วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (กันยายน 2024)
นักวิจัยด้านความปลอดภัยได้ทำการวิเคราะห์และวิเคราะห์ส่วนประกอบมือถือของสปายแวร์เชิงพาณิชย์ที่ใช้โดยรัฐบาลทั่วโลกซึ่งสามารถใช้ในการบันทึกและขโมยข้อมูลจากอุปกรณ์มือถืออย่างลับ ๆ ล่อๆ
พัฒนาโดยทีมงานแฮ็ค บริษัท ในอิตาลีโมดูลมือถือสำหรับระบบควบคุมระยะไกลช่วยให้หน่วยงานด้านกฎหมายและหน่วยข่าวกรองดำเนินการเฝ้าระวังอย่างหลากหลายในอุปกรณ์ Android, iOS, Windows Mobile และ BlackBerry ตามที่นักวิจัยจาก Kaspersky Lab และ Citizen Lab ที่ Munk School of Global Affairs ที่มหาวิทยาลัยโตรอนโต ทีมแฮ็คขาย RCS ซึ่งรู้จักกันในนาม Da Vinci และ Galileo แก่รัฐบาลในการสอดแนมคอมพิวเตอร์เดสก์ท็อปแล็ปท็อปและอุปกรณ์มือถือ ในบางประเทศ RCS ใช้เพื่อสอดแนมผู้คัดค้านทางการเมืองนักข่าวผู้สนับสนุนด้านสิทธิมนุษยชน
นักวิจัยจาก Kaspersky Lab และ Citizen Lab ได้ทำการออกแบบวิศวกรรมมือถือร่วมกันและ Morgan Marquis-Boire ของ Citizen Lab และ Sergey Golovanov จาก Kaspersky ของ Kaspersky นำเสนอสิ่งที่ค้นพบในงานแถลงข่าวในลอนดอนเมื่อวันอังคารที่ผ่านมา
“ มันเป็นความจริงที่รู้จักกันดีมานานแล้วว่าผลิตภัณฑ์ HackingTeam นั้นรวมมัลแวร์สำหรับโทรศัพท์มือถืออย่างไรก็ตามสิ่งเหล่านี้แทบจะไม่เกิดขึ้นเลย” Golovanov เขียนบนบล็อกของ Securelist
RCS สามารถทำอะไรได้บ้าง
ส่วนประกอบ iOS และ Android สามารถบันทึกการกดแป้นพิมพ์รับข้อมูลประวัติการค้นหาและอนุญาตการรวบรวมอีเมลข้อความตัวอักษร (แม้แต่ที่ส่งจากแอพเช่น WhatsApp) ประวัติการโทรและสมุดที่อยู่ พวกเขาสามารถจับภาพหน้าจอของหน้าจอเหยื่อถ่ายภาพด้วยกล้องของโทรศัพท์หรือเปิด GPS เพื่อตรวจสอบตำแหน่งของเหยื่อ พวกเขายังสามารถเปิดไมโครโฟนเพื่อบันทึกโทรศัพท์และการโทร Skype รวมถึงการสนทนาที่เกิดขึ้นในบริเวณใกล้เคียงของอุปกรณ์
“ การเปิดใช้งานไมโครโฟนอย่างลับๆและการถ่ายภาพกล้องเป็นประจำนั้นช่วยให้สามารถตรวจจับเป้าหมายได้อย่างต่อเนื่องซึ่งมีประสิทธิภาพมากกว่าการสวมเสื้อคลุมและกริชแบบดั้งเดิม” Golovanov เขียน
นักวิจัยกล่าวว่าส่วนประกอบของอุปกรณ์พกพานั้นสร้างขึ้นเองตามความต้องการ "เมื่อกลุ่มตัวอย่างพร้อมผู้โจมตีจะส่งมอบไปยังอุปกรณ์มือถือของเหยื่อเวกเตอร์สำหรับการติดเชื้อที่รู้จักบางตัว ได้แก่ spearphishing ผ่านวิศวกรรมทางสังคม - มักจะมาพร้อมกับช่องโหว่รวมถึง zero-days และการติดเชื้อในท้องถิ่นผ่านสาย USB อุปกรณ์ "Golovanov กล่าว
แขนยาวของการเฝ้าระวัง
RCS มีการเข้าถึงทั่วโลกอย่างมากโดยนักวิจัยค้นหาการระบุเซิร์ฟเวอร์ 326 แห่งในกว่า 40 ประเทศ เซิร์ฟเวอร์คำสั่งส่วนใหญ่โฮสต์ในสหรัฐอเมริกาตามด้วยคาซัคสถานเอกวาดอร์สหราชอาณาจักรและแคนาดา ความจริงที่ว่าเซิร์ฟเวอร์คำสั่งอยู่ในประเทศเหล่านั้นไม่ได้แปลว่าหน่วยงานบังคับใช้กฎหมายในประเทศเหล่านั้นกำลังใช้ RCS อยู่
“ อย่างไรก็ตามมันสมเหตุสมผลสำหรับผู้ใช้งาน RCS ในการปรับใช้ C & Cs ในสถานที่ที่พวกเขาควบคุมซึ่งมีความเสี่ยงน้อยที่สุดสำหรับปัญหาด้านกฎหมายข้ามพรมแดนหรือการยึดเซิร์ฟเวอร์” Golovanov กล่าว
การค้นพบล่าสุดสร้างขึ้นจากรายงานก่อนหน้านี้เมื่อเดือนมีนาคมที่นักวิจัยพบว่าอย่างน้อย 20 เปอร์เซ็นต์ของโครงสร้างพื้นฐาน RCS ตั้งอยู่ภายในศูนย์ข้อมูลโหลในสหรัฐอเมริกา
ซ่อนตัวอยู่ในโหมดซ่อนตัว
นักวิจัยห้องปฏิบัติการ Citizen พบว่าทีมแฮ็คเพย์โหลดในแอพ Android ซึ่งดูเหมือนจะเป็นสำเนาของ Qatif วันนี้แอพข่าวอาหรับ ชั้นเชิงชนิดนี้ซึ่งมีการบรรจุข้อมูลที่เป็นอันตรายลงในสำเนาของแอพที่ถูกกฎหมายนั้นเป็นเรื่องธรรมดาในโลก Android เพย์โหลดพยายามใช้ประโยชน์จากช่องโหว่ในระบบปฏิบัติการ Android รุ่นเก่ากว่าเพื่อเข้าถึงรูทบนอุปกรณ์
"แม้ว่าการใช้ประโยชน์นี้จะไม่ได้ผลกับระบบปฏิบัติการ Android รุ่นล่าสุด แต่ผู้ใช้เปอร์เซ็นต์สูงยังคงใช้รุ่นเก่าที่อาจเสี่ยง" นักวิจัย Lab ของ Citizen เขียนไว้ในบล็อกโพสต์
ทั้งโมดูล Android และ iOS ใช้เทคนิคขั้นสูงเพื่อหลีกเลี่ยงการใช้พลังงานจากแบตเตอรี่ของโทรศัพท์ จำกัด เมื่อทำงานบางอย่างตามเงื่อนไขที่กำหนดและดำเนินการอย่างรอบคอบเพื่อไม่ให้เหยื่อตกเป็นเหยื่อ ยกตัวอย่างเช่นอาจมีการเปิดไมโครโฟนและทำการบันทึกเสียงเมื่อเหยื่อเชื่อมต่อกับเครือข่าย Wi-Fi โดยเฉพาะ Golovanov กล่าว
นักวิจัยพบว่าโมดูล iOS มีผลกับอุปกรณ์ที่ถูกเจลเบรคเท่านั้น อย่างไรก็ตามหากอุปกรณ์ iOS เชื่อมต่อกับคอมพิวเตอร์ที่ติดตั้งซอฟต์แวร์เวอร์ชันเดสก์ท็อปหรือแล็ปท็อปมัลแวร์สามารถเรียกใช้เครื่องมือการแหกคุกจากระยะไกลเช่น Evasi0n เพื่อโหลดโมดูลที่เป็นอันตราย ทั้งหมดนี้จะทำโดยปราศจากความรู้ของเหยื่อ
Citizen Lab ยังได้รับสำเนาของสิ่งที่ดูเหมือนจะเป็นคู่มือผู้ใช้ของทีมแฮ็คจากแหล่งที่ไม่ระบุชื่อ เอกสารอธิบายในรายละเอียดที่ดีเกี่ยวกับวิธีการสร้างโครงสร้างพื้นฐานการเฝ้าระวังเพื่อส่งมอบสิ่งที่เป็นอันตรายแก่ผู้ประสบภัยวิธีการจัดการข้อมูลข่าวกรองที่เก็บเกี่ยวจากอุปกรณ์ของเหยื่อและวิธีการขอรับใบรับรองการลงนามรหัส
ตัวอย่างเช่นคู่มือแนะนำให้ใช้ Verisign, Thawte และ GoDaddy สำหรับใบรับรอง ผู้โจมตีได้รับคำสั่งให้ซื้อ "Developer Certificate" โดยตรงจาก TrustCenter หากเป้าหมายจะใช้อุปกรณ์ Symbian และลงทะเบียนสำหรับบัญชี Microsoft และบัญชี Windows Phone Dev Center เพื่อติดเชื้อ Windows Phone
ข้อสันนิษฐานที่อยู่เบื้องหลังซอฟต์แวร์สอดแนมประเภทนี้คือผู้ซื้อจะใช้เครื่องมือเหล่านี้เป็นหลักในการบังคับใช้กฎหมายและองค์ประกอบทางอาญาจะไม่สามารถเข้าถึงได้ อย่างไรก็ตามความจริงที่ว่าสิ่งเหล่านี้มีอยู่หมายความว่าพวกเขาสามารถใช้กับเป้าหมายทางการเมืองซึ่งมีผลกระทบร้ายแรงต่อความปลอดภัยและความเป็นส่วนตัวโดยรวม
