偽のVPNとメッセンジャーアプリを使用してスパイするレバノン

人気のある暗号化されたメッセージングおよびプライバシーアプリの偽のバージョンが、野生で広まっているのが発見されました。 Whatsapp、Telegram、Signal、およびPsiphonVPNの偽バージョンは、レバノン政府のために働いているとされるハッカーによって作成されたと考えられています。悪意のあるアプリは、ユーザーをfしてメッセージが暗号化されていると信じ込ませます。しかし、実際には、レバノンのハッカーは意図的に作成されたバックドアとマルウェアを悪用して、ユーザーの通信を盗聴します.


モバイルセキュリティ会社LookoutおよびElectronic Frontier Foundationが発行したレポートによると、ハッカーはレバノンの中央情報機関にリンクされています。このレポートは、20か国もの被害者が、人気のあるセキュリティアプリの偽造バージョンをダウンロードした可能性が高いことを明らかにしています.

危険なトロイの木馬

悪意のあるアプリは、正当なアプリとほとんど同じように見せることができます。これにより、ユーザーは自分のデバイス上で何か不愉快なことが起こっていることを知る本当の方法を得ることができません。この機会に、被害者は非公式のオンラインアプリストアから悪質なアプリをダウンロードしました。安全に暗号化されたメッセージ(Open WhisperのSignalプロトコルで保護)を提供するのではなく、インストールすると、アプリはトロイの木馬のように動作します.

トロイの木馬は、ハッカーがデバイスの機能を制御できるようにする非常に強力なマルウェアです。これには、通信とSMSメッセージの読み取り、メールへのアクセス、マイクとカメラのオン、連絡先の確認、GPSのオン、およびハッキングされたデバイスに含まれる写真やその他のデータへのアクセスが含まれます.

レバノン人のつながり

Lookoutが発行するレポートは "ダークカラカル:世界規模でのサイバースパイ活動". Lookoutのサイバーセキュリティ研究者によると、彼らは国家主体の関与を示す証拠を明らかにしました。 Lookoutによると、そのリンクは、ベイルートのレバノン総合セキュリティ総局(GDGS)本部内でのテストデバイスの発見により確立されました。

「キャンペーンをテストおよび運用するためのデバイスは、レバノンのintelligence報機関の1つであるレバノン総合安全保障総局(GDGS)に属する建物にまでさかのぼります。入手可能な証拠に基づいて、GDGSはDark Caracalの背後にいる俳優に関連付けられているか、直接支援している可能性が高いと考えられます。

公開された文書は、国営のハッカーが「軍事要員、企業、医療専門家、活動家、ジャーナリスト、弁護士、教育機関」などの被害者から個人を特定できるデータと知的財産の両方を盗んだことを明らかにしています。

操作マヌル

EFFによると、Dark Caracalは、Manul作戦と呼ばれる以前に発見されたハッキン​​グキャンペーンに関連している可能性があります。このキャンペーンは昨年発見され、ヌルスルタン・ナザルバエフ政権の行動を批判するカザフスタンの弁護士、ジャーナリスト、活動家、反体制派を標的にしていることがわかりました。.

ただし、Manul作戦(PDF)とは異なり、Dark Caracalは、グローバルな標的を狙った国際的なハッキングの取り組みに成熟したようです。 Lookoutのセキュリティインテリジェンス担当副社長、マイクマレーは次のようにコメントしています。

「ダークカラカルは、過去1年間に我々が見ている傾向の一部であり、従来のAPTアクターは、モバイルを主なターゲットプラットフォームとして使用する方向に向かっています。.

「Dark Caracalで使用されているAndroidの脅威は、世界で最初に公開されたモバイルAPTの1つです。」

実際、Lookoutのレポートによると、Dark Caracalは2012年にさかのぼって以来活動を続けています。これは、レバノンが支援するハッカーの経験と専門知識がかなり長い間成長していることを意味します。また、このレポートは、ダークカラカルがまだ非常に活発であり、いつでもすぐに終了する可能性が低いことを明らかにしています.

このように、このハッキング事件は、米国、英国、ロシア、中国などの世界的なサイバー戦争能力を自由に利用できるのは、単なる主要な国家機関ではないことを思い出させるものです。.

攻撃ベクトル

Lookoutの研究者が行った研究により、被害者は当初、ソーシャルエンジニアリングとフィッシング攻撃の標的になっていることが明らかになりました。成功したスピアフィッシングは、Pallasと呼ばれるマルウェアペイロードと、FinFisherのこれまでにない変更を配信するために使用されます。 Dark Caracalのフィッシングインフラストラクチャには、FacebookやTwitterなどの人気Webサイトの偽のポータルが含まれています.

フィッシング技術は、感染したバージョンの人気のあるセキュリティおよびプライバシーアプリがデバイスに広まる「散水穴」サーバーに被害者を誘導するために使用されます。偽のFacebookプロファイルも、Whatsappの感染バージョンや他のメッセンジャーに悪意のあるリンクを広めるのに役立つことが発見されました.

Pallasを含むトロイの木馬化されたアプリに感染すると、ハッカーはCommand and Control(C&C)サーバー。研究者が発見した感染アプリの中には、偽造バージョンのPsiphonVPNと感染バージョンのOrbot:TORプロキシがありました。.

研究者はまた、Pallasが「Adobe Flash PlayerおよびAndroid向けGoogle Play Pushを装ったいくつかのアプリに潜んでいる」ことも発見しました。.

洗練されていないが効果的

結局のところ、Dark Caracalで使用される技術は非常に一般的であり、特に洗練されたものとは見なされません。それにもかかわらず、このハッキングキャンペーンは、2018年にサイバー戦争が非常に多作であり、世界的な脅威になる可能性が高いことをはっきりと思い出させます。このタイプのハッキングを実行するためのツールは、ある州のアクターから次のアクターに相互受粉しており、彼らがハッカーに与える恐ろしい能力は、二要素認証でさえユーザーを保護できない深刻な侵入をもたらします.

常にそうであるように、メッセージを開くときは非常に注意することをお勧めします。ソーシャルエンジニアリングのフィッシングは、あなたを誘惑するように設計されています。リンクをクリックする前によく考えてください。また、アプリが必要な場合は、必ず公式アプリストアにアクセスしてください。これにより、感染したアプリで終了する可能性が大幅に減少します。最後に、仮想プライベートネットワーク(VPN)ユーザーは、VPNソフトウェアをどこから入手するかについても非常に注意することを忘れないでください。常に正当なソースから入手するようにしてください。.

意見は作家自身のものです.

タイトル画像クレジット:Ink Drop / Shutterstock.com

画像クレジット:anastasiaromb / Shutterstock.com、wk1003mike / Shutterstock.com、smolaw / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me