzas komercan "Laŭleĝa detranĉo" produktoj) inkludante la LuckyCat kampanjo , kaj en atakoj kontraŭ Tibetan aktivuloj kaj grupoj en la Ujgura komunumo .
La aŭtenta 'Qatif Today app estas Android (elŝuti ĉi tie ) kaj iPhone apliko kiu havigas novaĵojn kaj informojn en araba kun speciala graveco al la Qatif Governorate de Saŭda Arabio.

Qatif Hodiaŭ en la Google Play app vendejo
La ligo al Qatif estas interesa, donita la freŝa historio de protesto en Qatif kiel skizita supre. Ni ne estas en pozicio por determini la identecon de la grupo aŭ individuo celataj kun ĉi malware, tamen, ni spekulas ke la atako povus esti ligita al politika protesto en orienta Saud-Arabio.

Hacking Team Specimenoj

La malica APK, QatifNews.apk, havas la sekvajn hash:
8e64c38789c1bae752e7b4d0d58078399feb7cd3339712590cf727dfd90d254d
En la momento de unua submetiĝo al la VirusTotal datumbazo, la arkivoj estis detektita per nulo el 50 antivirus produktoj en VirusTotal:
0/50 2014-03-11 09:28:49 2014-03-11 09:28:49
Ĝi aperas ke APK de la sama nomo estis semita sur Twitter 5 tagojn poste por oni rakontas en Twitter (_bhpearl) ligita al Bahréin, lando de granda intereso al Shia en Qatif.

Twittear kun ligiloj per_bhpearl (ekde forviŝita)
La tuiteó ligoj estis mallongigita uzante la goo.gl servon. Tiuj decidis:
https://itunes.apple.com/app/qatiftoday-alqtyf-alywm/id584947120?mt=8
kaj
https://dl.dropboxusercontent.com/s/fw92fsu9r694iqc/QatifNews.apk
La unua ligo al la iTunes vendejo havas 18841 klakoj sur la mallongigita ligilo aperas laŭleĝa. La dua ligo, tamen, ne alidirekti al la aŭtenta app ĉe la Android App Store. Anstataŭe, ĝi alidirektilojn al Dropbox dosieron kiu de tiam estis removido. Ekzameno de Analytics en la mallongigita dua ligilo estas interesa; estis nur 13 klakoj. Ni povas rabato 7 de tiuj klakoj (tiuj en Usono kaj Germanio) kiel esploristoj, dum tri estas en Saud-Arabio. Unu klako en Tajvano eble VPN, aŭ sekureca esploristo.

Google Shortener Analytics
Dum ni ne povas konfirmi ke la dosiero en Dropbox estis la sama APK, ni suspektas la altempigo de la tweet, kaj la uzo de ne-norma metodo por dividi Android apliko, ne estas koincido.

Malica APK Kodo Subskribo

La malica apk estis subskribita per jena atesto:
Eldonanto:
DN: C = US, ho = Suno, OU = JavaSoft, CN = Servilo
C: Usono
CN: Servilo
O: Suno
OU: JavaSoft
Subject:
DN: C = US, ho = Suno, OU = JavaSoft, CN = Servilo
C: Usono
CN: Servilo
O: Suno
OU: JavaSoft
Seria: 1369041295
SHA256 fingropremo: 8ab03660fe537994b207e900f8e2f5711c08e61232e167ce97e52bb3fd77757f
Pli larĝa diskutado pri kodo-subskribo praktikoj por Hacking Team enplantas estas klarigita en la dokumento en la sekcio " Kodo fichaje kaj Atestiloj ".

Pliaj Specimenoj

Ni povis identigi plia ses specimenoj subskribis kun la sama atestilo:
e85db2d92ae97f927905d6e931a0cb1f5b6def2475c23e023fe617249dddddb4
0b657e29a3e249b414fbde3a85e7be0829ddaad49b8ff2832350cfe5af190ba1
535070b5bd076f137052eb82257f16db4c3ba3e3516970b8934524e4a750a8f1
748e04aee9ec1a82abd2f0a9d3ddc33925a8a74b5058088dbf3d6a3c1e9698d8
8d2012d44208e79ea6e511847f86af0c45271e6f678ccc19639fe6c2eee75449
e6a77c8bf232636a505c31fae0215789caf8d73682102304a2541513de945526
La unua specimeno de tiu listo (... db4) estis prezentitaj al VirusTotal kiel:
Dato Dosiernomo Submitter ID Submitter Lando
2012-08-28 10:06:01 rcs.apk 18e48a9b (API) Germanujo
Kurioze, ĉi tiu estis la unua specimeno (kronologie) al esti proponita en VirusTotal el tiu grupo de dosieroj. La nomo "rcs.apk" ŝajne estas mallongigo de la nomo de Hacking Team La celataj viglado solvo, 'Remote Kontrolo System.

Permesoj

La originala app postulas la jenajn rajtojn:
android.permission.INTERNET
android.permission.GET_ACCOUNTS
android.permission.WAKE_LOCK
android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
com.google.android.c2dm.permission.RECEIVE
com.aymax.qatiftoday.permission.C2D_MESSAGE
android.permission.USE_CREDENTIALS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.VIBRATE
La enplantas petas la sekvan permesojn, kiuj donas al ĝi la kapablon prilabori alvokoj, legi kaj skribi SMS mesaĝojn, kontroli la uzanto GPS situo, kaj pli.
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_WIFI_STATE
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.FLASHLIGHT
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALENDAR
android.permission.READ_CONTACTS
android.permission.READ_LOGS
android.permission.READ_PHONE_STATE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.USER_PRESENT
android.permission.WRITE_SMS
La jenaj permeso estis petita de pluraj de la aliaj identigis Hacking Team androide enplantas:
android.permission.WRITE_APN_SETTINGS (skribu Aliro Punkto Nomo agordoj)
Ĉi tiu valoro permesas aplikojn ŝanĝi la APN (Access Point Name), enmuzikigo en telefono móvil kiu identigas ekstera reto la telefono povas aliri por datumoj. Ĉi tiu valoro estas markita kiel ne por uzo de triaj partiaj aplikoj en la Android Ellaborantoj referenco. 1 Pliajn diskuton de ĉi tiu funcionalidad, vidu: Aliaj Kapabloj .

Konduto & Reto Konekto

Post analizi la konduton de la apliko ni povis plui konfirmi la malica naturo de la dosiero.
Kiam ekzekutita, la app realigas poŝto al:
http://iphone.al-motamiz.com/qatiftoday/gcms/register.php
Tiu servilo estas loĝigita ĉe iWeb en Montrealo:
IP adreso 174.142.97.245
Gastiganto server.5edma.com
Loko canadaflag CA, Kanado
Urbo Montrealo, QC H3E 1Z6
Organizo IWeb Teknologioj
ISP IWeb Teknologioj
AS Numero AS32613 iWeb Teknologioj Inc.
Ni kredis tion legitima komunikado per la señuelo apliko.
Ni ankaŭ observis komando kaj kontrolo (C2) komunikado kun du pliaj serviloj. Ni poste trovis la saman IP adresoj en deĉifrita teksto de la enplantas la config dosiero (vidu: ofuscación / enplanti Agordo ). Parenteze, ĉi estis konsekvenca kun kiel Hacking Team enplantas vendejo C2 adresoj.
http://91.109.17.189/
http://106.186.17.60/
La unua servilo estas loĝigita en Leaseweb en Germanio:
Gastiganto 91.109.17.189
Loko germanflag DE, Germanio
Organizo Leaseweb Germanio GmbH (antaŭe netdirekt e. K.)
AS Numero AS16265 LeaseWeb BV
La dua estas loĝigita en Linode en Japanio:
IP adreso 106.186.17.60
Gastiganto li528-60.members.linode.com
Loko japanflag JP, Japanio
Organizo KDDI Corporation
AS Numero AS2516 KDDI KDDI CORPORATION
En antaŭa laboro , ni identigas ambaŭ la Leaseweb kaj la Linode IPs kiel parto de Hacking Team prokurilo ĉeno nudigxis en niaj antaŭaj raportado. Tiutempe ni ankaŭ identigis tria IP (206.190.155.40) kiuj apartenis en la sama grupo. Ĉi trovo nerekte validigas la metodoj uzis en la antaŭa informo, kaj reliefigas la tria IP kiel verŝajna parto de la sama kolekto infrastrukturo.
91.109.17.189
206.190.155.40
106.186.17.60
Tiu aldona IP estas en bloko posedata de la retgastiganto SoftLayer Teknologioj.

Elradikigu utiligas

La malica enplantas provas stat () la sekvaj dosieroj:
/ Dev / Exynos-MEM
/ Dev / DspBridge
/ Dev / s5p-smem
Tiu konduto estas konsekvenca kun konata ekspluati (CVE-2012-6422) kiu permesas al uzanto sen permesojn skribi al kompromitita mekanismo fizika memoro. An en profundo analizo de tiu ekspluati provizas Azimuto Sekureco tie .
Dum ĉi ekspluati ne estus efika kontraŭ la plej lastan version de la Android mastruma sistemo, alta procento de uzantoj ankoraŭ uzas legaco versioj kiuj povus esti vundeblaj. 2

Bildo Kredito: Google

Fono sur elradikigu Android Devices

Elradikigu Android telefono tipe implikas du komponantojn: la su duuma kaj kontrolisto apliko.
Por instali la su duuma, ĉu la aparato Fabrikejo permesis la boot loader esti malŝlosita aŭ vulnerabilidad estas ekspluatita al provizore levi permesojn. Iam la su binara estas instalita, aplikaĵoj povus uzi ĝin en kontrolita maniero levi iliajn permesojn por aliaj celoj.
La su tre similas la tradicia uniksa - uzu la suid flago tiel aplikaĵoj kiuj nomas ĝin levi iliajn permesojn al tiu de la plenumebla ili nomante - plejparte, inkludante ĉi tiu, radiko. Ĉiu apliko en Android kuras por lia propra uzanto por malhelpi aplikoj aliru rimedojn ne havas permesojn por.
Kontrolisto softvaro (kutime Superuser.apk) estas uzata por personoj kiuj intence elsarki ilia telefono tiel la su binara povas nomi la kontrolisto kiu tiam informas la uzanton kaj permesi ilin aprobi aŭ nei la privilegion grimpita. Tiel, eĉ kun enradikiĝinta telefono la uzanto ankoraŭ sciigitaj kiam aplikoj realigi agojn postulanta radiko aliro.

Kiel ĉi tio aplikas al la RCS Android enplantas

En tiu kazo vulnerabilidad estas ekspluatita al komence gajni radiko aliro, kaj binara delasas. Ĝi kopioj al / System / bin / rilcap (tra / proc / self / exe) kaj starigos sian acxetinton esti radiko tiel kiel opcio la plenumebla kaj suid flagoj. Ĉi tiu permesas por persista radiko aliro.
/ Sistemo / bin / rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93

RILCAP Funcionalidad

Ekzameno de la binara malkaŝis ke bazaj teknikoj kiel simpla kodita de ŝnuroj estas uzitaj por malhelpi analizo.
Ĉifrado algoritmo:
se str estas b [0] ... b [n],
len = b [0] ^ b [1] ^ b [2]
por b [i] en b [3] ... b [n]:
b [i] = b [i] ^ b [1]
b [i] = (b [i] - b [1]) & 0xff
b [i] = b [i] ^ b [0]
La binaraj enhavas la sekvajn funcionalidad:
  • Kapti informojn el la framebuffer (/ dev / grafiko / fb0) - kiu povas tiam esti uzata por kunvenigi ekrankopioj
  • Mortigu la volumo demonon (kiu aŭtomate detektas kaj muntas stokado mekanismoj kiam aldonita)
  • Monto / sistemo kiel nurlegebla aŭ legi registran
  • Kontrolu / proc / montojn por sdcard
  • Ekzekuti comandos de unprivileged aplikoj uzante sistemon ()
  • Ekzekuti comandos de dosiero uzante execv / sistemo / bin / sh
  • Modifu /data/system/device-policies.xml aldoni la apliko kiel mekanismo Admin
  • Kopii dosierojn
  • Modifu dosiero permesojn
  • Ŝanĝo dosiero posedantoj
  • Malligi mem
  • Rekomenci la mekanismon
Ĉi tiu funcionalidad permesas RILCAP agi kiel la su duuma farus - nur ne ekzistas kontrolisto apliko por sciigi al la uzanto de privilegio grimpita kaj oferu la elekto por permesi aŭ nei ĝin.
Plena listo de ordonoj troveblas en Apendico B .

Funcionalidad

Rigardante la specimenoj kiel grupo, ni identigas gamon de kondutoj indikativo de la enplantas la viglado kapablojn.
Provoj aliri 3a partio babilejo / voĉo apps:
Ni trovis ke la apps provas aliri la lokajn dosierojn stokita por populara socia amaskomunikiloj, babili, kaj voku apps inkludante Facebook, Viber, WhatsApp, Skype, LINIO kaj QQ.
/data/data/com.facebook.katana/databases
/data/data/com.facebook.orca/databases
/data/data/com.skype.raider/files/shared.xml
/data/data/com.whatsapp/shared_prefs
/data/data/com.whatsapp/shared_prefs/RegisterPhone.xml
/data/data/com.viber.voip/files
/data/data/com.tencent.mm/MicroMsg/
/data/data/com.viber.voip/files/preferences/reg_viber_phone_num
/data/data/jp.naver.line.android/databases/naver_line_myhome
/data/data/jp.naver.line.android
/data/data/jp.naver.line.android/databases
Krome, la app aliroj la loke stokita poŝto dosieroj apartenantaj al la kompromitita uzanto rakontas de poŝto.
/data/data/com.google.android.gm/databases/mailstore.{username}@gmail.com.db

Ofuscación / enplanti Agordo

Por preventi aldonan skrutinio en la internals de la backdoor, la fontkodo similas ke estis peze obfuscated tra la uzo de DexGuard (0r similaj), kiuj povas havigi ĉifrado por kordoj, tutaj klasoj kaj aktivoj, konsiderinde malrapidiĝanta kaj kompliki la dorsflanko inĝenierio procezo.
Dum analizanta la enplantas, ni DE-obfuscated la agorda dosiero. Malsupre ni elstaros kelkaj linioj kiuj kongruas funcionalidad en RCS (por pli kompleta listo vidas: enplanti Moduloj kaj funcionalidad ).
Ni trovas gamon de audio registrado, ĉambro, filmetoj, ŝlosilo lignoproduktado, "vivas mic" babili, mekanismo info ktp agordojn ĝeneralajn rilataj al la viglado funcionalidad de la enplantas. Ni ankaŭ rimarkas la ĉeeston de "krizo" modulo, kiu provizas anti-analizo funcionalidad klarigitaj sube (vidu: Anti-Analizo Funcionalidad & Anti jura ).
{“record”:true,”compression”:5,”buffer”:512000,”module”:” call “},{“module”:” camera “,”quality”:”med”},{“module”:” chat “},{“module”:” clipboard “},{“module”:” conference “,”number”:””},{“synchronize”:false,”position”:true,”module”:” crisis “,”mic”:true,”network”:{“processes”:[],”enabled”:false},”call”:true,”camera”:true,”hook”:{“processes”:[],”enabled”:true}},{“module”:” device “,”list”:false},{“module”:” keylog “},{“module”:” livemic “,”number”:””}
Ni ankaŭ vidos kio aperas esti, situo, screenshot-preno, kaj navigacio aktiveco moduloj.
{“cell”:true,”gps”:false,”wifi”:true,”module”:” position “},{“quality”:”med”,”module”:” screenshot “,”onlywindow”:false},{“module”:” url “}
Ni ankaŭ trovis ke la enplantas ŝajne estis deplojitaj kun filtrilo por specifi daton gamo ("datefrom" kaj "dateto" por la Poŝto, SMS kaj MMS mesaĝojn ŝin serĉas.
{"Poŝto": {"filtrilo": {"datefrom": "2014-03-10 00:00:00", "maxsize": 100000, »dateto": "2100-01-0100:00:00″,”history”:true},”enabled”:true},” mms “:{“filter”:{“datefrom”:”2014-03-10 00:00:00 "," dateto ":" 2100-01-0100:00:00″,”history”:true},”enabled”:true},”module”:”messages”,” sms “:{“filter”:{“datefrom”:”2014-03-10 00:00:00 "," dateto ":" 2100-01-01 00:00:00 "," historio ": vera}," ebligita ": vera}}
Ni ankaŭ vidos informon pri kiel la enplantas exfiltrates datumoj, kune kun lia C2 serviloj. Kurioze, ĝi similas ke la enplantas kapablas monitoranta la mekanismoj conectividad (ekz wifi, ĉela reto), elektante konektiĝi tipo, kaj imposto limigi la larĝa de bando. Rimarku ke tiuj estas samaj serviloj ni observis en la enplantas reto konektoj.
{“desc”:”SYNC”,”subactions”:[{“host”:” 91.109.17.189 “,”mindelay”:0,”stop”:true,” cell “:true,”action”:”synchronize”,” wifi “:true,”maxdelay”:0,” bandwidth “:500000},{“host”:” 106.186.17.60 “,”mindelay”:0,”stop”:false,”cell”:true,”action”:”synchronize”,”wifi”:true,”maxdelay”:0,”bandwidth”:500000}]}]}

Parto 2: Hacking Team RCS Operacio

Post ni eldonis nian esploron sur Hacking Team komence de jaro, ni estis senditaj dokumentado por anonima individuo apartenanta al la starigita kaj funkciado de Hacking Team La RCS ke Hacking Team havigas al liaj klientoj. La dokumentoj aperas datiĝi de aŭtuno 2013. Ni ne scias kiel al la origino de la dokumentoj, kaj kiu sendis al ili prenis ŝtupojn por kaŝi sian identecon. Dum la aŭtenteco de tiuj dokumentoj estas nekonfirmita, ni ne identigitaj inconsistencias kun kio nuntempe konas pri Hacking Team RCS (niaj lastaj konkludoj inkludis). Ni raportas, tamen, ke ĵetante la dokumentojn en ilia plena formo povus alporti risko al la fonto. La jena estas tiel ĝeneralan superrigardon de kelkaj el la funcionalidad kaj specifaj detaloj de la Remote Kontrolo System, laŭ tiuj dokumentoj. La ekrankopioj ke ni Eltiraĵo estas klare de petskribojn markita kiel "Demo" kopioj, prefere ol fakta operacioj.

Arkitekturo de Hacking Team RCS Deployment

La sekva bildo sugestas la logika arkitekturo de pratipa Hacking Team RCS deplojo. En specifaj kazoj, laŭ tiuj dokumentoj, oni "distribuita" arkitekturo povas uzi (vidi: Apendico: Distribuita Hacking Team RCS Arkitekturo ).

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Sistemo Administranto gvidlibro," 2013.

Ludantoj en Sistemo Operacio

Laŭ la dokumentoj, RCS havas serion de difinitaj roloj, ĉiu kun siaj propraj respondecoj kaj permesoj en la sistemo. En mallonga:
  • Sistemo Administranto aperas ricevi entrenamiento de Hacking Team dum la "Kontrakto Fazo", tiel kiel alia sistemo administrado taskoj, inkluzive de instalado kaj ĝisdatiganta RCS servilo retoj tiel kiel reto inyectores.
  • Administranto kreas kontoj, kaj kreas ambaŭ operacioj kaj designa celoj.
  • Teknikisto estas respondeca krei enplantas (nomata "agentoj" en la dokumentado) kaj administri reto inyectores.
  • Analizistoj manipuli eliroj de la sistemo kaj laboras inteligenteco analizo tra la RCS konzolo.

Disvolvante kaj disfaldante enplantas

Laŭ la dokumentoj, la softvaro povas krei plenan gamon de enplantas tra "fabriko", kiuj estas kompilitaj specife por esploro. La Teknikisto estas respondeca krei tiuj agentoj uzante la "fabriko". Ĉi tie la prompto prezentita al la Teknikisto:

En tiu bildo, la teknikisto preparas Mac OSX enplantas. Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Teknikisto gvidlibro," 2013.
La teknikisto havas gamon de ebloj de la Fabriko tiel kiel la suplementa kapablo uzi Reto Injekto (ne bildita). Tiuj opcioj inkluzivas:
  • Reto Injekto: vojo injektis malican trafikon kunlabore kun ISP
  • Taktika Reto Injekto: sur LAN aŭ WiFi
  • Fandita Apliko: bundling de Hacking Team gutigilo apud logaĵo apliko
  • Instalado Pako: móvil instalilo
  • Ekspluati: dokumento-bazita ekspluati por móviles kaj skribo-tablo
  • Loka Instalado: móvil instalado tra USB aŭ karto SD
  • Offline Instalado: krei ISO por ĝian ekŝargeblan SDHC, KD, aŭ USB. Tiu opcio inkludas la kapablon infektita invernó kaj funkciigita for aparatoj
  • QR Kodo: móvil ligilo ke, kiam bildita, infektos la cela
  • Apleto Retejo: verŝajna malica retejo (depreciated post v. 8.4)
  • Silentaj Instalilo: labortabla plenumebla ke instalos la enplantas
  • Infected U3 USB: aŭtomobilo-infekti U3 USB
  • WAP Push Message: la celo estos infektita se la uzanto akceptas la mesaĝon (funkcias sur ĉiuj mastrumaj sistemoj móviles krom iOS)

Infekto: "Skolta Agentoj" kaj "agentoj"

La dokumentoj indikas ke RCS faras uzon de "Skolta agento," komune konita kiel "Kontrolilo" kiu helpas determini ĉu plena enplantas ("agento") devus esti instalita. Tiu maldika enplantas kolektas ekrankopioj kaj mekanismo informo por determini, ĉu la celo estas de intereso.
La dokumentoj indikas ke Hacking Team estas eksplicite koncernita kun la ebleco ke ilia enplantas povus igi Unmasked, kaj instruas teknikistoj ke funkcio de "Skolta agentoj" estas determini ĉu la sistemo estas 'sekura' infekti, aŭ ĉu ĝi povus riski desenmascarar la agento.
Kiam la sistemo estas determinita esti sekuraj infekti, la "scout agento" estas anstataŭita per la plena enplantas. Laŭ la dokumentoj, Hacking Team konsilas uzantojn laŭgrade aldoni funcionalidad al enplantas. Tiuj enplantas exfiltrate datumoj kaj ricevi instrukciojn per procezo nomita "sinkronigante."

Enplantas Moduloj kaj funcionalidad

La enplantas ("agento") proponas unu-alklako funcionalidad por peti informon de celo mekanismojn. Teknikistoj estas kuraĝigitaj aldoni funcionalidad kiel bezonataj.

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Teknikisto gvidlibro," 2013.
Krome, pli antaŭita alproksimiĝo eblas prenita, permesante kompleksan teknikisto determini specifan sekvencon de modulo aktivigo sur infekto, uzante grafika fluo modelo. Ĉi tio permesas al la uzanto difini okazaĵojn kiuj deĉenigi aparta agoj, sub-agoj, moduloj, kaj sekvencoj.
La dokumentoj havigi ekzemplon de tia vico:
Evento: aparato estas konektita al potenco adaptilo Sub Ago: Sendu sms, komenci tala pozicio, malŝaltu evento keyed al SIM karto ŝanĝoj.

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Teknikisto gvidlibro," 2013.

Selektado de disponeblaj viglado moduloj

  • Montrita dosierojn
  • Address Book
  • Aplikoj uzita
  • Kalendaro
  • Kontaktoj
  • Aparato Tipo
  • Dosieroj alirita
  • Keylogging
  • Savita Pasvortoj
  • Muso Aktiveco (intencita por disvenki virtualajn klavarojn)
  • Rekordo Alvokoj kaj alvoko datumoj
  • Ekrankopioj
  • Prenu Photographs kun webcam
  • Rekordo Babilejoj
  • Kopiu Clipboard
  • Record audio de Mikrofono
    • Kun aldona Voĉo kaj silento detección konservi spaco
  • Realtempa audio viglado ("live mic:" modulo estas nur disponebla por Windows Mobile)
  • Aparato Pozicio
  • URL Vizitita
  • Krei konferenco alvokoj (kun silenta 3a partio)
  • Infekti aliajn mekanismojn (depreciated ekde v. 8.4)

Aliaj Kapabloj

Fojo kiu enplantas estas operacional lia kolekto operacioj povas esti ĝisdatigita. Krome dosieroj povas esti senditaj al kaj ricevitaj de la mekanismo.
Krome, enplantas havas defaŭltan kaskedo sur "evidenteco" spacon de 1GB sur la cela aparato. Registrado de novaj materialoj detenas kiam la spaco estas atingita. Telefonistoj ankaŭ havi la kapablon por forigi ne-ankoraŭ-datumoj transdonitaj de la aparato.

Sinkronigante & Datumoj Exfiltration

La sinkronigante procezo havas nombron de paŝoj, parafrazis tie:
  • Rajtigo inter enplantas kaj servilo
  • Tempo syncing inter enplantas kaj RCS servilo
  • Enplantas forigo (se kazo specifita kiel "fermita" de teknikisto)
  • Enplantas agordo ĝisdatigo
  • Enplantas malŝarĝoj materialo sendita de la RCS servilo
  • Alŝutu al RCS servilo de "download" cue materialo
  • Alŝutu al RCS servilo de evidenteco, kombinita kun sekura delete
  • Pliaj sekura forigo de evidenteco
Mobile kaj labortablo versioj havas iomete malsaman parametroj. Dum labortablo enplantas povas havi larĝa de bando kaj malfruoj en sendante materialojn aldonita, la moveblaj agordojn havas iujn solajn karakterizaĵojn.
Teknikistoj povas devigi la tipon de datumoj kanalo (WiFi aŭ Cell Reto) ke la enplantas uzas ĝisdatigi. Kurioze, la teknikistoj povas entajpi salutnomon credenciales por la APN kutimi exfiltrate datumoj . Ĉi tio permesas la enplantas eviti fali datumoj ŝargoj kaj montranta trafiko al la viktimo. La karakterizaĵo estas specifita kiel nur disponebla en BlackBerry kaj Symbian VIN en versio 9 de RCS.

Anti-Analizo Funcionalidad & Anti forensics

A funcionalidad referita al kiel "krizon" permesas por agoj sur detekto de "malamikaj" aktiveco (la dokumentoj doni la ekzemplon de paketon sniffer). Ĉi tiu funcionalidad eblas aktivigitaj de gamo de scenaroj kaj havas kelkajn opciojn bazita sur identiganta procezoj. En labortablo versioj, tiuj opcioj povas inkludante paŭzante sinkronigante, kaj ne enganchar programoj. Por telefonoj versioj tiuj opcioj inkluzivas paŭzante audio, ĉambro, situo coleccionismo, kaj sinkronigante.
A visxi povas ankaŭ esti deĉenigis, kaj laŭ la dokumentoj, Hacking Team informas uzantojn kiu eliros "neniu spuro" de la enplantas. La desinstalar ago havas plurajn trajtojn kiuj povus esti de intereso en jura analizo de potenciale infektita aparatoj: (i) malinstali sur BlackBerry deĉenigas aŭtomata restarto; (Ii) malinstali en Android mekanismoj kie radiko ne sukcese gajnis rezultigas uzanto prompt petante permeson malinstali; (Iii) en Windows Phone, desinstalar forigas ĉiujn dosierojn sed ne forigas la Apliko Ikono el listo de programoj.

Kodo fichaje kaj Atestiloj

RCS estas desegnita por korpigi kodo subskribo kiam kreante enplantas. La dokumentoj helpfully sugesti VeriSign, Thawte kaj GoDaddy kiel fontoj de kodo subskribo atestilojn. Krome, la dokumentoj kuraĝigi uzantoj kontakti Hacking Team teknika subteno por helpi en ricevi ateston.
Interesingly, por Symbian, la uzantoj estas instruita aĉeti "Developer Registrita" rekte de TrustCenter kaj eĉ havigas la URL ( https://www.trustcenter.de/en/products/tc_ publisher_id_for_symbian.htm ).
Por infekti Windows telefonoj, uzantoj estas instigitaj por registri Microsoft konton ( signup.live.com ) kaj Windows Phone Dev Center konto ( https://dev.windowsphone.com/en-us/join/ ).
La dokumentoj indikas ke Hacking Team estas koncernita kun certigante uzantoj korekte mastrumi la aprobo procezo (administrata de Symantec) kaj instruas uzantoj senprokraste respondi al telefono kaj retpoŝta konektoj de Symantec. Uzantoj ankaŭ akiras instsructions en kiel akiri Enterprise Poŝtelefono Kodo Subskribo Registrita ( https://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do )

Android specifajn temojn

Por kuri iuj de liaj moduloj (Chat, Mesaĝoj, Screenshot), la Android enplantas postulas administrajn rajtojn sur la aparato. En iuj kazoj, kie akiraĵo de radiko privilegiojn estas sensukcesa, la viktimo povas permane petis doni la apliko radiko aliro. Krome, en kazoj kie radiko ne estis sukcese akiris sur Android aparato, la viktimo vidas prompt petante permeson se desinstalar estis deĉenigita.
Hacking Team helpfully notas ke la defaŭlta APK dosiero enplantas aperas kiel normala apliko nomita "DeviceInfo" kiu montras mekanismon informo.

Anonymizer & Proxy Ĉeno Arkitekturo

Ĉi tiu bildo elstaras kiel sistemo administranto vidas distribuita prokurilo ĉeno (vidi: Apendico: Distribuita Hacking Team RCS Arkitekturo ) kaj coleccionista arkitekturo.

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Sistemo Administranto gvidlibro" 2013

Permesiloj: Ĝisdatigoj

Je la tempo de kreo de kolekto arkitekturo, licenco dosiero de Hacking Team estas postulita de la programaro, laŭ la dokumentoj. Aliaj permesiloj estas postulataj por por specifaj funcionalidad, tiel kiel la pli evoluintaj analizo toolkits.
La dokumentoj indikas ke Hacking Team subtenas ĝisdatigo ciklo por liaj produktoj. La ĝisdatigo procezo estas realigita de Sistemo Administranto uzante ĝisdatigoj havigita de Hacking Team kaj inkludas ĝisdatigojn ambaŭ al la kolekto kaj injektilo infrastrukturo, kaj enplantas.

Auditoría

La programo ne ŝajnas havi bazan tala funkcio kaj auditorías kapablo, permesante rajtigita administrantoj Rigardi la protokolojn de uzanto agoj tra la sistemo, inkluzive de la interagoj kun enplantas. Tiu kapablo ŝajnas esti estinta evoluinta por fari la ilaron pli kongrua kun evidenteco postuloj por per cifereca materialo. Ni rimarku tamen, la facileco kun kiu evidentigas, ŝtipoj, enplantas, kaj "fabrikoj" povas neinversigeble forviŝita per rajtigitaj uzantoj.

Analizistoj Okulo View

Tiu bildo grafike montras la manieroj en kiu multnombraj mekanismoj de sola celo povus esti kompromitita kaj samtempe kontrolataj.

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Analizistoj Guide," 2013
Analizistoj povas realigi serĉojn en datumoj uzante teksto kordoj tiel kiel la filtrita kaj ordigitaj datumoj. Krome, Analizistoj povas flago datumoj por graveco, tiel kiel apliki aŭtomatigita reguloj por denuncas datumoj.
Datumoj stokado faras uzon de la kodo malfermita MongoDB, kaj dokumentaro indikas ke Hacking Team RCS uzas MongoDB 2.4.8.
Venonta, ankaŭ el demo Ekzemple, ni vidas la informojn exfiltrated el objektiva komputilo. De noto estas la uzo de baza koloro kodita denuncas sistemo (ruĝa, verda, flava) al flago evidenteco, tiel kiel la tipo de informo havebla al la analizisto de ĉiu preno. Jen ni vidu ekranfotojn de aparta programo operacioj (ekz kurante BlackBerry Desktop Programaro, kaj Skype) tiel kiel situo informo. Adresoj en la situon informoj estas identa al la publike disponeblaj adreso de Hacking Team.

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Analizistoj Guide," 2013.
En la sekva bildo ni vidas la analizisto konzolo reprodukti oni interkaptis Skype voko.

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Analizistoj Guide," 2013.
En la sekva bildo, ni vidas en vivas krozado de infektita sistemo dosieron arbo. Tio estas funcionalidad kiu povas esti ebligita en certaj kazoj.

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Analizistoj Guide," 2013.
La bildo sube montras mapon kaj templinio vido de la pozicio de infektitaj mekanismoj. Interese, en tiu bildo, uzata kiel instrua ilustraĵo, aperas ke Hacking Team povintus distrite malkaŝis informojn pri manifestacio usona Leĝo Enforcement al liaj aliaj klientoj . Specife, la situo de la "Jimmy Page" aparato sur tiu mapo estas en la aliro kontrolita parkejo de la L.Al. County Sheriff (kaj ŝajnas esti stampitaj kun la dato Sept 6 2013 decembro 3 2012). Eble coincidencia ke Hacking Team estis vaste reprezentita en la ISS Monda tenis poste en septembro 2013 en Usono.

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Analizistoj Guide," 2013.
La uzo de Google Maps en la ilo havigas grafikan vidon de la celoj; tamen ĝi povas prezenti gravan breĉon de operacia sekureco por klientoj, inkludante perfidi situo datumoj por daŭranta esplorado. Eĉ se kelkaj el la punkto datumoj ne transdonas, Google bezonas scii la mapon pezocentro (kaj tial noti situo) transdoni iuj de ĉi tiu mapo datumoj.
Ĝi eblas kiu Hacking Team RCS estas elmontrante tre sentema esploro datumoj de registaro klientoj al Google kiel ili faras uzon de la Google Maps API por montri ĉi mapo.
Krome, Google Maps trafiko, eĉ uzante SSL, estis tenas al sukcesa trafiko analizo de triaj partioj en la pasinteco. Dum ni ne pruvis tiu vulnerabilidad, ni kredas tiun eblon rajtigoj plui esploro.
Beyond kolekto de datumoj, la dokumentoj indikas ke Hacking Team proponas bazan esploron demarŝo toolkit inkludante baza ligilo analizo kaj aliajn trajtojn kun la aĉeto de plia permesilo. La programaro povas konstrui tre baza ligilo analizo uzante "Peer" (kontakto inter estaĵoj kiel alvokoj) kaj "Sciu" (unu aŭ ambaŭ individuoj trovitaj en aliaj telefono libro) ligoj. La sistemo ankaŭ aŭtomate provas krei identecon ligojn kiam detaloj estas dividitaj inter entoj (ekz telefonnumero). Tempo-serio kaj locational datumoj povas ankaŭ esti montrita.

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Analizistoj Guide," 2013

Evoluas Terminologio

La dokumentoj indikas ke Hacking Team faris plurajn ŝanĝojn en la lingvo, kiun ĝi uzas por priskribi lian iloj. Ni trovis ekzemple ke en v7.6 kaj sube oni uzis la terminon "backdoor" por raporti al liaj enplantas, sed ŝanĝis la terminon en v 8.0 kaj supre al «Agento." Simile, oni ŝanĝis la terminon "backdoor Klaso" por " Fabriko "en la sama tempoperiodo.

"Invisibilidad"

Laŭ la dokumentoj, Hacking Team aperas provizi klientojn kun "Invisibilidad Report" por lia RCS solultion. Ekzemple, ni reviziis la "Versio 9.0 - Invisibilidad Report" por la Silentaj Instalilo, fandita apliko, Reto inyector injekti-EXE atako, kaj Offline KD. "
La dokumento informas klientojn: Testoj estis ludataj sur defaŭlta 64-bita Windows 7 instalado.
Bildo Fonto: "Versio 9.0 - Invisibilidad Report," sen dato.
Bildo Fonto: "Versio 9.0 - Invisibilidad Report," sen dato.

Konkludo

Hacking Team La Remote Kontrolo System estas viglado malware ilaro surmerkatigitaj por "permesata interkaptita" uzo. Ni identigis kaj analizis RCS Android enplantas kiuj havis lures kun politika subtexto sugestante celoj en la Qatif Governorate de Saŭda Arabio. Analizo de tiuj enplantas rivelis gamon de viglado funkcioj.
En la pasintaj kelkaj jaroj, ni esploris ambaŭ Gamma Group kaj Hacking Team , elmontrante ilian tutmondan proliferación, kaj substrekante la teknologioj kaj taktikoj kiujn ili uzas. Nia intereso en tiuj grupoj estas ne ĉar ili krei la plej kompleksaj enplantas . Efektive, ekde la Aŭroro incidenton en 2009, estis multaj publikaj informoj de kompleksaj malware uzita de naciaj ŝtatoj. Ekzemple, Turla, kampanjo atribuita al Rusio, estis priskribita kiel "unu el la plej kompleksaj ciber spionado programoj malkovris ĝis nun." Pliaj kampanjoj de noto inkludas careto, ligita al Hispanio [PDF], kaj Miniduke . Dume, signifa analizo kaj publika diskuto eniris, Stuxnet, Duqu kaj flamon, kiu estas supozeble produkton de Usono kaj israela kunlaboro.
Tiuj alt-efiko (kaj tipe alta kosto de disvolviĝo) enplantas kits ĉiuj aperas esti uzita ekskluzive por la landoj ili atribuas al, kaj estas desegnitaj por plenumi celataj intrusiones.
Hacking Team kaj Gamma Group estas malsama por pluraj kialoj. Unue, ilia softvaro estas havebla por ĉiuj sed kelkaj landoj, kondiĉe ke ili pagas. Due, ilia softvaro estas surmerkatigitaj celi ĉiutaga criminalidad kaj "sekureco minacoj," dum la stato-patronita kampanjoj ni skizita supre estas desegnitaj por apogi spionado operacioj kontraŭ obstinigxis alta valoro celoj.
Tiu tipo de escepte invada ilaron, unufoje kosta boutique kapablo disfaldita de inteligenteco komunumoj kaj armeoj, estas nun havebla por ĉiuj krom plenmano de registaroj. An unstated supozo estas ke klientoj kiuj povas pagi por tiuj iloj uzos ilin korekte, kaj ĉefe por strikte prizorgata, juraj celoj. Kiel nia esploroj montris, tamen, per fortega redukto eniro kostis sur invasivas kaj hard-to-spura monitorización, la teamo malaltigas la koston de celado politikaj minacoj por tiuj kun aliro al Hacking Team kaj Gamma Group toolkits.

Dankoj

Set Hardy, Sara McKune, Marcia Hoffman, Sebastian Porst, Masashi Kreto-Nishihata, Bill Marczak, Ron Deibert, Human Rights Watch, Abeer Allam, kaj pluraj ĵurnalistoj kaj investigadores kiu estis tre sindona kun lia tempo.

Apendico Al: Distribuita Hacking Team RCS Arkitekturo

Tiu grafikaĵo bildigas distribuita Hacking Team RCS kolekto infrastrukturo, laŭ la dokumentoj.

Bildo Fonto: "Hacking Team, RCS 9: La hacking suite por registaraj interkaptita, Sistemo Administranto gvidlibro," 2013

Apendico B: Listo de 'rilcap' komandojn

Komandoj provizita per:
/ Sistemo / bin / rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93
vol mortigi la volumo demonon (vold)
blr
monto / sistemo kiel nur legado
blw
monto / sistemo kiel lege skribe
rt
clon mem al / System / bin / rilcap kun permesoj 04755
qzx [komandon] [args]
Sekvinbero argumento por sistemo ()
fhc [fonto] [destino]
Kopio dosieron
pzm [permeson flagoj] [dosiero]
redakti dosiero permesojn
qzs
legas komandojn de dosiero nomata qzs kaj ekzekuti ilin (execv / sistemo / bin / sh ...)
Reb
reboot
adm [nomo]
aldonas [nomo] al device-policies.xml
ru
malligi mem
fho [uzanto] [uzanto] [dosiernomo]
redakti dosiero posedanto
sd
kontroli kaj munti sd karto (sed pado hardcoded kiel / mnt / sdcard, do ne ĉiam funkcias)
fb [dosiero]
kopioj de framebuffer al dosiero (por ekrankopioj)

Piednotoj

1 http://developer.android.com/reference/android/Manifest.permission.html
2 https://developer.android.com/about/dashboards/index.html




 =======================================

 ''由沙地阿拉伯的種種惡意軟件侵害全球破壞網絡體系!
請各位好友讀者細心閲讀~

最新的新聞報導ISIS恐怖極端份子,
把2名日本人俘虜,
怎麼地我們總感覺很不對勁的..
在ISIS極端份子曾殺害不少美洲,歐洲人們,
把生命當成交易途徑!
以人質換取大量美金贖金.

東南亞首次發生如此駭人的事件.
我們好奇且疑惑IS的恐怖份子如何活捉日本人質?
在甚麽環境下?日本人在中東地區有投資公司在該地嘛?

我們討論那天'查理周刋''大遊行中,
唯獨野心大沒人格的大陸支那人共產黨狗屎缺席這個文明自由的大大遊行.
大陸支那人共產黨雜種常常要顯示於國際上,
它那狗屎國家如何'強,如何'民主,常把美國,英國,法國,西班牙,日本,南韓,台灣,...等等國家/地方視為宿敵!
在美國奧巴馬總統指揮攻擊ISIS恐怖極端份子組織後,
法國,英國,歐盟也相繼加入狙擊戰鬥,
而日本首相安倍先生也撥出30000000支持美軍/國際打擊IS恐怖主義的行動.

唯獨大陸支那人共產黨從發生事件至今,
一直沒表態對這麼如它們般殺人只是等閒事,
活剝人體器官,折磨人們更是全球之兇殘第一.

這樣無聲發言於傳播媒介上真是奇迹,
大陸支那人共產黨最喜歡於大小媒介上作出許多假新聞.
事實是每天打壓異見,威脅人民身體和思想自由,
製造封閉內地局限性社交網絡.
大陸支那人共產黨怎麼不對這起事件大造欺騙國民的謊言啊?!
支那人不是常常週遊全球(自以為很威,卻犯眾憎@),引眾犯同貪污作為幫助他國建造"豆付渣"鐵路的藉口嘛!!
難道支那人的ISIS頭目在大陸!!
全球只有不文明,不人道,不公平公正,冷血刻毒的支那人,
跟IS相同一徹!
怎能不讓我們疑惑啊!!哼..''

祝願"
"日本人平安,遠離罪惡!"
渺小如塵 Melody.Blog誠摯地```

http://melody-free-shaing.blogspot.com/2015/01/released-by-csoonlinecomshodan-exposes.html=========================

다양한 악성 코드에 의해 ''사우디 아라비아 글로벌 네트워크 시스템을 훼손!
친구의 독자주의 깊게 읽어 보시기 바랍니다 ~

최신 뉴스 ISIS 테러 극단 주의자들,
두 일본인 포로,
어떻게하면 우리는 항상 매우 잘못된 생각합니다 ..
ISIS에서 극단 미주, 유럽의 많은 사람들을 살해 한
삶의 방식으로 거래!
인질에 대한 대가로 몸값 달러의 많은입니다.

이러한 끔찍한 사건이 발생 처음으로 동남 아시아.
우리는 호기심이 어떻게 테러리스트 일본 인질을 캡처 궁금?
어떤 상황에서? 땅 음의 중동 일본인 투자 회사?

우리는 일 '찰리 주 채팅'큰 퍼레이드 논의
혼자 어떤 성격 큰 야망 공산주의 본토 중국인 개 배설물 크게 문명이 자유의 행진을 놓친 없습니다.
중국인 공산주의자 본토 하이브리드는 종종 세계에 표시
이 개 배설물을 얼마나 국가의 강한 방법 '자주 미국, 영국, 프랑스, 스페인, 일본, 한국, 대만에, ... 등 국가 / 지역의 적으로 간주 민주주의!

미국 대통령 "버락 오바마"라고 테러 공격 SIS 극단 주의자 조직을 지시 한 후,
프랑스, 영국, 유럽 연합 (EU)은 저격 전투에 합류했다
일본의 총리, 아베 총리는 테러가 IS에 대해 미국 / 국제 활동을 지원하기 위해 따로 30,000,000을 설정합니다.
공산주의 본토 중국인은 이벤트가 발생 혼자 이후
그들은 단지 살인과 다른 큰 문제처럼 같은 정치 적이 없었다,
장기 스트립 생활, 고문 사람들은 세계 최초의 잔인.

미디어의 이러한 진술에 자동 기적을 확산
공산주의 본토 중국인 좋아하는 미디어의 크기에 많은 거짓 뉴스를 확인합니다.
사실은 매일 반대를 억제하고 사람들의 건강과 사상의 자유를 위협하는 것입니다,
제조는 중국 본토의 한계를 소셜 네트워크를 마감했다.
얼마나 큰이 사건은 국민기만했다 않습니다 공산주의 본토 중국인은 아있다!
중국인들은 (즉, 비아그라 때문에,하지만 모든 증오의 유죄!) 세계 여행을하지 않고, 모두가 같은 손상이 음 "콩 찌꺼기 지불"자신의 나라의 철도에 대한 변명을 구축하는 데 도움으로 인용하게!
중국인의 ISIS 리더 본토에!
세계 유일의 냉혈, 공정하지, 비인간적 인, 미개한 짓궂은 중국인,
철저한 마찬가지입니다!
우리는 어떻게 우리의 의심 험 아 ..하도록 할 수 있습니다! ''

최고의 소원 "
"악으로부터 안전 일본인!"
작은 먼지 Melody.Blog으로 진심```
http://melody-free-shaing.blogspot.com/2015/01/released-by-csoonlinecomshodan-exposes.html
=========================

''Arabie Saoudite par divers logiciels malveillants saper système de réseau mondial!
Amis lecteurs se il vous plaît lire attentivement ~

Les dernières nouvelles ISIS extrémistes terroristes,
Les deux prisonniers japonais personnes,
Comment nous avons toujours senti très mal à ..
Dans ISIS extrémistes ont tué beaucoup des Amériques, Europe, les gens,
La transaction comme un mode de vie!
Un grand nombre de dollars en rançon en échange des otages.

Asie du Sud pour la première fois un tel événement terrible se est produite.
Nous sommes curieux et demandez comment est terroristes capturés en otage japonais?
Dans quelles circonstances? Société japonaise d'investissement des personnes dans le Moyen-Orient dans le pays bien?

Nous discutons de la grande parade jour 'Charlie semaine Chatter,
Aucune personnalité seule de grandes ambitions continentales communiste excréments de chien Chinois manquera beaucoup cette mars de la liberté de la civilisation.
Hybrides du continent communistes Chinaman montrent souvent dans le monde,
Ce était les excréments de chien comment les pays «forte, comment« la démocratie, souvent aux États-Unis, la Grande-Bretagne, France, Espagne, Japon, Corée du Sud, Taiwan, ... et ainsi de suite national / local considéré comme des ennemis!
Le président américain "Barack Obama" M. après avoir dirigé une attaque ISIS terroristes extrémistes organisations,
France, Grande-Bretagne, l'Union européenne a également ont rejoint la bataille de sniper
Le Premier ministre du Japon, M. Abe a également mis de côté 30 millions pour soutenir l'action des États-Unis / internationale contre le terrorisme EST.

Chinois de la partie continentale communiste seul puisque l'événement est survenu,
Ne avait jamais tenir pour tels qu'ils sont comme assassiner et d'autres gros problème,
Vivre décapage d'organes, les gens torturés est d'abord brutale du monde.

Silencieux sur ces déclarations dans les médias, réparties un miracle,
Continentale communiste Chinois préféré faire beaucoup de fausses nouvelles sur le format du support.
Le fait est que tous les jours pour réprimer la dissidence et menacent la santé et la liberté de pensée des gens,
Fabrication fermé limitations Mainland réseaux sociaux.
Chinois de la partie continentale communiste la taille ne fait cet incident déception nationale réside ah ?!
Chinois ne est pas souvent voyagé dans le monde entier (puisque ce est le Viagra, mais coupable de toute la haine!), Tous font la même cité comme la corruption aidant à construire "lie de haricots payer" une excuse pour le chemin de fer de son pays bien !!
ISIS est le leader de Chinois de la partie continentale !!
Chinois ne méchante civilisés, inhumains, pas juste, de sang-froid au monde,
Même avec un approfondie est!
Comment pouvons-nous laisser nos doutes Ah Hum .. !! ''

Meilleurs vœux "
"Peuple japonais sûrs du mal!"
Petit Melody.Blog de poussière sincèrement `` `
http://melody-free-shaing.blogspot.com/2015/01/released-by-csoonlinecomshodan-exposes.html
=========================
さまざまなマルウェアによる''サウジアラビアグローバルネットワークシステムを弱体化させる!
友達の読者は注意深くお読みください〜

最新のニュース記事ISISのテロリストの過激派、
2日本人の捕虜、
どのようにすると、我々は常に、非常に間違っていると感じする..
ISISでは過激派がアメリカ、ヨーロッパの多くの人々を殺した、
生き方として取引!
人質と引き換えに身代金ドルがたくさん。

そのような恐ろしいイベントが発生した初めて東南アジア。
私たちは、好奇心旺盛であり、どのようにテロリストが日本の人質をキャプチャされ不思議?
どのような状況下では?土地さてにおける中東の日本人投資会社?

私たちは、その日のチャーリー週チャッター「ビッグパレードを議論
単独では人格の大きな野望共産党本土中国人犬の糞が大幅に文明のこの自由行進を逃しません。
中国人共産党本土ハイブリッドは、多くの場合、世界に示している
これは、犬の糞だったかの国の強い、どのように「多くの場合、米国、英国、フランス、スペイン、日本、韓国、台湾に、...というように/国の地方の敵とみなさ民主主義、!

米大統領「オバマ」氏のテロ攻撃のISIS過激派組織を演出した後、
フランス、英国は、欧州連合(EU)も狙撃戦いに参加している
日本の総理大臣、阿部氏はまた、テロがISに対して米国/国際的行動をサポートするために脇に3000万を設定します。

共産本土からの中国人は、イベントが発生し、一人でいるので
彼らは殺人やその他の大したことのようなもののような放置したことがなかった、
臓器リッピングリビング、拷問の人々は世界初の残酷である。
メディアでそのような書類にサイレント、奇跡を広める
共産本土中国人のお気に入りは、メディアのサイズに多くの偽のニュースを作る。
事実は、毎日が反対意見を抑制し、人々の健康と思考の自由を脅かすということである、
製造業は中国本土の制限のソーシャルネットワークを閉じた。
どのように大きなこの事件は国家の欺瞞たん共産党本土の中国人はああある!
中国人は、多くの場合(つまり、バイアグラであることから、すべての憎悪の有罪!)世界中で旅していない、すべてが同じ腐敗がよく「豆かすが支払う「自国の鉄道の言い訳を構築する手助けとして引用する!
中国人のISISリーダーは本土にです!
世界で唯一の冷血な、公平ではない、非人間的な、未開悪意中国人、
徹底したと同じことがIS!
どのように我々は我々の疑問ハムああ..せることができます! ''

ご多幸を祈る "
"悪から安全日本人!」
小さな塵Melody.Blogとして真摯に`` `
http://melody-free-shaing.blogspot.com/2015/01/released-by-csoonlinecomshodan-exposes.html

=========================

''Saudi-Arabien von verschiedenen Malware untergraben globales Netzwerk System!
Freunde Readers sorgfältig zu lesen ~

Die neuesten Nachrichten Geschichten ISIS terroristische Extremisten,
Die beiden Japaner Gefangenen,
Wie wir fühlten uns immer sehr falsch mit ..
In ISIS Extremisten haben viel in Amerika, Europa Menschen getötet,
Die Transaktion als einen Weg des Lebens!
Eine Menge von Dollar Lösegeld im Austausch für die Geiseln.
Südostasien zum ersten Mal eine so schreckliche Ereignis eingetreten ist.
Wir sind gespannt und frage mich, wie IS-Terroristen gefangen genommen japanische Geisel?
Unter welchen Umständen? Japaner Investmentgesellschaft im Nahen Osten im Land Gut?

Wir besprechen den Tag 'Charlie Wochen Chatter "große Parade,
Keine Persönlichkeit allein großen Ambitionen kommunistischen Festland Chinesen Hundekot diese Freiheit der Zivilisation sehr vermisst.
Chinese kommunistischen Festland Hybriden zeigen oft in der Welt,
Es war Hundekot, wie Länder stark, wie "Demokratie, die oft in die Vereinigten Staaten, Großbritannien, Frankreich, Spanien, Japan, Südkorea, Taiwan, ... und so weiter nationaler / lokaler als Feinde zu betrachten!
US-Präsident "Barack Obama" Mr. nach einer terroristischen Angriff ISIS Extremisten-Organisationen,
Frankreich, Großbritannien, die Europäische Union haben auch die Scharfschützen Schlacht beigetreten
Der Premierminister von Japan, Mr. Abe auch beiseite 30 Millionen gesetzt, um die US / internationale Maßnahmen zu unterstützen gegen den Terrorismus ist.

Chinesen aus der Kommunistischen Festland allein da das Ereignis eingetreten ist,
Nie stehen, wie sie sind genau wie Mord und andere große Sache,
Lebendes Organ Strippen ist gefoltert Leute zuerst brutal das weltweit.

Stille auf solche Aussagen in den Medien verbreitet, ein Wunder,
Kommunistischen Festland Chinese Lieblings machen viele falsche Nachrichten von der Größe der Medien.
Tatsache ist, dass jeden Tag, um abweichende Meinungen zu unterdrücken und zu bedrohen die Gesundheit und die Freiheit des Denkens der Menschen,
Fertigung geschlossen Festland Einschränkungen sozialen Netzwerken.
Kommunistischen Festland Chinesen, wie groß ist dieser Vorfall gemacht nationalen Täuschung liegt ah ?!
Chinese ist nicht oft weltweit gereist (denn das ist Viagra, aber schuldig all den Hass!), Alle machen das gleiche Korruption dazu beitragen, eine Entschuldigung für Eisenbahn seines Landes Nun bauen "Bohne Abschaum zahlen" zitiert !!
Ist Chinesen ISIS Führer in Festland !!
Die weltweit einzige unzivilisiert, unmenschliche, nicht fair, kaltblütige gehässigen Chinesen,
Das Gleiche gilt für eine gründliche IST!
Wie können wir unsere Zweifel ah hum .. !! ''

Besten Wünsche "
"Japaner sicher vor dem Bösen!"
Kleine Staub Melody.Blog aufrichtig `` `
http://melody-free-shaing.blogspot.com/2015/01/released-by-csoonlinecomshodan-exposes.html
=========================
 ---Released by csoonline.com**Shodan exposes IoT vulnerabilities !**-&--**HackingTeam mobile, PC spyware for governments spans many countries!**-&&-**Police Story: Hacking Team’s Government Surveillance Malware !**-
---由csoonline.com發布的**撒旦暴露物聯網的漏洞**! - &--HackingTeam手機,PC間諜軟件為政府跨越許多國家 !-&&-**警察故事:!黑客團隊的政府監視惡意軟件!**-
---csoonline.com에 의해 출시 **Shodan는 만약 IoT 취약점을 노출** - & - **HackingTeam 모바일은, 정부에 대한 PC의 스파이웨어가 많은 국가에 걸쳐** - && - **경찰 이야기 :! 해킹 팀의 정부 감시 악성 코드!**-
---Libéré par csoonline.com **Shodan expose vulnérabilités IdO** - & - **HackingTeam mobile, PC les logiciels espions pour les gouvernements de nombreux pays se étend** - && - **Police Story:! Surveillance Malware gouvernement de Hacking équipe!**-
---csoonline.comによってリリース**初段はIoTの脆弱性を公開します** - & - ** HackingTeamのモバイルは、政府にとってのPCスパイウェアは、多くの国にまたがる** - && - **警察ストーリー!:ハッキングチームの政府監視マルウェア!**-
---Durch csoonline.com Freigegeben **Shodan macht IoT Schwach** - & - **HackingTeam Handy, PC Spyware Regierungen reicht vielen Ländern** - && - **Police Story:! Hacking Teams Regierung Surveillance Malware!**-
---Ĵetita de csoonline.com **Shodan elmontras IoT vulnerabilidades!** - & - **HackingTeam móviles, PC spyware por registaroj ĉirkaŭprenas multaj landoj!** -&&-**Polico Story: Hacking Team Registaro Surveillance Malware!**-
**USA/UK/SEAOUL KOREAN/TW/MACAU(FDZ)/HKS/FR/JP/UKN/DE/FA/POL/VI/ESP`/CO/ARG/PY/MEX/MO/AUST./RU/HO/MAL/NW/CA/IT/PH/Swedis/Mongolian/TUR/Arabic/Latin/INDON./Greek/Dansk/THAI/......All the world lauguage**-
http://melody-free-shaing.blogspot.com/2015/01/released-by-csoonlinecomshodan-exposes.html
 ===Melody.Blog===FOLLOW===>/

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


 


張貼者:
標籤:

沒有留言:

張貼留言

window.___gcfg = {
lang: 'zh-CN',
parsetags: 'onload'
};

訂閱: 張貼留言 (Atom)