Libanon käyttää vääriä VPN- ja Messenger-sovelluksia vakoojaan

Suosittujen salattujen viestien ja yksityisyyssovellusten vääriä versioita on havaittu kiertävän luonnossa. Whatsappin, Telegramin, Signalin ja PsiphonVPN: n vääriä versioita uskotaan luoneen hakkereita, joiden väitetään työskentelevän Libanonin hallitukselle. Pahanlaatuiset sovellukset huijaavat käyttäjiä uskomaan, että heidän viestinsä on salattu. Tosiasiassa libanonilaiset hakkerit hyödyntävät kuitenkin tarkoituksella luotuja takaovia ja haittaohjelmia käyttäjien kirjeiden torjumiseksi..

Mobiiliturvayhtiö Lookoutin ja Electronic Frontier Foundation -säätiön julkaiseman raportin mukaan hakkerit ovat olleet yhteydessä Libanonin tiedustelupalveluun. Raportti paljastaa, että uhrit jopa 20 maassa ovat todennäköisesti ladanneet suosittujen tietoturvasovellusten väärennetyt versiot.

Vaaralliset troijalaiset

Haittaohjelmat voidaan saada näyttämään melkein identtisiltä heidän laillisten kollegojensa kanssa. Tämä ei anna käyttäjille mitään todellista tapaa tietää, että heidän laitteissaan tapahtuu jotain epätoivottavaa. Tällöin uhrit latasivat törkeät sovellukset epävirallisista online-sovelluskaupoista. Asennettuaan sen sijaan, että tarjota turvallisesti salattuja viestejä (suojattu Open Whisper's Signal -protokollalla) - sovellus käyttäytyy kuin troijalainen.

Troijalaiset ovat erittäin tehokas haittaohjelma, jonka avulla hakkerit voivat hallita laitteen ominaisuuksia. Tähän sisältyy kirjeenvaihtojen ja tekstiviestien lukeminen, sähköpostien käyttö, mikrofonin ja kameran kytkeminen päälle, yhteystietojen etsiminen, GPS: n kytkeminen päälle ja hakkeroidun laitteen valokuvien ja muiden tietojen käyttö.

Libanonin yhteys

Lookoutin julkaisema raportti on nimeltään "Dark Caracal: verkkovakoilu maailmanlaajuisesti". Lookoutin kyberturvallisuustutkijoiden mukaan he ovat paljastaneet todisteita, jotka viittaavat valtion toimijan osallistumiseen. Lookoutin mukaan tämä yhteys muodostettiin, kun löydettiin testilaitteita Libanonin turvallisuusasioiden pääosaston (GDGS) päämajassa Beirutissa:

”Kampanjan testaamiseen ja toteuttamiseen tarkoitetut laitteet jäljitettiin rakennukseen, joka kuului Libanonin turvallisuuden pääosastoon (GDGS), joka on yksi Libanonin tiedustelupalveluista. Saatavilla olevien todisteiden perusteella on todennäköistä, että GDGS liittyy Dark Caracalin takana oleviin toimijoihin tai tukee niitä suoraan. "

Julkaistut asiakirjat paljastavat, että valtion tukemat hakkerit ovat varastaneet uhreilta sekä henkilökohtaisia ​​tietoja että immateriaalioikeuksia, mukaan lukien “armeijan henkilökunta, yritykset, lääketieteen ammattilaiset, aktivistit, toimittajat, lakimiehet ja oppilaitokset”.

Operaatio Manul

EFF: n mukaan Dark Caracal voi liittyä aiemmin paljastumattomaan hakkerointikampanjaan nimeltään Operation Manul. Tämä kampanja löydettiin viime vuonna, ja sen havaittiin kohdistuvan Kazakstanin lakimiehiin, toimittajiin, aktivisteihin ja toisinajattelijoihin, jotka kritisoivat presidentti Nursultan Nazarbajevin hallinnon toimia..

Toisin kuin Operation Manul (PDF), Dark Caracal näyttää kuitenkin kypsyneen kansainväliseksi hakkerointitoimeksi, joka on suunnattu maailmanlaajuisiin kohteisiin. Lookoutin turvallisuustiedustelupäällikkö Mike Murray kommentoi:

”Tumma Caracal on osa suuntausta, jonka olemme nähneet kasvavan viime vuoden aikana, jolloin perinteiset APT-näyttelijät siirtyvät käyttämään mobiiliä ensisijaisena kohdealustana.

"Tunnistamamme Android-uhka, jota Dark Caracal käyttää, on yksi ensimmäisistä maailmanlaajuisesti aktiivisista mobiili APT-laitteista, joista olemme puhuneet julkisesti."

Itse asiassa Lookoutin raportin mukaan Dark Caracal on ollut aktiivinen jo vuodesta 2012 lähtien. Tämä tarkoittaa, että Libanonin sponsoroimilla hakkereilla on kokemusta ja asiantuntemusta kasvanut jo jonkin aikaa. Raportti tekee myös selväksi, että Dark Caracal on edelleen erittäin aktiivinen eikä todennäköisesti lopeta milloin tahansa pian.

Sinänsä tämä hakkerointitapahtuma toimii muistutuksena siitä, etteivät vain Yhdysvaltojen, Ison-Britannian, Venäjän ja Kiinan kaltaisten suurten valtion toimijoiden käytettävissä ole globaalit kybersotataitot..

Hyökkäysvektori

Lookoutin tutkijoiden tekemä työ paljastaa, että uhrit kohdistetaan aluksi sosiaalisen insinöörin ja tietojenkalasteluhyökkäyksiin. Menestyvää keihäsyritystä käytetään Pallas-nimisen haittaohjelman hyötykuorman ja FinFisherin aiemmin näkymättömän muutoksen toimittamiseen. Dark Caracalin tietojenkalasteluinfrastruktuuri sisältää vääriä portaaleja suosituille verkkosivustoille, kuten Facebook ja Twitter.

Tietokalastelutekniikoita käytetään ohjaamaan uhrit "vesireiän" palvelimelle, jossa suosittujen tietoturva- ja yksityisyyssovellusten tartunnan saaneet versiot levitetään heidän laitteilleen. Vääriä Facebook-profiileja löydettiin myös auttamaan levittämään haitallisia linkkejä tartunnan saaneisiin Whatsapp-versioihin ja muihin lähettiläisiin.

Kun hakkerit ovat saaneet tartunnan Pallasia sisältävällä trojanisoidulla sovelluksella, hakkerit pystyvät toimittamaan toissijaiset hyötykuormat komento- ja ohjausjärjestelmästä (C&C) palvelin. Tutkijoiden paljastamien tartunnan saaneiden sovellusten joukossa oli PsiphonVPN-väärennetty versio ja Orbot: TOR-välityspalvelimen tartunnan saanut versio..

Tutkijat havaitsivat myös, että Pallas "vaeltaa useita sovelluksia, joiden väitetään olevan Adobe Flash Player ja Google Play Push Androidille".

Hienostumaton, mutta tehokas

Päivän lopussa Dark Caracalin käyttämät tekniikat ovat erittäin yleisiä, eikä niitä voida pitää erityisen hienostuneina. Tästä huolimatta tämä hakkerointikampanja on jyrkkä muistutus siitä, että vuonna 2018 kybersota on todennäköisesti sekä erittäin tuottava että globaali uhka. Tämän tyyppisen hakkeroinnin suorittamiseen tarkoitetut työkalut ovat pölyttäneet yhden valtion toimijan välillä, ja hakkereiden myöntämät pelottavat kyvyt johtavat vakavaan tunkeutumiseen, jota edes kaksitekijäinen todennus ei voi suojata käyttäjiä vastaan.

Kuten aina, suosittelemme, että olet erityisen varovainen avatessasi viestejä. Sosiaalisesti suunnitellut tietojenkalastelut on suunniteltu houkuttelemaan sinut sisään - joten ajattele kahdesti, ennen kuin napsautat linkkiä. Jos tarvitset lisäksi sovellusta, mene aina viralliseen sovelluskauppaan, koska tämä vähentää huomattavasti mahdollisuuksiasi päättyä tartunnan saaneeseen sovellukseen. Lopuksi, virtuaalisen yksityisen verkon (VPN) käyttäjiä muistutetaan myös olevansa erityisen varovaisia ​​hankkimalla VPN-ohjelmistonsa, varmistaen aina, että se hankitaan laillisesta lähteestä.

Mielipiteet ovat kirjoittajan omat.

Otsikkokuvaus: Ink Drop / Shutterstock.com

Kuvahyvitykset: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me