Λίβανος Χρησιμοποιώντας ψεύτικες εφαρμογές VPN και Messenger στον κατάσκοπο

Οι ψεύτικες εκδόσεις των δημοφιλών κρυπτογραφημένων εφαρμογών ανταλλαγής μηνυμάτων και ιδιωτικού απορρήτου έχουν εντοπιστεί κυκλοφορούν στο φυσικό περιβάλλον. Οι ψευδείς εκδόσεις του Whatsapp, του Telegram, του Signal και του PsiphonVPN πιστεύεται ότι έχουν δημιουργηθεί από hackers που φέρεται ότι εργάζονται για την κυβέρνηση του Λιβάνου. Οι κακόβουλες εφαρμογές εξοργίζουν τους χρήστες να πιστέψουν ότι τα μηνύματά τους κρυπτογραφούνται. Ωστόσο, στην πραγματικότητα, οι λιβανέζοι χάκερ εκμεταλλεύονται σκοπίμως δημιουργημένα backdoors και κακόβουλα προγράμματα για να σπρώξουν τις αλληλογραφίες των χρηστών.


Σύμφωνα με έκθεση που δημοσίευσε η εταιρία κινητής τηλεφωνίας Lookout και το Electronic Frontier Foundation, οι χάκερ έχουν συνδεθεί με την κεντρική υπηρεσία πληροφοριών του Λιβάνου. Η έκθεση αποκαλύπτει ότι τα θύματα σε περισσότερες από 20 χώρες έχουν πιθανώς κατεβάσει τις πλαστές εκδόσεις δημοφιλών εφαρμογών ασφαλείας.

Επικίνδυνοι Τρώες

Οι κακόβουλες εφαρμογές μπορούν να γίνουν σχεδόν ταυτόσημες με τους νόμιμους ομολόγους τους. Αυτό δεν δίνει στους χρήστες πραγματικό τρόπο να γνωρίζουν ότι συμβαίνει κάτι δυσάρεστο στις συσκευές τους. Με αυτή την ευκαιρία, τα θύματα κατέβασαν τις άτακτες εφαρμογές από ανεπίσημα καταστήματα εφαρμογών στο διαδίκτυο. Μόλις εγκατασταθεί, αντί να παρέχει ασφαλή κρυπτογραφημένα μηνύματα (προστατεύεται με το πρωτόκολλο Signal Open Whisper's) - η εφαρμογή συμπεριφέρεται σαν Trojan.

Τα trojans είναι ένα εξαιρετικά ισχυρό είδος κακόβουλου λογισμικού που επιτρέπει στους χάκερ να πάρουν τον έλεγχο των χαρακτηριστικών μιας συσκευής. Αυτό περιλαμβάνει την ανάγνωση αλληλογραφίας και μηνυμάτων SMS, την πρόσβαση σε μηνύματα ηλεκτρονικού ταχυδρομείου, την ενεργοποίηση του μικροφώνου και της κάμερας, την αναζήτηση επαφών, την ενεργοποίηση του GPS και την πρόσβαση σε φωτογραφίες και άλλα δεδομένα που περιέχονται στην πειραματική συσκευή.

Η σύνδεση του Λιβάνου

Αναφέρεται η έκθεση που δημοσιεύεται από το Lookout "Dark Caracal: Cyber-Espionage σε μια παγκόσμια κλίμακα". Σύμφωνα με τους ερευνητές του cybersecurity στο Lookout, έχουν αποκαλύψει στοιχεία που δείχνουν ότι εμπλέκονται ένας κρατικός ηθοποιός. Σύμφωνα με το Lookout, ο σύνδεσμος αυτός δημιουργήθηκε λόγω της ανακάλυψης συσκευών δοκιμών στο εσωτερικό της έδρας της Γενικής Διεύθυνσης Γενικής Διεύθυνσης Γενικής Ασφάλειας (GDGS) στη Βηρυτό:

"Συσκευές για τη δοκιμή και τη λειτουργία της εκστρατείας εντοπίστηκαν σε ένα κτίριο που ανήκει στη Γενική Διεύθυνση Γενικής Ασφάλειας του Λιβάνου (GDGS), μία από τις υπηρεσίες πληροφοριών του Λιβάνου. Βάσει των διαθέσιμων στοιχείων, είναι πιθανό ότι το GDGS συνδέεται ή υποστηρίζει άμεσα τους ηθοποιούς πίσω από το Dark Caracal. "

Τα δημοσιευμένα έγγραφα αποκαλύπτουν ότι οι υποστηριζόμενες από το κράτος χάκερ έχουν κλέψει ταυτόχρονα προσωπικά αναγνωρίσιμα δεδομένα και πνευματική ιδιοκτησία από θύματα, όπως «στρατιωτικό προσωπικό, επιχειρήσεις, επαγγελματίες του ιατρικού τομέα, ακτιβιστές, δημοσιογράφους, δικηγόρους και εκπαιδευτικά ιδρύματα».

Λειτουργία Manul

Σύμφωνα με το EFF, το Dark Caracal μπορεί να σχετίζεται με μια εκστρατεία πειρατείας που αποκαλύφθηκε στο παρελθόν με την ονομασία Operation Manul. Η εκστρατεία αυτή ανακαλύφθηκε πέρυσι και βρέθηκε να απευθύνεται σε δικηγόρους, δημοσιογράφους, ακτιβιστές και αντιφρονούντες από το Καζακστάν, οι οποίοι επικρίνουν τις ενέργειες του καθεστώτος του Προέδρου Nursultan Nazarbayev.

Αντίθετα από το Operation Manul (PDF), ωστόσο, το Dark Caracal φαίνεται να έχει ωριμάσει σε μια διεθνή προσπάθεια hacking που στοχεύει σε παγκόσμιους στόχους. Ο Mike Murray, Αντιπρόεδρος της Intelligence Security στο Lookout, σχολίασε:

"Το Dark Caracal αποτελεί μέρος μιας τάσης που έχουμε δει να αυξάνεται κατά το παρελθόν έτος, όπου οι παραδοσιακοί φορείς APT κινούνται προς την κατεύθυνση της χρήσης της κινητής ως κύριας πλατφόρμας στόχου.

"Η απειλή του Android που εντοπίσαμε, όπως χρησιμοποιείται από το Dark Caracal, είναι ένα από τα πρώτα παγκοσμίως ενεργά κινητά APT για τα οποία έχουμε μιλήσει δημόσια».

Στην πραγματικότητα, σύμφωνα με την έκθεση του Lookout, το Dark Caracal είναι ενεργό από το παρελθόν το 2012. Αυτό σημαίνει ότι οι χρηματοδοτούμενοι από το Λιβάνιο χάκερ έχουν αυξηθεί στην εμπειρία και την τεχνογνωσία εδώ και αρκετό καιρό. Η έκθεση καθιστά επίσης σαφές ότι το Dark Caracal εξακολουθεί να είναι πολύ ενεργό και είναι απίθανο να σταματήσει οποτεδήποτε σύντομα.

Ως εκ τούτου, αυτό το περιστατικό hacking χρησιμεύει ως υπενθύμιση ότι δεν είναι μόνο μεγάλοι κρατικοί παράγοντες, όπως οι ΗΠΑ, το Ηνωμένο Βασίλειο, η Ρωσία και η Κίνα, που έχουν στη διάθεσή τους δυνατότητες παγκόσμιου πολέμου στον κυβερνοχώρο.

Αντίκτυπος διάνυσμα

Η εργασία που πραγματοποίησαν οι ερευνητές στο Lookout αποκαλύπτει ότι τα θύματα αρχικά στοχεύουν στην κοινωνική μηχανική και τις επιθέσεις phishing. Το επιτυχημένο phishing δόνησης χρησιμοποιείται για να παραδώσει ένα κακόβουλο λογισμικό κακόβουλου λογισμικού που ονομάζεται Pallas και μια προηγούμενη αόρατη τροποποίηση του FinFisher. Η υποδομή phishing του Dark Caracal περιλαμβάνει ψεύτικες πύλες για δημοφιλείς ιστότοπους όπως το Facebook και το Twitter.

Οι τεχνικές ηλεκτρονικού "ψαρέματος" (phishing) χρησιμοποιούνται για να κατευθύνουν τα θύματα σε ένα διακομιστή "τρύπημα ποτίσματος" όπου διαδίδονται μολυσμένες εκδόσεις δημοφιλών εφαρμογών ασφάλειας και ιδιωτικού απορρήτου στις συσκευές τους. Τα ψεύτικα προφίλ Facebook εντοπίστηκαν επίσης βοηθώντας να εξαπλωθούν κακόβουλες συνδέσεις σε μολυσμένες εκδόσεις του Whatsapp και άλλων αγγελιοφόρων.

Μόλις μολυνθεί με την εφαρμογή trojanized που περιέχει Pallas, οι χάκερ μπορούν να παράσχουν δευτερογενή ωφέλιμα φορτία από μια εντολή και έλεγχο (C&C). Μεταξύ των μολυσμένων εφαρμογών που αποκαλύφθηκαν από τους ερευνητές ήταν μια παραποιημένη έκδοση του PsiphonVPN και μια μολυσμένη έκδοση του Orbot: TOR proxy.

Οι ερευνητές βρήκαν επίσης ότι ο Pallas "παραμονεύει σε αρκετές εφαρμογές που υποτίθεται ότι είναι το Adobe Flash Player και το Google Play Push for Android".

Μη εξελιγμένο αλλά αποτελεσματικό

Στο τέλος της ημέρας, οι τεχνικές που χρησιμοποιεί το Dark Caracal είναι πολύ κοινές και δεν μπορούν να θεωρηθούν ιδιαίτερα περίπλοκες. Παρ 'όλα αυτά, αυτή η εκστρατεία πειρατείας χρησιμεύει ως μια έντονη υπενθύμιση ότι το 2018 το cyberwarfare είναι πιθανό να είναι τόσο πολύ παραγωγικό όσο και παγκόσμια απειλή. Τα εργαλεία για την εκτέλεση αυτού του τύπου hacking έχουν διασταυρωμένη γονιμοποίηση από έναν κρατικό ηθοποιό στο επόμενο και οι τρομακτικές δυνατότητες που προσφέρουν οι χάκερ έχουν ως αποτέλεσμα τη σοβαρή διείσδυση ότι ακόμη και ο έλεγχος ταυτότητας δύο στοιχείων δεν μπορεί να προστατεύσει τους χρήστες από.

Όπως συμβαίνει πάντοτε, σας συνιστούμε να είστε πολύ προσεκτικοί κατά το άνοιγμα μηνυμάτων. Το phishing με κοινωνική μηχανική έχει σχεδιαστεί για να σας παρασύρει - έτσι σκεφτείτε δύο φορές προτού κάνετε κλικ σε έναν σύνδεσμο. Επιπλέον, αν χρειάζεστε μια εφαρμογή, βεβαιωθείτε πάντοτε ότι θα μεταβείτε σε ένα επίσημο κατάστημα εφαρμογών, καθώς αυτό θα μειώσει σημαντικά τις πιθανότητές σας να τερματίσετε με μια μολυσμένη εφαρμογή. Τέλος, οι χρήστες του Virtual Private Network (VPN) υπενθυμίζονται επίσης ότι είναι εξαιρετικά προσεκτικοί από όπου παίρνουν το λογισμικό VPN τους, φροντίζοντας πάντα να το αποκτήσουν από μια νόμιμη πηγή.

Οι απόψεις είναι οι δικές του συγγραφείς.

Πιστωτική ετικέτα τίτλου: Drop Drop / Shutterstock.com

Εικόνες πιστών: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me