فا

‫ شناسايي و رمزگشايي از ابزارهاي جاسوسي موبايل

IR930411

 

تاريخ:93/4/11

حدود يك سال پيش شركت امنيتي Kaspersky مقاله اي در  مورد يك شركت نرم افزاري ايتاليايي با نام Hacking Team منتشر كرد . فعاليت اين شركت در خصوص توسعه ابزارهاي جاسوسي جهت ارائه به سازمان هاي قانوني به عنوان ابزارهاي كنترل از راه دور RCS (Remote Control System) مي باشد. اخيراً زواياي ديگري از ابزارهاي نظارت ديجيتال (RCS) منتشر شده كه نشان مي دهد اين ابزارها توسط بيش از 60 دولت در سراسر جهان مورد استفاده قرار گرفته است .
ماژول هاي برنامه ساخت شركت ايتاليايي Hacking Team ، توسط محققين Kaspersky Lab روسيه  و Citizen Lab در University of Toronto’s Munk School تورنتو كانادا  به طور مستقل از هم مورد بررسي قرار گرفته و يافته هاي متعددي در زمينه ابزارها اين گروه بدست آمده است.
هدف اين ماژول هاي جديد، كاربران اندرويد، iOS (دستگاه هاي جيلبريك شده) ،  Windows Mobile و BlackBerry است و اين تنها بخشي از مجموعه بزرگتر ابزارهاي شركت Hacking Team است كه لپ تاپ ها و سيستم هاي روميزي را هدف قرار مي دهد. ماژول هاي iOS و اندرويد، مهاجمين را قادر مي سازد تا تسلط كافي را بر روي گوشي هاي موبايل قرباني داشته باشد.


شكل1- فايل پيكربندي از ماژول هاي موبايل RCS

از قابليت هاي اين برنامه، براي مثال مي توان به اجازه جمع آوري پنهاني ايميل ها،SMS ها، تاريخ تماس ها و آدرس ها اشاره كرد. همچنين مي توان آنها را براي لاگ كلمات تايپ شده، گرفتن  screenshot از صفحه نمايش، ضبط صدا از تلفن جهت نظارت بر تماس ها و مكالمات محيط، در دست گرفتن دوربين تلفن و نيز استفاده از GPS جهت بدست آوردن مكان كاربر استفاده نمود. نسخه اندرويدي اين ماژول نيز قادر است، قابليت Wi-Fi تلفن را طوري تغيير دهد كه به جاي استفاده از شبكه موبايل براي ارسال داده از شبكه هاي وايرلس استفاده نمايد.
مدت زيادي است كه كه فعاليت هاي سازمان هاي مختلف قضايي و اطلاعاتي در سراسر جهان در استفاده ابزارهاي Hacking Team براي جاسوسي كاربران كامپيوتر و تلفن همراه شامل مخالفين سياسي، روزنامه نگاران و مدافعين حقوق بشر فاش شده است ولي اولين مرتبه است كه ماژول هايي براي جاسوسي از كاربران تلفن همراه توسط محققين شناسايي مي گردد.
Hacking Team براي اولين بار سيستم كنترل از راه دور (RCS) خود را در سال 2001 ايجاد كرد. پيش از اين توسعه دهندگان برنامه آن را بصورت رايگان و open-source براي استفاده در حملات man-in-the-middle ايجاد كردند كه توسط هكرها و محققين بكار مي رفت. ولي بعد از مدتي پليس ميلان با دو نفر از نويسندگان آن تماس گرفت و براي استراق سمع ارتباطات Skype از آنها كمك خواست. بعد از اين قضيه بود كه همكاري آنها با مراجع قضايي آغاز شد.
بررسي ها نشان داده است كه ابزارهاي Hacking Team  از راه دور از طريق سرورهاي كنترل و فرمان(C&C) كه توسط سازمان هاي مختلف قضايي و اطلاعاتي براي مانيتوركردن اهداف مختلف مورد استفاده قرار مي گيرد. كسپرسكي بيش از 350 سرور فرمان و كنترل را كه به همين منظور ايجاد شده بودند در 40 كشور جهان شناسايي كرده است. محققان بيش از 64 سرور در آمريكا،49 سرور در قزاقستان، 35 سرور در اكوادور، 32 سرور در انگلستان را شناسايي كرده اند. ولي بطور قطعي مشخص نيست كه ابزار Hacking Team توسط سازمان هاي اطلاعاتي و قانوني كدام كشورها مورد استفاده قرار مي گيرد.


شكل2- نقشه نشان محل سرورهاي فرمان و كنترل مورد استفاده Hacking Team

زواياي ديگر پس از آن كشف گرديد كه Citizen Lab از يك منبع ناشناس يك كپي از دستورالعمل كاربر كه متعلق به مشتريان Hacking Team است، بدست آورد. اين سند جزييات لازم براي ساختن زيرساخت هاي نظارتي و نيز كار با داشبورد نرم افزار براي مديريت اطلاعات جمع آوري شده از كامپيوتر و تلفن هاي آلوده را نشان مي دهد.

شكل3- عكسي از راهنماي كاربران نرم افزار Hacking Team كه اينترفيس هاي مديريت سيستم هاي هك شده و اطلاعات استخراج شده را نشان مي دهد.

ابزارهاي موبايل Hacking Team يك ماژول بسيار مهم نيز دارد كه وقتي فعاليت خاصي را روي دستگاه تشخيص مي دهد، شروع به فعاليت هايي مانند شنود بسته ها مي كند و سپس فعاليت نرم افزارهاي جاسوسي را براي جلوگيري از شناسايي شدن، متوقف مي كند. در ضمن يك تابع wipe(پاك كردن) نيز وجود دارد كه كه امكان پاك كردن ابزار را روي سيستم هاي آلوده در صورت لزوم فراهم مي كند. Hacking Team ادعا كرده است كه آنها مي توانند برنامه را حذف و تمامي ردپاها را پاك كنند، اما Citizen Lab كشف كرده است كه بعد اين پاكسازي روي گوشي هاي موبايل مواردي باقي مي ماند. مثلاً در BlackBerry، اين مورد موجب راه اندازي مجدد موبايل مي گردد. در دستگاه هاي اندرويد، حذف تحت شرايط خاصي است و روي صفحه از كاربر درخواست permission براي حذف برنامه DeviceInfo را مي كند ولي در حقيقت ابزار جاسوسي اندرويد آن را براي خودش استفاده مي كند.
علاوه بر انواع اقدامات مبهم،  Hacking Team به مشتريانش توصيه كرده است كه تا چندين سرور پروكسي ناشناس ايجاد كنند تا از طريق آن اطلاعات دستگاه هاي قربانيان را به سرقت ببرند. بدين ترتيب محققين و قربانيان ديگر به راحتي امكان پيگيري داده هاي سرقت شده شان را به سرورهاي كنترل و فرمان نخواهند داشت.
پيوست:
MD5  نمونه هاي آلوده BlackBerry:
•    14b03ada92dd81d6ce57f43889810087
MD5 نمونه هاي آلوده iOS:
•    35c4f9f242aae60edbd1fe150bc952d5
MD5 نمونه هاي آلوده اندرويد:
•    ff8e7f09232198d6529d9194c86c0791
•    36ab980a954b02a26d3af4378f6c04b4
•    a2a659d66e83ffe66b6d728a52130b72
•    9f06db99d2e5b27b01113f78b745ff28
•    a43ea939e883cc33fc766dd0bcac9f6a
•    a465ead1fd61afe72238306c7ed048fe
MD5 نمونه هاي آلوده ويندوزي:
•    bf8aba6f7640f470a8f75e9adc5b940d
•    b04ab81b9b796042c46966705cd2d201
•    1be71818a228e88918dac0a8140dbd34
•    c7268b341fd68cf334fc92269f07503a
ليست C&Cهاي فعال تا 19 ژوئن(29 خرداد 93)
•    50.63.180.***
•    146.185.30.***
•    204.188.221.***
•    91.109.17.***
•    106.186.17.***
•    119.59.123.***
•    95.141.46.***
•    192.71.245.***
•    106.187.99.***
•    93.95.219.***
•    106.187.96.***
•    124.217.245.***
•    23.92.30.***
•    82.146.58.***
•    93.95.219.***
•    209.59.205.***

منابع :
•    http://www.securelist.com/en/analysis/204792290/Spyware_HackingTeam
•    http://www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile
•    https://citizenlab.org/2014/06/backdoor-hacking-teams-tradecraft-android-implant/


 

 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 14 تیر 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0