Libanon gebruikt valse VPN- en Messenger-apps om te bespioneren

Er zijn valse versies van populaire gecodeerde berichten- en privacy-apps in het wild verspreid. De nepversies van Whatsapp, Telegram, Signal en PsiphonVPN worden verondersteld te zijn gemaakt door hackers die naar verluidt voor de Libanese regering werken. De kwaadwillende apps houden gebruikers voor de gek om te geloven dat hun berichten worden gecodeerd. In werkelijkheid maken de Libanese hackers echter doelbewust gebruik van backdoors en malware om de correspondenties van gebruikers te bekijken.


Volgens een rapport van het mobiele beveiligingsbedrijf Lookout en de Electronic Frontier Foundation zijn de hackers gekoppeld aan het centrale inlichtingenbureau van Libanon. Uit het rapport blijkt dat slachtoffers in maar liefst 20 landen waarschijnlijk de vervalste versies van populaire beveiligings-apps hebben gedownload.

Gevaarlijke Trojaanse paarden

Schadelijke apps kunnen bijna identiek worden gemaakt aan hun legitieme tegenhangers. Dit geeft gebruikers geen echte manier om te weten dat er iets ongewoons gebeurt op hun apparaten. Bij deze gelegenheid hebben slachtoffers de snode apps gedownload van onofficiële online app-winkels. Eenmaal geïnstalleerd, gedraagt ​​de app zich niet als een veilig gecodeerde berichten (beveiligd met het signaalprotocol van Open Whisper).

Trojaanse paarden zijn een extreem krachtig soort malware waarmee hackers de functies van een apparaat kunnen beheren. Dit omvat het lezen van correspondenties en sms-berichten, toegang tot e-mails, het inschakelen van de microfoon en de camera, het kijken door contacten, het inschakelen van de GPS en toegang tot foto's en andere gegevens op het gehackte apparaat.

De Libanese connectie

Het rapport gepubliceerd door Lookout heet "Dark Caracal: Cyber-spionage op wereldschaal". Volgens cybersecurity-onderzoekers van Lookout hebben ze bewijsmateriaal gevonden dat wijst op de betrokkenheid van een statelijke acteur. Volgens Lookout is die koppeling tot stand gekomen door de ontdekking van testapparatuur in het hoofdkantoor van de Libanese General Directorate of General Security (GDGS) in Beiroet:

“Apparaten voor het testen en uitvoeren van de campagne zijn terug te voeren op een gebouw van het Libanese Algemene Directoraat Algemene Veiligheid (GDGS), een van de inlichtingendiensten van Libanon. Op basis van het beschikbare bewijsmateriaal is het waarschijnlijk dat de GDGS is geassocieerd met of rechtstreeks ondersteuning biedt aan de actoren achter Dark Caracal. ”

De gepubliceerde documenten onthullen dat de door de staat gesponsorde hackers zowel persoonlijk identificeerbare gegevens als intellectueel eigendom van slachtoffers hebben gestolen, waaronder "militairen, ondernemingen, medische professionals, activisten, journalisten, advocaten en onderwijsinstellingen."

Operatie Manul

Volgens EFF is Dark Caracal mogelijk gerelateerd aan een eerder ongedekte hackcampagne genaamd Operation Manul. Die campagne werd vorig jaar ontdekt en bleek gericht te zijn op advocaten, journalisten, activisten en dissidenten uit Kazachstan die kritiek hebben op de acties van het regime van president Nursultan Nazarbayev.

In tegenstelling tot Operation Manul (PDF) lijkt Dark Caracal echter te zijn uitgegroeid tot een internationale hackinspanning gericht op wereldwijde doelen. Mike Murray, vice-president van Security Intelligence bij Lookout, merkte op:

"Dark Caracal maakt deel uit van een trend die we het afgelopen jaar hebben zien toenemen, waarbij traditionele APT-actoren mobiel gaan gebruiken als primair doelplatform.

"De Android-dreiging die we hebben geïdentificeerd, zoals gebruikt door Dark Caracal, is een van de eerste wereldwijd actieve mobiele APT's waarover we publiekelijk hebben gesproken."

Volgens het rapport van Lookout is Dark Caracal al sinds 2012 actief. Dit betekent dat de Libanese gesponsorde hackers al geruime tijd in ervaring en expertise groeien. Het rapport maakt ook duidelijk dat Dark Caracal nog steeds zeer actief is en waarschijnlijk niet snel zal stoppen.

Als zodanig dient dit hackincident om eraan te herinneren dat niet alleen grote statelijke actoren, zoals de VS, het VK, Rusland en China, beschikken over wereldwijde mogelijkheden voor cyberoorlogvoering.

Aanval Vector

Uit het werk van onderzoekers van Lookout blijkt dat slachtoffers in eerste instantie het doelwit zijn van social engineering en phishing-aanvallen. Succesvolle spear phishing wordt gebruikt om een ​​malware-payload te leveren met de naam Pallas en een eerder ongeziene aanpassing van FinFisher. De phishing-infrastructuur van Dark Caracal omvat nepportals voor populaire websites zoals Facebook en Twitter.

Phishingtechnieken worden gebruikt om slachtoffers naar een server te leiden waar geïnfecteerde versies van populaire beveiligings- en privacy-apps op hun apparaten worden verspreid. Er werden ook valse Facebook-profielen ontdekt die helpen om kwaadaardige links te verspreiden naar geïnfecteerde versies van Whatsapp en andere boodschappers.

Eenmaal besmet met de trojanized app die Pallas bevat, kunnen hackers secundaire payloads leveren via een Command and Control (C&C) server. Onder de geïnfecteerde apps die door de onderzoekers zijn ontdekt, was een vervalste versie van PsiphonVPN en een geïnfecteerde versie van Orbot: TOR-proxy.

De onderzoekers ontdekten ook dat Pallas "op de loer lag in verschillende apps die beweerden Adobe Flash Player en Google Play Push voor Android te zijn".

Niet gesofisticeerd maar effectief

Uiteindelijk zijn de technieken die Dark Caracal gebruikt zeer gebruikelijk en kunnen niet als bijzonder geavanceerd worden beschouwd. Desondanks dient deze hackcampagne als een sterke herinnering dat cyberwarfare in 2018 waarschijnlijk zowel zeer productief als een wereldwijde bedreiging zal zijn. De tools om dit soort hacking uit te voeren zijn van de ene naar de andere acteur gekruist en de angstaanjagende mogelijkheden die ze hackers bieden, leiden tot een ernstige penetratie waar zelfs tweefactorauthenticatie gebruikers niet tegen kan beschermen.

Zoals altijd is het raadzaam om zeer voorzichtig te zijn bij het openen van berichten. Social engineering phishing is ontworpen om u te lokken - denk dus twee keer na voordat u op een link klikt. Als u bovendien een app nodig heeft, moet u altijd naar een officiële app store gaan, omdat dit uw kansen om te eindigen met een geïnfecteerde app enorm zal verminderen. Ten slotte worden gebruikers van Virtual Private Network (VPN) er ook aan herinnerd dat ze uiterst voorzichtig moeten zijn waar ze hun VPN-software vandaan halen en er altijd voor zorgen dat ze van een legitieme bron komen.

De meningen zijn van de schrijver.

Titel afbeelding tegoed: Ink Drop / Shutterstock.com

Afbeelding credits: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me