Liban przy użyciu fałszywych aplikacji VPN i Messenger do szpiegowania

Na wolności pojawiły się fałszywe wersje popularnych zaszyfrowanych aplikacji do przesyłania wiadomości i ochrony prywatności. Uważa się, że fałszywe wersje Whatsapp, Telegram, Signal i PsiphonVPN zostały stworzone przez hakerów rzekomo pracujących dla libańskiego rządu. Złośliwe aplikacje oszukiwają użytkowników w przekonaniu, że ich wiadomości są szyfrowane. Jednak w rzeczywistości libańscy hakerzy wykorzystują celowo utworzone backdoory i złośliwe oprogramowanie do szpiegowania korespondencji użytkownika.


Według raportu opublikowanego przez firmę mobilną Lookout i Electronic Frontier Foundation hakerzy zostali powiązani z centralną agencją wywiadu Libanu. Raport ujawnia, że ​​ofiary w aż 20 krajach prawdopodobnie pobrały fałszywe wersje popularnych aplikacji zabezpieczających.

Niebezpieczne trojany

Złośliwe aplikacje mogą wyglądać niemal identycznie jak ich legalne odpowiedniki. To nie daje użytkownikom żadnego rzeczywistego sposobu, aby wiedzieć, że coś złego dzieje się na ich urządzeniach. Przy tej okazji ofiary pobrały nikczemne aplikacje z nieoficjalnych internetowych sklepów z aplikacjami. Po zainstalowaniu, zamiast dostarczania bezpiecznie zaszyfrowanych wiadomości (chronionych protokołem Open Whisper's Signal) - aplikacja zachowuje się jak trojan.

Trojany to niezwykle potężny rodzaj złośliwego oprogramowania, które pozwala hakerom przejąć kontrolę nad funkcjami urządzenia. Obejmuje to czytanie korespondencji i wiadomości SMS, uzyskiwanie dostępu do wiadomości e-mail, włączanie mikrofonu i aparatu, przeglądanie kontaktów, włączanie GPS oraz dostęp do zdjęć i innych danych zawartych w zhakowanym urządzeniu.

Połączenie libańskie

Raport opublikowany przez Lookout nazywa się "Dark Caracal: Cyber-szpiegostwo w skali globalnej". Według badaczy cyberbezpieczeństwa z Lookout odkryli dowody wskazujące na zaangażowanie aktora państwowego. Według Lookout ten link został ustanowiony w związku z odkryciem urządzeń testowych w siedzibie głównej libańskiej dyrekcji generalnej ds. Bezpieczeństwa (GDGS) w Bejrucie:

„Urządzenia do testowania i prowadzenia kampanii zostały prześledzone do budynku należącego do libańskiej dyrekcji generalnej ds. Bezpieczeństwa (GDGS), jednej z libańskich agencji wywiadowczych. Na podstawie dostępnych dowodów prawdopodobne jest, że GDGS jest powiązany lub bezpośrednio wspiera aktorów stojących za Dark Caracal. ”

Opublikowane dokumenty ujawniają, że sponsorowani przez państwo hakerzy ukradli zarówno dane osobowe, jak i własność intelektualną ofiarom, w tym „personelowi wojskowemu, przedsiębiorstwom, pracownikom medycznym, aktywistom, dziennikarzom, prawnikom i instytucjom edukacyjnym”.

Operacja Manul

Według EFF Dark Caracal może być związany z wcześniej odkrytą kampanią hakerską o nazwie Operation Manul. Ta kampania została odkryta w zeszłym roku i okazała się skierowana do prawników, dziennikarzy, aktywistów i dysydentów z Kazachstanu, którzy krytykują działania reżimu prezydenta Nursułtana Nazarbayeva.

Jednak w odróżnieniu od Operation Manul (PDF), Dark Caracal dojrzał do hakowania międzynarodowego, którego celem były globalne cele. Mike Murray, wiceprezes ds. Wywiadu bezpieczeństwa w Lookout, skomentował:

„Dark Caracal wpisuje się w trend, który obserwowaliśmy w ciągu ostatniego roku, w którym tradycyjni aktorzy APT zmierzają w kierunku używania telefonu komórkowego jako podstawowej platformy docelowej.

„Zidentyfikowane przez nas zagrożenie dla Androida, używane przez Dark Caracal, jest jednym z pierwszych globalnie aktywnych mobilnych APT, o których publicznie mówiliśmy”.

Według raportu Lookout Dark Caracal działa od 2012 roku. Oznacza to, że hackerzy sponsorowani przez Liban od dłuższego czasu zdobywają doświadczenie i wiedzę specjalistyczną. Raport wyjaśnia również, że Dark Caracal jest nadal bardzo aktywny i jest mało prawdopodobne, aby w najbliższym czasie zrezygnował.

Jako taki, incydent hakerski służy jako przypomnienie, że nie tylko główni aktorzy państwowi, tacy jak USA, Wielka Brytania, Rosja i Chiny, mają do dyspozycji globalne możliwości cybernetyczne.

Wektor ataku

Prace podjęte przez naukowców z Lookout ujawniają, że ofiary są początkowo atakowane przez socjotechnikę i ataki phishingowe. Udane wyłudzanie informacji spear jest wykorzystywane do dostarczenia szkodliwego oprogramowania o nazwie Pallas i poprzednio niewidocznej modyfikacji FinFishera. Infrastruktura phishingowa Dark Caracal obejmuje fałszywe portale dla popularnych stron internetowych, takich jak Facebook i Twitter.

Techniki phishingowe są wykorzystywane do kierowania ofiar na serwer „podlewania”, na którym zainfekowane wersje popularnych aplikacji bezpieczeństwa i prywatności są rozpowszechniane na ich urządzeniach. Odkryto również fałszywe profile na Facebooku, które pomagają rozprzestrzeniać złośliwe linki do zainfekowanych wersji Whatsapp i innych komunikatorów.

Po zainfekowaniu trojanizowaną aplikacją zawierającą Pallas, hakerzy są w stanie dostarczyć dodatkowe ładunki z Command and Control (C&C) serwer. Wśród zainfekowanych aplikacji odkrytych przez badaczy była podrobiona wersja PsiphonVPN i zainfekowana wersja serwera proxy Orbot: TOR.

Naukowcy odkryli również, że Pallas „czai się w kilku aplikacjach rzekomo Adobe Flash Player i Google Play Push na Androida”.

Niewyrafinowane, ale skuteczne

Ostatecznie techniki stosowane przez Dark Caracal są bardzo popularne i nie można ich uważać za szczególnie wyrafinowane. Mimo to ta kampania hakerska stanowi surowe przypomnienie, że w 2018 r. Cyberwarfare prawdopodobnie będzie zarówno wysoce płodne, jak i globalnym zagrożeniem. Narzędzia do przeprowadzania tego rodzaju ataków hakerskich zostały zapylone krzyżowo od jednego aktora stanowego do drugiego, a przerażające możliwości, które zapewniają hakerom, skutkują poważną penetracją, której nawet uwierzytelnianie dwuskładnikowe nie może chronić użytkowników przed.

Jak zawsze, zalecamy ostrożność podczas otwierania wiadomości. Wyłudzanie informacji przez inżynierów społecznościowych ma na celu zwabienie użytkownika - zastanów się dwa razy, zanim klikniesz link. Ponadto, jeśli potrzebujesz aplikacji, zawsze udaj się do oficjalnego sklepu z aplikacjami, ponieważ znacznie zmniejszy to ryzyko zakończenia zainfekowanej aplikacji. Wreszcie, użytkownikom wirtualnej sieci prywatnej (VPN) przypomina się również, aby zachowali szczególną ostrożność, skąd biorą swoje oprogramowanie VPN, zawsze upewniając się, że pochodzą z legalnego źródła.

Opinie należą do autora.

Kredyt na zdjęcie tytułowe: Ink Drop / Shutterstock.com

Zdjęcia: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me