Libanon pomocí Falešné VPN a Messenger aplikací pro vyzvědače

Ve volné přírodě obíhají falešné verze populárních šifrovaných zpráv a aplikací pro ochranu soukromí. Falešné verze Whatsapp, Telegram, Signal a PsiphonVPN jsou považovány za vytvořené hackery, kteří údajně pracují pro libanonskou vládu. Zlovolné aplikace oklamávají uživatele, aby věřili, že jejich zprávy jsou šifrovány. Ve skutečnosti však libanonští hackeři využívají účelově vytvořené zadní vrátky a malware, aby slihovali na uživatelských korespondenci.

Podle zprávy zveřejněné společností Mobile Security Company Lookout a Electronic Frontier Foundation jsou hackeři napojeni na libanonskou ústřední zpravodajskou agenturu. Zpráva ukazuje, že oběti až ve 20 zemích si pravděpodobně stáhly padělané verze populárních bezpečnostních aplikací.

Nebezpečné trojské koně

Škodlivé aplikace se mohou zdát téměř identické s jejich legitimními protějšky. To uživatelům neposkytuje žádný skutečný způsob, jak vědět, že se na jejich zařízeních něco neobvyklého děje. Při této příležitosti si oběti stáhly zlověstné aplikace z neoficiálních online obchodů s aplikacemi. Po instalaci se aplikace chová spíše než poskytováním bezpečně šifrovaných zpráv (chráněných protokolem Open Whisper's Signal)..

Trojské koně jsou extrémně výkonným druhem malwaru, který hackerům umožňuje převzít kontrolu nad funkcemi zařízení. To zahrnuje čtení korespondence a SMS zpráv, přístup k e-mailům, zapnutí mikrofonu a kamery, prohlížení kontaktů, zapnutí GPS a přístup k fotografiím a dalším datům obsaženým v hacknutém zařízení.

Libanonské spojení

Zpráva publikovaná společností Lookout se nazývá "Dark Caracal: Cyber-Špionáž v globálním měřítku". Podle vědců z kybernetické bezpečnosti v Lookout odhalili důkazy, které ukazují na zapojení státního herce. Podle Lookout bylo toto spojení vytvořeno díky objevení testovacích zařízení uvnitř libanonského generálního ředitelství pro obecnou bezpečnost (GDGS) v Bejrútu:

„Zařízení pro testování a provoz kampaně byla vysledována až do budovy, která patří libanonskému generálnímu ředitelství obecné bezpečnosti (GDGS), jedné z libanonských zpravodajských agentur. Na základě dostupných důkazů je pravděpodobné, že GDGS je spojen s herci za Dark Caracal nebo je přímo podporuje. ““

Zveřejněné dokumenty ukazují, že hackeři sponzorovaní státem odcizili oběti osobní údaje a duševní vlastnictví, včetně „vojenského personálu, podniků, zdravotnických profesionálů, aktivistů, novinářů, právníků a vzdělávacích institucí“.

Operace Manul

Podle EFF může být Dark Caracal spojen s dříve odkrytou hackerskou kampaní zvanou Operation Manul. Tato kampaň byla objevena minulý rok a bylo zjištěno, že se zaměřuje na právníky, novináře, aktivisty a disidenty z Kazachstánu, kteří kritizují kroky režimu prezidenta Nursultana Nazarbajeva..

Na rozdíl od Operation Manul (PDF) se však zdá, že Dark Caracal dospěl do mezinárodního hackerského úsilí zaměřeného na globální cíle. Mike Murray, viceprezident pro bezpečnostní zpravodajství v Lookout, poznamenal:

„Dark Caracal je součástí trendu, který jsme zaznamenali v uplynulém roce, kdy se tradiční herci APT pohybují směrem k používání mobilu jako primární cílové platformy.

"Hrozba pro Android, kterou jsme identifikovali, jak ji používá Dark Caracal, je jednou z prvních globálně aktivních mobilních APT, o kterých jsme veřejně mluvili."

Podle zprávy Lookout je Dark Caracal ve skutečnosti aktivní již od roku 2012. To znamená, že hackeři sponzorovaní libanonskou společností již nějakou dobu rostou v oblasti zkušeností a odborných znalostí. Zpráva také objasňuje, že temný karakal je stále velmi aktivní a je nepravděpodobné, že by se brzy ukončil.

Tento hackerský incident jako takový slouží jako připomínka toho, že nejenom hlavní státní aktéři, jako jsou USA, Velká Británie, Rusko a Čína, mají k dispozici schopnosti celosvětové kybernetické války..

Attack Vector

Práce prováděná vědci v Lookout odhaluje, že oběti jsou zpočátku zaměřeny útoky sociálního inženýrství a phishingu. Úspěšné oštěpování pomocí oštěpu se používá k přenosu škodlivého softwaru s názvem Pallas a dříve neviděné modifikace FinFisher. Infrastruktura phishingu společnosti Dark Caracal zahrnuje falešné portály pro oblíbené weby, jako je Facebook nebo Twitter.

Techniky phishingu se používají k nasměrování obětí na server „zavlažovací díry“, kde jsou do jejich zařízení šířeny infikované verze populárních aplikací pro zabezpečení a soukromí. Byly také objeveny falešné profily na Facebooku, které pomáhají šířit škodlivé odkazy na infikované verze Whatsapp a dalších poslů.

Jakmile jsou hackeři infikováni trojanizovanou aplikací obsahující Pallas, jsou schopni dodávat sekundární užitečná zatížení z příkazů a řízení (C&C) server. Mezi infikovanými aplikacemi odhalenými vědci byla padělaná verze PsiphonVPN a infikovaná verze Orbotu: TOR proxy.

Vědci také zjistili, že Pallas „číhá v několika aplikacích, jejichž cílem je Adobe Flash Player a Google Play Push pro Android“..

Bez sofistikované, ale efektivní

Na konci dne jsou techniky používané Dark Caracal velmi běžné a nelze je považovat za zvláště sofistikované. Přesto tato hackerská kampaň slouží jako jednoznačné připomenutí, že v roce 2018 bude pravděpodobně kybernetická válka vysoce plodná i globální hrozba. Nástroje k provádění tohoto typu hackování se křížově opylovaly od jednoho státního aktéra k druhému a děsivé schopnosti, které poskytují hackerům, mají za následek vážné proniknutí, které ani dvoufaktorová autentizace nemůže chránit uživatele před.

Jako vždy je vhodné při otevírání zpráv postupovat velmi opatrně. Phishing pomocí sociálních sítí je navržen tak, aby vás nalákal - proto si dvakrát rozmyslete, než kliknete na odkaz. Pokud navíc potřebujete aplikaci, vždy se ujistěte, že jste navštívili oficiální obchod s aplikacemi, protože to výrazně sníží vaše šance na ukončení infikovanou aplikací. A konečně, uživatelům virtuální privátní sítě (VPN) se také připomíná, aby byli velmi opatrní, odkud získají svůj software VPN, a vždy zajistili jeho získání z legitimního zdroje.

Názory jsou vlastní spisovatelem.

Kredit obrázku obrázku: Ink Drop / Shutterstock.com

Obrazové kredity: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me