Libanon Mit gefälschten VPN- und Messenger-Apps zum Spionieren

Gefälschte Versionen beliebter verschlüsselter Messaging- und Datenschutz-Apps wurden in freier Wildbahn entdeckt. Die gefälschten Versionen von Whatsapp, Telegram, Signal und PsiphonVPN wurden vermutlich von Hackern entwickelt, die angeblich für die libanesische Regierung arbeiten. Die böswilligen Apps täuschen Benutzer in der Annahme, dass ihre Nachrichten verschlüsselt werden. In Wirklichkeit nutzen die libanesischen Hacker jedoch gezielt geschaffene Hintertüren und Malware, um die Korrespondenz der Benutzer zu überwachen.


Laut einem Bericht des Mobilfunk-Sicherheitsunternehmens Lookout und der Electronic Frontier Foundation wurden die Hacker mit dem zentralen libanesischen Geheimdienst in Verbindung gebracht. Der Bericht zeigt, dass Opfer in bis zu 20 Ländern wahrscheinlich die gefälschten Versionen der gängigen Sicherheits-Apps heruntergeladen haben.

Gefährliche Trojaner

Schädliche Apps können so gestaltet werden, dass sie mit ihren legitimen Gegenstücken fast identisch sind. Auf diese Weise können Benutzer nicht wirklich erkennen, dass auf ihren Geräten etwas Ungewöhnliches passiert. Bei dieser Gelegenheit luden die Opfer die schändlichen Apps aus inoffiziellen Online-App-Stores herunter. Nach der Installation stellt die App keine sicher verschlüsselten Nachrichten zur Verfügung (geschützt durch das Open Whisper-Signal-Protokoll), sondern verhält sich wie ein Trojaner.

Trojaner sind eine äußerst leistungsfähige Art von Malware, mit der Hacker die Kontrolle über die Funktionen eines Geräts übernehmen können. Dies umfasst das Lesen von Korrespondenzen und SMS-Nachrichten, den Zugriff auf E-Mails, das Einschalten von Mikrofon und Kamera, das Durchsuchen von Kontakten, das Einschalten des GPS sowie den Zugriff auf Fotos und andere auf dem gehackten Gerät enthaltene Daten.

Die libanesische Verbindung

Der von Lookout veröffentlichte Bericht heißt "Dark Caracal: Cyberspionage auf globaler Ebene". Laut den Cybersicherheitsforschern von Lookout haben sie Beweise aufgedeckt, die auf die Beteiligung eines staatlichen Akteurs hindeuten. Laut Lookout wurde diese Verbindung aufgrund der Entdeckung von Testgeräten in der Zentrale der libanesischen Generaldirektion für Sicherheit (GDGS) in Beirut hergestellt:

„Geräte zum Testen und Betreiben der Kampagne wurden in einem Gebäude der libanesischen Generaldirektion für Sicherheit (GDGS), einem der libanesischen Geheimdienste, gefunden. Aufgrund der verfügbaren Beweise ist es wahrscheinlich, dass die GDGS mit den Akteuren hinter Dark Caracal in Verbindung steht oder diese direkt unterstützt. “

Die veröffentlichten Dokumente zeigen, dass die staatlich geförderten Hacker sowohl persönlich identifizierbare Daten als auch geistiges Eigentum von Opfern gestohlen haben, darunter "Militärpersonal, Unternehmen, medizinische Fachkräfte, Aktivisten, Journalisten, Anwälte und Bildungseinrichtungen".

Operation Manul

Laut EFF kann Dark Caracal mit einer zuvor aufgedeckten Hacking-Kampagne namens Operation Manul in Verbindung gebracht werden. Diese Kampagne wurde letztes Jahr entdeckt und richtete sich an Anwälte, Journalisten, Aktivisten und Dissidenten aus Kasachstan, die die Aktionen des Regimes von Präsident Nursultan Nasarbajew kritisieren.

Im Gegensatz zu Operation Manul (PDF) scheint Dark Caracal jedoch zu einer internationalen Hacking-Anstrengung gereift zu sein, die auf globale Ziele abzielt. Mike Murray, Vice President Security Intelligence bei Lookout, kommentierte:

„Dark Caracal ist Teil eines Trends, den wir im letzten Jahr zu beobachten bekommen haben, als traditionelle APT-Akteure Mobile als primäre Zielplattform einsetzen.

"Die von Dark Caracal identifizierte Android-Bedrohung ist eine der ersten weltweit aktiven mobilen APTs, über die wir öffentlich gesprochen haben."

Laut Lookouts Bericht ist Dark Caracal bereits seit 2012 aktiv. Dies bedeutet, dass die von Libanesen gesponserten Hacker seit geraumer Zeit an Erfahrung und Fachwissen gewinnen. Der Bericht macht auch deutlich, dass Dark Caracal immer noch sehr aktiv ist und es unwahrscheinlich ist, dass er bald aufgibt.

Dieser Hacking-Vorfall soll daran erinnern, dass nicht nur große staatliche Akteure wie die USA, Großbritannien, Russland und China über globale Cyberkriegsfähigkeiten verfügen.

Angriffsvektor

Die Arbeit der Forscher von Lookout zeigt, dass Opfer anfangs von Social Engineering- und Phishing-Angriffen betroffen sind. Erfolgreiches Spear-Phishing wird verwendet, um eine Malware-Nutzlast namens Pallas und eine zuvor ungesehene Modifikation von FinFisher bereitzustellen. Die Phishing-Infrastruktur von Dark Caracal umfasst gefälschte Portale für beliebte Websites wie Facebook und Twitter.

Phishing-Techniken werden verwendet, um Opfer auf einen "Wasserloch" -Server zu leiten, auf dem infizierte Versionen der gängigen Sicherheits- und Datenschutz-Apps auf ihren Geräten verbreitet werden. Es wurden auch gefälschte Facebook-Profile entdeckt, die dazu beitragen, böswillige Links auf infizierte Versionen von WhatsApp und anderen Messenger-Programmen zu verbreiten.

Sobald Hacker mit der trojanisierten App mit Pallas infiziert sind, können sie sekundäre Nutzlasten von einem Command and Control (C&C) Server. Unter den von den Forschern aufgedeckten infizierten Apps befanden sich eine gefälschte Version von PsiphonVPN und eine infizierte Version von Orbot: TOR-Proxy.

Die Forscher fanden auch, Pallas "lauert in mehreren Apps, die angeblich Adobe Flash Player und Google Play Push für Android sind".

Anspruchslos, aber effektiv

Letztendlich sind die von Dark Caracal verwendeten Techniken weit verbreitet und können nicht als besonders ausgefeilt angesehen werden. Trotzdem ist diese Hacking-Kampagne eine deutliche Erinnerung daran, dass Cyberwarfare im Jahr 2018 höchst produktiv sein und eine globale Bedrohung darstellen dürfte. Die Tools für diese Art von Hacking wurden von einem staatlichen Akteur zum nächsten wechselseitig abgefragt, und die erschreckenden Fähigkeiten, die sie Hackern gewähren, führen zu einer schwerwiegenden Penetration, vor der selbst die Zwei-Faktor-Authentifizierung die Benutzer nicht schützen kann.

Wie immer empfehlen wir Ihnen, beim Öffnen von Nachrichten sehr vorsichtig zu sein. Social Engineered Phishing soll Sie anlocken - überlegen Sie es sich also zweimal, bevor Sie auf einen Link klicken. Wenn Sie eine App benötigen, sollten Sie immer einen offiziellen App-Store aufsuchen, da dies die Wahrscheinlichkeit erheblich verringert, dass Sie mit einer infizierten App enden. Schließlich werden Benutzer von Virtual Private Network (VPN) auch daran erinnert, äußerst vorsichtig zu sein, woher sie ihre VPN-Software beziehen, und stets darauf zu achten, dass sie von einer legitimen Quelle stammt.

Meinungen sind die eigenen des Verfassers.

Bildnachweis für das Titelbild: Ink Drop / Shutterstock.com

Bildnachweis: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me