Libanon bruker falske VPN og Messenger-apper for å spionere

Det er oppdaget falske versjoner av populære krypterte meldings- og personvernapper som sirkulerer i naturen. De falske versjonene av Whatsapp, Telegram, Signal og PsiphonVPN antas å ha blitt opprettet av hackere som angivelig har jobbet for den libanesiske regjeringen. De ondsinnede appene lurer brukerne til å tro at meldingene deres blir kryptert. Imidlertid utnytter de libanesiske hackerne i virkeligheten målrettet skapte bakdører og malware for å snuse på brukerens korrespondanser.


I følge en rapport publisert av det mobile sikkerhetsselskapet Lookout og Electronic Frontier Foundation, er hackerne blitt knyttet til Libanons sentrale etterretningsbyrå. Rapporten avslører at ofre i så mange som 20 land sannsynligvis har lastet ned forfalskede versjoner av populære sikkerhetsapper.

Farlige trojanere

Skadelige apper kan gjøres til å virke nesten identiske med sine legitime kolleger. Dette gir brukerne ingen reell måte å vite at noe ubehagelig skjer på enhetene deres. Ved denne anledningen lastet ofrene ned de skumle appene fra uoffisielle nettbutikker. Når den er installert, i stedet for å gi sikkert krypterte meldinger (beskyttet med Open Whisper's Signal Protocol) - oppfører appen seg som en trojaner.

Trojanere er en ekstremt kraftig type malware som lar hackere ta kontroll over enhetens funksjoner. Dette inkluderer å lese korrespondanser og SMS-meldinger, få tilgang til e-postmeldinger, slå på mikrofonen og kameraet, se gjennom kontakter, slå på GPSen, og få tilgang til bilder og alle andre data som finnes på den hacket enheten.

Den libanesiske forbindelsen

Rapporten utgitt av Lookout heter "Dark Caracal: Cyber-Espionage i en global skala". I følge cybersecurity-forskere ved Lookout, har de avdekket bevis som peker på involvering av en statlig aktør. Ifølge Lookout ble den koblingen opprettet på grunn av oppdagelsen av testenheter i det libanesiske generaldirektoratet for generell sikkerhet (GDGS) i Beirut:

- Enheter for testing og drift av kampanjen ble sporet tilbake til en bygning som tilhørte det libanesiske generaldirektoratet for sikkerhet (GDGS), et av Libanons etterretningsbyråer. Basert på tilgjengelig bevis, er det sannsynlig at GDGS er assosiert med eller direkte støtter skuespillerne bak Dark Caracal. "

De publiserte dokumentene avslører at de statssponserte hackerne har stjålet både personlig identifiserbare data og åndsverk fra ofre, inkludert "militært personell, bedrifter, medisinsk fagfolk, aktivister, journalister, advokater og utdanningsinstitusjoner."

Operasjon Manul

I følge EFF kan Dark Caracal ha sammenheng med en tidligere avdekket hackingkampanje kalt Operation Manul. Denne kampanjen ble oppdaget i fjor og ble funnet å være rettet mot advokater, journalister, aktivister og dissidenter fra Kasakhstan som kritiserer handlingene til president Nursultan Nazarbayevs regime.

I motsetning til Operation Manul (PDF), ser imidlertid ut til at Dark Caracal har modnet til en internasjonal hackinginnsats rettet mot globale mål. Mike Murray, visepresident for sikkerhetsintelligens i Lookout, kommenterte:

"Dark Caracal er en del av en trend vi har sett utvikle seg det siste året der tradisjonelle APT-skuespillere beveger seg mot å bruke mobil som en primær målplattform.

"Android-trusselen vi identifiserte, brukt av Dark Caracal, er en av de første globalt aktive mobile APT-ene vi har snakket offentlig om."

I følge Lookouts rapport har Dark Caracal vært aktiv siden tilbake i 2012. Det betyr at de libanesiske sponsede hackerne har vokst i erfaring og ekspertise i ganske lang tid. Rapporten gjør det også klart at Dark Caracal fremdeles er svært aktiv og sannsynligvis ikke vil slutte når som helst.

Som sådan tjener denne hackinghendelsen som en påminnelse om at det ikke bare er store statlige aktører som USA, Storbritannia, Russland og Kina som har globale cyber-krigføringsevner til rådighet..

Attack Vector

Arbeidet som er utført av forskere ved Lookout avslører at ofrene opprinnelig er målrettet mot sosialteknikk og phishing-angrep. Vellykket spydfisking brukes til å levere en nyttelast til skadelig programvare kalt Pallas og en tidligere usett modifisering av FinFisher. Dark Caracals phishing-infrastruktur inkluderer falske portaler for populære nettsteder som Facebook og Twitter.

Nettfisketeknikker brukes for å lede ofre til en "vannhull" -server der infiserte versjoner av populære sikkerhets- og personvernapper blir spredt til enhetene sine. Det ble også oppdaget falske Facebook-profiler som hjalp til med å spre ondsinnede lenker til infiserte versjoner av Whatsapp og andre messengers.

Når de er smittet med den trojaniserte appen som inneholder Pallas, kan hackere levere sekundær nyttelast fra en kommando og kontroll (C&C) server. Blant de infiserte appene som forskerne avdekket, var en forfalsket versjon av PsiphonVPN og en infisert versjon av Orbot: TOR proxy.

Forskerne fant også at Pallas “lurer i flere apper som påstås å være Adobe Flash Player og Google Play Push for Android”.

Usofistisert, men effektiv

På slutten av dagen er teknikkene som brukes av Dark Caracal svært vanlige og kan ikke betraktes som spesielt sofistikerte. Til tross for dette fungerer denne hackingkampanjen som en sterk påminnelse om at cyberwarfare i 2018 sannsynligvis vil være svært produktiv og en global trussel. Verktøyene for å utføre denne typen hacking har kryssbestøvet fra den ene statlige aktøren til den neste, og de skremmende mulighetene de gir hackere resulterer i alvorlig penetrering som selv tofaktorautentisering ikke kan beskytte brukere mot.

Som alltid tilfelle, anbefaler vi at du er veldig forsiktig når du åpner meldinger. Sosialt konstruert phishing er designet for å lokke deg inn - så tenk deg om to ganger før du klikker på en lenke. I tillegg, hvis du trenger en app, må du alltid huske å gå til en offisiell app-butikk, da dette vil redusere sjansene dine for å slutte med en infisert app enormt. Endelig blir brukere av Virtual Private Network (VPN) påminnet om å være ekstremt forsiktige der de får VPN-programvaren sin, og sørger alltid for å få den fra en legitim kilde.

Meninger er forfatterens egne.

Tittelbilde: Ink Drop / Shutterstock.com

Bildekreditt: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me