Cílené Digital Spy Tool prodány zahraničním vládám PODLE KIM ZETTER 06.04.13 06:30 Screenshot ukazuje webové stránky v Turecku, kde byl škodlivý kód uložený na phishing. V pravém okně se zobrazí na stránce skrytou HTML kód, který odhaluje škodlivé Flash komponenty vložené do stránky, které čekají na stáhnout do počítačů, které navštívily stránky. E-mail se zdá pocházet z důvěryhodného kolegy v renomované akademické instituce a odkazoval se na předmět, který byl žhavým tématem pro příjemce včetně odkazu na webové stránky, kde by mohla získat více informací o ní. Ale když příjemce podíval se pozorně na odesílatele e-mailovou adresu, sdělovače překlep dal phishing pokus pryč - e-mail, že přichází profesor na Harvardské univerzitě, ale místo harvard.edu, e-mailová adresa číst "hardward.edu ". Není to zrovna profesionální kon-job od národního státu hackery, ale to je přesně to, kteří mohou poslal e-mail na americké ženy, která věří, že byl zaměřen týmů v Turecku, spojených nebo sympatizují s výkonným Gülen hnutí, které pronikly části turecké vlády. E-mail obsahuje odkaz na webové stránky v Turecku, kde se škodlivý soubor downloader čekal nainstalovat na svém počítači - downloader, který byl připojen v minulosti špionážní nástroj údajně prodávány výhradně k vymáhání práva a zpravodajskými agenturami po celém světě . Žena, která požádala o zachování anonymity, protože ona je znepokojena odvetu, cítil email byl podvod a nenásledoval odkaz. Místo toho, email předán výzkumných pracovníků na digitální forenzní firmy Consulting Arsenal , který založil honeypot k návštěvě turecké webové stránky a získal Downloader. Ačkoli vyšetřovatelé nezískal soubor downloader měl za úkol nainstalovat, analýza ukázala, že to bylo stejné downloader, který byl použit v minulosti k instalaci Remote Control System (RCS), špionážní nástroj vyrobený italskou společností Hacking Team a prodával vlády. Digitální certifikát použitý k podepsání Downloader také byl použit v minulosti Hacking týmu nástroj. "Byl to první náznak, že to byl připojen k Hacking týmu a RCS," Mark. G. Spencer, prezident Arsenalu, řekl Wired. Hacking Team tvrdí, že prodává nástroje RCS pouze na vymáhání práva a vládními bezpečnostními pro Zákonný odposlech účely, ale byl údajně použit proti aktivistům a politických disidentů v Maroku a ve Spojených arabských emirátech a možná i jinde, otázky, v níž Hacking Team byl ostře kritizován. Společnost propaguje v marketingové literatuře, že nástroj vyhýbá šifrování a obchází antivirový a další bezpečnostní ochrany pracovaly zcela neviditelně na cílovém stroji. Nástroj RCS, také známý jako DaVinci, záznamy textu a audio hovory ze Skype, Yahoo Messenger, Google Talk a MSN Messenger, mezi jinými komunikačními aplikacemi. To také krade historii prohlížení a může se na počítače mikrofon a webová kamera pro záznam konverzace v místnosti a fotit. Nástroj se opírá o rozsáhlou infrastrukturu pro provoz, a proto není snadno kopírovat a přešel na nestátní aktéry mimo této infrastruktury použít pro své vlastní osobní špionážní účely, podle Hacking Team mluvčí. Spencer říká, že neexistuje žádný definitivní důkaz ukázal, kdo je za pokus o hack na americké ženy, ale konstatuje, tam je nepřímý důkaz, že vyžaduje další pozornost. "Máme e-mail, předpokládaného odesílatele a cíl všech kritických hnutí Gülen. Máme profesionální malware spuštěna ze serveru v Turecku. Můžete si to tam, "řekl Spencer. Turecko je členem Severoatlantické aliance organizace . Pokud orgány tam byli za hack útok, znamenalo by to, že spojenec NATO pokusil špehovat občany USA na americké půdě, zřejmě bez vědomí či souhlasu amerických úřadů, a z důvodů, které se nezdají být příbuzný trestný čin nebo protiteroristická vyšetřování. Mustafa Kemal Sungur, mluvčí turecké velvyslanectví ve Washingtonu, DC, řekl, že žádné připomínky obvinění. Hacking Team mluvčí Eric Rabe bych neřekl, že pokud Turecko je zákazník svého softwaru, jen to, že Hacking Team prodává "několika desítek zemí." Když už mluvíme obecně, on řekl, že společnost bude vyšetřovat případy, kdy se domnívá, klienti mohou používat své software nelegálním způsobem nebo způsobem, který porušuje podmínky provozu, a že pokud zákazník zjistí, že se pomocí svého softwaru v nelegitimní způsobem , Hacking Team má způsoby, jak činí tento software k ničemu zastavením aktualizace k ní. "Pokud se nám nepodaří aktualizovat software docela pravidelně, antivirové programy detekovat software a bude to k ničemu agentur," řekl s odkazem na vylepšení a zmatení společnost dodává k programu překazit odhalení. Žena věří, že byl zaměřen, protože ona je otevřený kritik tureckých charterových škol v USA, které jsou provozovány příznivců hnutí Gülen, mlčenlivá organizace vedená charismatickým imámem a tureckého učence Fethullah Gülen, který pobývá v exilu v Pensylvánii. Věří, že e-mail byl odeslán anonymní e-mailovou adresu se používá ve snaze identifikovat ji a získat přístup ke svým osobním údajům a komunikací, aby se pokusil zdiskreditovat ji. Hnutí Gülen má miliony příznivců po celém světě a je za sítě škol provozovaných ve více než 100 zemích světa, včetně řetězu charterových škol v USA, ale kritici říkají, že členové hnutí se silně pronikli do tureckého soudnictví a policejní zpravodajské služby s cílem zvýšit islámské vlivy v Turecku a tlačí na zemi více konzervativní směr. Členové hnutí jsou obviněni z používání vládu a média připojení pomstít a diskreditaci oponentů, včetně pomocí vykonstruovaných obvinění, aby si je uvězněn. "Jsme znepokojeni utajenou povahu hnutí Gülen, všichni kouř a zrcadla," anonymní americký činitel řekl New York Times minulý rok. "Je jasné, že chtějí vliv a moc. Obáváme se, že je skrytá agenda napadnout sekulární Turecko a vést zemi ve více islámské směrem. " Žena, která obdržela phishing pokus říká, že byli varováni před cestou do Turecka v důsledku její otevřenou kritiku hnutí charterových škol. "Už jsem řekl, americký činitel, který bych nikdy cestovat do Turecka, že by bylo nebezpečné pro mě," řekla Wired. Tělo e-mailu získala číst: "Ahoj, zde je nový web o Gülen pohybu. Je hizmetesorulanlar.org/homepage.html. Také byste si měli přečíst esej, který jsem ti poslal. . (Passwprd: 12345) " E-mail byl podepsán profesor z Harvardu, který psal a mluvil veřejně o Gülen hnutí v minulosti, ale URL v e-mailu vlastně šel do jiné webové stránky, než je uvedené - špatně navržené GeoCities typu stránky v Turecku URL mypagex / fileshare / otázky / main.html. Když Spencer tým navštívil druhý webové stránky s testovacím stroji, škodlivý Flash složka s názvem Anim.swf, která se objevila jako součást vícestupňové útok dostal nainstalován na svém počítači. "Je to opravdu pěkné a působivé číslo," řekl Spencer Wired. Tato komponenta shromáždili inteligenci o infikovaný počítač operačního systému a prohlížeče a byl naprogramován tak, aby poté stáhněte druhé fáze Flash útok. Spencer tým nedostal ani pohled na druhé, ale proto, že soubor byl odstraněn z webu dříve, než oni mohli chytit. Oni byli, nicméně, schopný chytit půl tuctu dalších komponentů, které byly uloženy ve složkách na místě, než bude odstraněna. Jednalo se o soubor downloader, spustitelný program, který byl navržen tak, aby chytit screenshoty z cílových systémů a odesílat je na velení a řízení serveru v Turecku. To byl také navržen tak, aby stáhnout další nástroj, který Spencer věří, může být hlavní RCS spykit, když nemůže s jistotou říci, protože útok nebyl dokončen. Soubor downloader byl digitálně podepsán s certifikátem vydaným na jednotlivce jménem Kamel Abed. GlobalSign , certifikační autorita, která certifikát vydal, řekl Wired, že společnost vystavila certifikát loni v listopadu po obdržení legitimní aplikace. Certifikát byl zrušen 12.února po GlobalSign se dozvěděl o jeho zneužití, v návaznosti na zprávu společnosti Kaspersky Lab, které vázaný certifikátu Hacking týmu špionážní nástroj . "Certifikát byl zrušen, jakmile se naše komunita kontakty z nás si vědomi použití klíče pro důvodů nedovolují," GlobalSign CEO Steve Waite uvedl v e-mailu. "Provádíme odvolání vyšetřování 24/7, a v tomto případě odvolání se stalo rychle." Nechtěl říci, zda Abed sám zneužití certifikátu nebo pokud někdo ukradl z něj podepsat škodlivého downloader, ale řekl, že GlobalSign odvolán certifikát po pokusu kontaktovat účastníka diskutovat s ním a nebyl schopen se k němu dostat . Na otázku, zda Hacking Team kdy bylo vydáno osvědčení na jméno Kamel Abed nebo používat takové osvědčení podepsat své špionážní nástroje, mluvčí Rabe řekl jen: "Kamel Abed je společný arabské jméno, a já nebudu komentovat než to. " Arsenal kontaktoval Nicolas Brulez, hlavní výzkumník bezpečnostní společnost Kaspersky Lab, zkoumat soubor downloader a certifikát. Kaspersky psal značně o Hacking Teamu nástrojů v minulosti, a Brulez zjistil, že downloader kód a Kamel Abed certifikát byly identické s jinou downloader známo, že byly použity s RCS spykit v minulosti. Zjistil také, testovací kód v souboru downloader, který odpovídal přesně testovací kód, který naleznete v součást RCS spykit a dva soubory používá stejný šifrovací algoritmus pro komunikaci s velení a řízení serveru. Byly tu i další podobnosti a přesné zápasy stejně, všichni, které vedly Brulez k závěru, že "člověk, který provedl downloader, který Arsenal našel také RCS." Brulez věří, že downloader je používán útočníky nejprve shromažďovat informace o oběti předtím, než rozhodne, zda chtějí poslat celý RCS balíček ke stroji. Věří také, že nástroj RCS by byly nainstalovány oběti amerického stroje přes zero-day exploit Flash , která byla použita i proti dalším obětem RCS zhruba ve stejné době byla cílená, než Adobe oprava jej. Kaspersky detekoval nejméně 50 případy infekcí RCS na počítačích v Itálii, Mexiku, Kazachstán, Saúdská Arábie, Turecko, Argentina, Alžírsko, Mali, Írán, Indie a Etiopie. Hacking Team se dostal pod oheň v loňském roce poté, co řada bezpečnostních výzkumníků souvisí společnosti špionážní kit hacky, že cílené političtí aktivisté v Maroku a ve Spojených arabských emirátech za účelem špehování a umlčovat odpůrce. V Maroku, aktivista skupina známá jako Mamfakinch byl údajně terčem vládní špionáž v této zemi přes použití Hacking týmu softwaru. A Ahmed Mansúr, aktivista ze Spojených arabských emirátů, který byl uvězněn na sedm měsíců v roce 2011 spolu se čtyřmi dalšími aktivisty na základě obvinění, že urazil země viceprezident a hrozil státní bezpečnosti, byl také údajně zaměřuje se softwarem . Rabe volal tvrzení "velmi nepřímé," ale nebude vypracovat. Společnost se vyšetřit tvrzení, řekl, ale nechtěl zveřejnit výsledek šetření. "Existují okolnosti, za kterých jsme odmítli pracovat s klienty na základě našeho zkoumání, co dělají, nebo to, co jsme si mysleli, že dělají," řekl, ale nechtěl říci, zda Maroko a Spojené arabské emiráty byly zrušeny jako klienty Výsledek obvinění. On řekl, že společnost dbá o to, kdo prodává svůj software, a nebude ji prodat každé zemi. "Snažíme se zjistit, kdo jsou agentury a kdo jsou vlády, které budeme prodávat. Existují určité vlády nemáme prodávat naše software, "řekl, když se nezjistila žádné země, které byly odmítnuty. Situace, ve které by někdo mohl zneužít software špehovat nevinných lidí je něco, co "se týká" společnost, řekl, i když připouští, že je málo Hacking Team může udělat, aby se zabránilo to. "Víme, jak silný je nástroj, který jsme vyvinuli, a tak děláme vše pro to, ujistěte se, že nedošlo k zneužití," řekl. "[B] ut tam je limit na to, jak můžeme kontrolovat, co někdo dělá se softwarem. "
Posted on: Sun, 09 Jun 2013 16:05:58 +0000
Trending Topics
Recently Viewed Topics
© 2015