Libanon Brug falske VPN og Messenger-apps til at spionere

Falske versioner af populære krypterede apps til beskeder og beskyttelse af personlige oplysninger er blevet set cirkulerende i naturen. De falske versioner af Whatsapp, Telegram, Signal og PsiphonVPN antages at være oprettet af hackere, der angiveligt arbejder for den libanesiske regering. De ondsindede apps narrer brugerne til at tro, at deres meddelelser bliver krypteret. I virkeligheden udnytter de libanesiske hackere målrettet oprettede bagdøre og malware for at snuppe på brugernes korrespondenter.


Ifølge en rapport offentliggjort af det mobile sikkerhedsfirma Lookout og Electronic Frontier Foundation, er hackerne blevet knyttet til Libanons centrale efterretningsbureau. Rapporten afslører, at ofre i op til 20 lande sandsynligvis har downloadet de forfalskede versioner af populære sikkerhedsapps.

Farlige trojanere

Ondsindede apps kan fås til at virke næsten identiske med deres legitime kolleger. Dette giver brugerne ingen reel måde at vide, at der sker noget uhensigtsmæssigt på deres enheder. Ved denne lejlighed downloadede ofrene de uærlige apps fra uofficielle online app-butikker. Når den først er installeret i stedet for at levere sikkert krypterede meddelelser (beskyttet med Open Whisper's Signal-protokol) - fungerer appen som en trojansk.

Trojanere er en ekstremt kraftig slags malware, der giver hackere mulighed for at tage kontrol over en enheds funktioner. Dette inkluderer læsning af korrespondencer og SMS-beskeder, adgang til e-mails, tænding af mikrofonen og kameraet, kigning gennem kontakter, tænding af GPS og adgang til fotos og alle andre data, der findes på den hacket enhed.

Den libanesiske forbindelse

Rapporten offentliggjort af Lookout kaldes "Dark Caracal: Cyber-spionage i en global skala". Ifølge cybersecurity-forskere hos Lookout har de afsløret bevis, der peger på inddragelsen af ​​en statsaktør. Ifølge Lookout blev denne forbindelse oprettet på grund af opdagelsen af ​​testenheder i det libanesiske generaldirektorat for generalsikkerhed (GDGS) i Beirut:

”Enheder til test og drift af kampagnen blev sporet tilbage til en bygning, der tilhørte det libanesiske generaldirektorat for sikkerhed (GDGS), et af Libanons efterretningsbureauer. Baseret på de tilgængelige beviser er det sandsynligt, at GDGS er forbundet med eller direkte støtter skuespillerne bag Dark Caracal. ”

De offentliggjorte dokumenter afslører, at de statsstøttede hackere har stjålet både personligt identificerbare data og intellektuel ejendom fra ofre, herunder "militært personel, virksomheder, medicinsk fagfolk, aktivister, journalister, advokater og uddannelsesinstitutioner."

Operation Manul

Ifølge EFF er Dark Caracal muligvis relateret til en tidligere afdækket hackingkampagne kaldet Operation Manul. Denne kampagne blev opdaget sidste år og viste sig at være rettet mod advokater, journalister, aktivister og dissidenter fra Kasakhstan, der kritiserer handlingerne fra præsident Nursultan Nazarbayevs regime.

I modsætning til Operation Manul (PDF) ser Dark Caracal imidlertid ud til at være modnet til en international hackingindsats rettet mod globale mål. Mike Murray, Vice President of Security Intelligence at Lookout, kommenterede:

”Dark Caracal er en del af en tendens, vi har set vokse i det forløbne år, hvor traditionelle APT-skuespillere bevæger sig mod at bruge mobil som en primær målplatform.

"Den Android-trussel, vi identificerede, som brugt af Dark Caracal, er en af ​​de første globalt aktive mobile APT'er, vi har talt offentligt om."

Ifølge Lookouts rapport har Dark Caracal været aktiv siden vejen tilbage i 2012. Det betyder, at de libanesiske sponsorerede hackere er vokset i erfaring og ekspertise i ganske lang tid. Rapporten gør det også klart, at Dark Caracal stadig er meget aktiv og ikke vil sandsynligvis afslutte når som helst.

Som sådan fungerer denne hackinghændelse som en påmindelse om, at det ikke kun er store statsaktører som USA, Storbritannien, Rusland og Kina, der har globale cyberkrigsføringsfunktioner til deres rådighed.

Attack Vector

Det arbejde, som forskere på Lookout udfører, afslører, at ofrene oprindeligt er målrettet mod social engineering og phishing-angreb. Vellykket spyd phishing bruges til at levere en malware-nyttelast kaldet Pallas og en tidligere uset ændring af FinFisher. Dark Caracals phishing-infrastruktur inkluderer falske portaler til populære websteder som Facebook og Twitter.

Phishing-teknikker bruges til at dirigere ofre til en "vandhul" -server, hvor inficerede versioner af populære sikkerheds- og privatlivsapplikater sprederes på deres enheder. Der blev også opdaget forfalskede Facebook-profiler, der hjalp med at sprede ondsindede links til inficerede versioner af Whatsapp og andre messengers.

Når de er inficeret med den trojaniserede app, der indeholder Pallas, er hackere i stand til at levere sekundære nyttelast fra en kommando og kontrol (C&C) server. Blandt de inficerede apps, der blev afsløret af forskerne, var en forfalsket version af PsiphonVPN og en inficeret version af Orbot: TOR-proxy.

Forskerne fandt også, at Pallas “lurer i flere apps, der hævdes at være Adobe Flash Player og Google Play Push til Android”.

Usophisticated, men effektiv

I slutningen af ​​dagen er de teknikker, der bruges af Dark Caracal, meget almindelige og kan ikke betragtes som særlig sofistikerede. På trods af dette tjener denne hackingkampagne som en skarp påmindelse om, at cyberwarfare i 2018 sandsynligvis vil være meget produktivt og en global trussel. Værktøjerne til at udføre denne type hacking er krydsbestøvet fra den ene statsaktør til den næste, og de skræmmende muligheder, de giver hackere, resulterer i alvorlig penetration, som selv tofaktorautentisering ikke kan beskytte brugere mod.

Som det altid er tilfældet, anbefaler vi, at du er meget forsigtig, når du åbner meddelelser. Social manipuleret phishing er designet til at lokke dig ind - så tænk to gange, før du klikker på et link. Hvis du desuden har brug for en app, skal du altid sørge for at gå til en officiel app-butik, da dette i høj grad vil reducere dine chancer for at slutte med en inficeret app. Endelig bliver brugere af Virtual Private Network (VPN) mindet om at være ekstremt omhyggelige med, hvor de henter deres VPN-software fra, hvilket altid sikrer at få det fra en legitim kilde.

Meningerne er forfatterens egne.

Titelbillede: Ink Drop / Shutterstock.com

Billedkreditter: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me