Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ukierunkowane implanty mobilne w erze cyberszpiegostwa

Dmitrij Bestużew
Kaspersky Lab Expert
Dodany 22 stycznia 2016, 10:41 CET
Tagi:

Wprowadzenie

Kiedy tworzone na masową skalę programy służące do szpiegostwa elektronicznego stały się powszechnie znane, wielu dostawców usług poczty elektronicznej, wiele firm oraz osób prywatnych zaczęło wykorzystywać szyfrowanie danych. Niektórzy z nich zaimplementowali rozwiązania wymuszonego szyfrowania dla połączeń serwerowych, inni poszli jeszcze dalej i zaimplementowali pełne szyfrowanie dla transmisji danych jak również przechowywania na serwerze.

Niestety, wspomniane wyżej zabezpieczenia, jakkolwiek istotne, nie rozwiązały podstawowego problemu. Oryginalny projekt architektury wykorzystany w wiadomościach e-mail pozwala na odczytywanie metadanych jako czystego tekstu zarówno w wiadomościach wysyłanych jak i otrzymywanych. Wspomniane metadane obejmują między innymi odbiorcę, nadawcę, datę wysłania/otrzymania, temat, rozmiar wiadomości, obecność załączników oraz klienta pocztowego wykorzystywanego do wysyłania wiadomości. 

Informacje te wystarczą, aby osoba stojąca za atakami w ramach kampanii ukierunkowanych odtworzyła oś czasową konwersacji, dowiedziała się, kiedy ludzie komunikują się ze sobą, o czym rozmawiają i jak często się komunikują. Wykorzystując te informacje w celu wypełnienia luk, cyberprzestępcy mogą dowiedzieć się wystarczająco dużo na temat swoich celów.   

Oprócz powyższego należy pamiętać, że technologie ewoluują, dlatego coś, co jest dzisiaj zaszyfrowane, może zostać łatwo odszyfrowane kilka lat później, czasami zaledwie kilka miesięcy w zależności od tego, jak mocny jest klucz szyfrowania i jak szybko rozwijają się technologie.

Wspomniany scenariusz sprawił, że w przypadku poufnych konwersacji, ludzie rezygnują z wymiany wiadomości e-mail. Zamiast tego zaczęli wykorzystywać bezpieczne aplikacje do wysyłania wiadomości na urządzeniach mobilnych wyposażone w pełne szyfrowanie, w których dane nie są przechowywane na serwerze i co jakiś czas są usuwane. Z jednej strony, aplikacje te zapewniają zarządzanie mocnym szyfrowaniem danych i połączeń. Z drugiej strony, zarządzają automatycznym usuwaniem danych na telefonach komórkowych oraz serwerach dostawców. Wreszcie, praktycznie nie posiadają żadnych metadanych lub są one anonimowe, a tym samym nie ma mowy o identyfikatorach dotyczących celów czy korelacji danych. W ten sposób konwersacje pozostają poufne, bezpieczne oraz praktyczne.  

Naturalnie, scenariusz ten spowodował, że wielu cyberprzestępców opracowuje implanty dla urządzeń mobilnych, ponieważ, z perspektywy ataków hakerskich, rozwiązują wszystkie wspomniane wcześniej ograniczenia techniczne – tj. niemożność przechwytywania konwersacji pomiędzy użytkownikami, którzy przeszli na te bezpieczne aplikacje umożliwiające wymianę wiadomości na urządzeniach mobilnych. Czym jest implant? Jest to interesujący termin wymyślony przez tych samych cyberprzestępców, którzy przeprowadzają ataki ukierunkowane. Po raz pierwszy zauważyliśmy to w przypadku kampanii Careto, o której informowaliśmy kilka lat temu.   

W kolejnych sekcjach przeanalizujemy niektóre implanty opracowane przez HackingTeam w celu infekowania urządzeń mobilnych działających pod kontrolą iOS (Apple), Android, Blackberry oraz Windows Mobile. HackingTeam nie jest jedynym ugrupowaniem, które rozwija mobilne implanty. Istnieje kilka kampanii o różnych korzeniach, które inwestowały w rozwój mobilnego szkodliwego oprogramowania i wykorzystywały je w atakach ukierunkowanych na poziomie regionalnym i międzynarodowym.   

Implanty dla urządzeń z Androidem

Telefony działające pod kontrolą systemu Android są przystępniejsze cenowo, a tym samym popularniejsze na całym świecie. Z tego powodu cyberprzestępcy odpowiedzialni za przeprowadzanie ataków ukierunkowanych na pierwszym miejscu stawiają telefony z Androidem i opracowali implanty dla tego systemu operacyjnego w szczególności.

Przyjrzyjmy się, do czego jest zdolny jeden z takich implantów.

HEUR:Trojan-Spy.AndroidOS.Mekir.a

mobile_implants_eng_1_auto.png

Powszechnie wiadomo, że algorytm szyfrowania wykorzystywany w wiadomościach tekstowych jest słaby. Można bezpiecznie założyć, że praktycznie wszystkie wysyłane wiadomości tekstowe mogą zostać przechwycone. Dokładnie z tego powodu wielu użytkowników wykorzystuje komunikatory internetowe. W umieszczonym wyżej fragmencie kodu widzimy, w jaki sposób cyberprzestępcy mogą uzyskać dostęp do bazy danych wiadomości wykorzystywanej przez WeChat, która stanowi mobilną aplikację do wymiany wiadomości tekstowych. 

Przyjmijmy, że wykorzystywana przez ofiarę aplikacja do obsługi wiadomości błyskawicznych jest naprawdę bezpieczna i stosuje pełne mocne szyfrowanie, ale wszystkie wiadomości, które są wysyłane i otrzymywane, są przechowywane lokalnie. W omawianym przypadku, cyberprzestępcy nadal mogliby odszyfrować takie wiadomości. Jeśli ukradną bazę danych wraz z kluczem szyfrowania, który jest przechowywany na urządzeniu ofiary, odpowiedzialni za takie ataki cyberprzestępcy będą mogli odszyfrować całą zawartość. Obejmuje ona wszystkie elementy bazy danych, nie tylko informacje tekstowe, ale również udostępniane informacje o lokalizacji geograficznej, zdjęcia, pliki oraz inne dane.

Ponadto, cyberprzestępcy mogą manipulować kamerą na urządzeniu. Mogą nawet robić zdjęcia ofierze w celu potwierdzenia tożsamości. Koreluje to również z innymi danymi, takimi jak dostawca usług sieci bezprzewodowej, z którą połączony jest telefon.

mobile_implants_eng_2_auto.png

W rzeczywistości nie ma znaczenia, jaką aplikację wykorzystuje ofiara. Jak tylko zostanie zainfekowany mobilny punkt końcowy, cyberprzestępcy będą mogli odczytać wszystkie wiadomości wysyłane i otrzymywane przez ofiarę. W następujących segmentach kodu znajdują się instrukcje wykorzystywane do interakcji z aplikacjami do obsługi wiadomości błyskawicznych Viber i WhatsApp.

mobile_implants_eng_3_auto.png

 

mobile_implants_eng_4.png

Jeśli urządzenia mobilne są skompromitowane przy użyciu implanta, reguła staje się bardzo prosta – jeśli przeczytasz bezpieczną wiadomość tekstową na swoim ekranie, przeczyta ją również cyberprzestępca odpowiedzialny za ten implant.

Implanty dla systemu iOS

Bez wątpienia, urządzenia mobilne Apple również posiadają duży udział rynkowy. Na niektórych rynkach są z pewnością bardziej popularne niż urządzenia z Androidem.

Apple bardzo dobrze zarządza bezpieczną architekturą swoich urządzeń. Nie sprawia to jednak, że są one całkowicie odporne na ataki przy użyciu szkodliwego oprogramowania, szczególnie gdy zamieszani są znani cyberprzestępcy.

Istnieje kilka wektorów infekcji dla tych urządzeń. Gdy cyberprzestępcy stosujący ataki ukierunkowane wybierają znane cele, mogą stosować techniki infekcji wykorzystujące exploity, które kosztują więcej – setki tysięcy dolarów – ale które są również wysoce skuteczne. Dla mniej znanych celów wykorzystywane są mniej wyrafinowane, ale równie skuteczne techniki infekcji. Można tu wskazać np. instalacje szkodliwego oprogramowania z zainfekowanego wcześniej komputera, gdy urządzenie mobilne jest połączone za pośrednictwem portu USB.  

Jakie możliwości techniczne posiadają implanty iOS? Przyjrzyjmy się następującemu przykładowi implanta:

Trojan.OSX.IOSInfector.a

Trojan ten infekuje urządzenia z systemem iOS w czasie, gdy są ładowane przez ofiarę ataku, wykorzystując poprzedni jailbreak wykonany na urządzeniu. Innymi słowy, jeśli cele ataku zazwyczaj ładują swoje telefony komórkowe przy użyciu kabla USB, zainfekowany wcześniej komputer może wymusić całkowity jailbreak na urządzeniu i, gdy proces zostanie zakończony, zostanie zainstalowany wspomniany wcześniej implant. 

 

mobile_implants_eng_5_auto.png

 

W tym przypadku, widzimy, że osoba atakująca może zainfekować urządzenie i potwierdzić tożsamość ofiary. Jest to istotny krok podczas ataków ukierunkowanych, ponieważ stojący za nimi cyberprzestępcy nie chcieliby zainfekować niewłaściwej ofiary i – co gorsze – stracić kontroli nad implantem, psując całą operację i ujawniając tym samym swój atak.

W efekcie, jedną z możliwości technicznych tych implantów jest weryfikacja numeru telefonu ofiary, wraz z innymi danymi, w celu upewnienia się, że atak nie jest przeprowadzany na niewłaściwą osobę. 

Spośród innych wstępnych działań badawczych implant ten weryfikuje nazwę urządzenia mobilnego oraz dokładny model, stan baterii, dane dotyczące połączenia z siecią Wi-Fi oraz numer IMEI, który jest unikatowy dla każdego urządzenia.

mobile_implants_eng_6_auto.png

Dlaczego cyberprzestępcy sprawdzają stan baterii? Z kilku powodów, z których główny  jest taki, że dane mogą być przesłane przez internet na serwer hakera, gdy informacje te zostaną wydobyte z zainfekowanego komputera. Gdy telefony są podłączone do internetu, za pośrednictwem planu taryfowego obejmującego transmisję danych lub połączenia Wi-Fi, bateria wyczerpuje się szybciej niż zazwyczaj. Jeżeli cyberprzestępcy wyprowadzą dane w nieodpowiednim momencie, ofiara mogłaby łatwo zauważyć, że coś jest nie tak z telefonem, ponieważ bateria byłaby wtedy gorąca i zaczęła wyczerpywać się szybciej niż w normalnych warunkach. Z tego powodu cyberprzestępcy wolą wydobyć informacje od ofiar – szczególnie „ciężkie” dane, takie jak zdjęcia czy filmy – w czasie gdy ich bateria jest ładowana, a telefon podłączony do sieci Wi-Fi.  

Kluczowym elementem technik szpiegowskich jest połączenie realnego świata ofiary ze światem cyfrowym, w którym żyje. Innymi słowy, celem jest nie tylko kradzież informacji przechowywanych w telefonie, ale również szpiegowanie konwencjonalnych rozmów przeprowadzanych na żywo. W jaki sposób robią to cyberprzestępcy? Włączając przednią kamerę i mikrofon zhakowanych urządzeń. Problem polega na tym, że jeżeli telefon nie znajduje się w trybie wyciszonym czy wibrującym, wyda dźwięk przypominający robienie zdjęcia telefonem. Jak to rozwiązać? Implanty posiadają specjalne ustawienie, które wyłącza dźwięk kamery. 

mobile_implants_eng_7_auto.png

Po potwierdzeniu tożsamości ofiary haker po raz kolejny zaczyna zbierać interesujące go informacje. Z kodu poniżej wynika, że cyberprzestępcy są zainteresowani rozmowami, jakie ich ofiary przeprowadzają za pomocą Skype’a.

 mobile_implants_eng_8_auto.png

W ten sposób cyberprzestępcy posiadają całkowitą kontrolę nad rozmowami swoich ofiar. W przytoczonym przykładzie Skype stanowi wykorzystywaną przez cyberprzestępców aplikację do obsługi wiadomości błyskawicznych, ale równie dobrze mogłaby to być wybrana przez nich aplikacja, łącznie z takimi, które są uznawane za bardzo bezpieczne. Jak już wspomnieliśmy wcześniej, najsłabszym ogniwem jest mobilny punkt końcowy i jak tylko zostanie on skompromitowany, nie będzie potrzeby łamania żadnego algorytmu szyfrowania, niezależnie od tego, jak jest mocny.     

Implanty dla urządzenia Blackberry

Niektóre cele mogą wykorzystywać telefony Blackberry, o których wiadomo, że należą do najbezpieczniejszych systemów operacyjnych na rynku. Chociaż są bezpieczniejsze, odpowiedzialni za ataki ukierunkowane cyberprzestępcy nie pozostają w tyle i mają gotowy arsenał.

Trojan-Spy.BlackberryOS.Mekir.a

Implant ten charakteryzuje się mocną techniką zaciemniania kodu. Jego analiza stanowi złożone zadanie. Przyglądając się kodu, można wyraźnie zauważyć, że nawet jeśli implant ten pochodzi od tego samego cyberprzestępcy, jego autor należy do innego ugrupowania twórców. Wygląda na to, że za rozwój implantów dla tego systemu operacyjnego odpowiada określona grupa.

Jakie działania mogą przeprowadzać te implanty w zainfekowanym urządzeniu Blackberry? Obejmują one kilka możliwych działań:

  • Sprawdzenie stanu baterii
  • Śledzenie lokalizacji geograficznej ofiary
  • Wykrywanie momentu wymiany karty SIM
  • Czytanie wiadomości tekstowych przechowywanych na urządzeniu
  • Tworzenie listy połączeń wychodzących i przychodzących na urządzeniu.

mobile_implants_eng_9_auto.png

Jak tylko telefony Blackberry zaczną wykorzystywać system operacyjny Android, cyberprzestępcy będą działali na szerszą skalę.

Implanty dla Windows Mobile

Windows Mobile nie jest najpopularniejszym na rynku systemem operacyjnym dla urządzeń mobilnych, jest natomiast natywnym systemem operacyjnym wykorzystywanym przez urządzenia firmy Nokia, które są preferowane przez osoby ceniące sobie jakość i solidną reputację. System ten mogą wykorzystywać niektóre cele ataków, dlatego tworzone są również implanty dla urządzeń z systemem Windows Mobile. W dalszej kolejności zbadamy zakres techniczny implantów dla urządzeń z systemem Windows Mobile.  

HEUR:Trojan-Spy.WinCE.Mekir.a

Infekując urządzenie mobilne ofiary, implant ten ukrywa się za plikiem dynamicznej biblioteki o nazwie bthclient.dll, która stanowi rzekomo sterownik Bluetootha.  

mobile_implants_eng_10.png

mobile_implants_eng_11.png

Możliwości techniczne tych implantów są praktycznie nieograniczone. Cyberprzestępcy mogą wykonywać kilka działań, takich jak sprawdzanie:

  • listy zainstalowanych aplikacji,
  • nazwy punktu dostępowego Wi-Fi, z którym połączona jest ofiara,
  • zawartości schowka, który zwykle zawiera informacje, które interesują ofiarę, a tym samym – osobę atakującą.

Cyberprzestępcom może nawet udać się poznać nazwę APN-a, z którym łączą się ofiary, wykorzystując plan taryfowy obejmujący transmisję danych za pośrednictwem swojego dostawcy usług telefonicznych.

mobile_implants_eng_12.png

Ponadto, cyberprzestępcy mogą aktywnie monitorować określone aplikacje, takie jak natywny klient pocztowy oraz centrum komunikacji wykorzystywane przez urządzenie z systemem Windows Mobile w celu przetwarzania danych dotyczących komunikacji ofiary.

mobile_implants_eng_13.png

Wnioski

Biorąc pod uwagę wyjaśnienie przedstawione we wprowadzeniu, najbardziej poufne rozmowy mają prawdopodobnie miejsce za pośrednictwem bezpiecznych aplikacji mobilnych, niekoniecznie natomiast wiadomości e-mail wysyłanych przy użyciu PGP. Cyberprzestępcy są tego świadomi, dlatego aktywnie pracują nad tworzeniem implantów nie tylko dla komputerów stacjonarnych, ale również dla urządzeń mobilnych. Możemy z przekonaniem powiedzieć, że cyberprzestępcy uzyskują liczne korzyści, infekując urządzenie mobilne zamiast tradycyjnego komputera. Ich ofiary zawsze noszą swoje telefony przy sobie, dlatego urządzenia te zawierają informacje, które nie będą przechowywane na komputerach służących do pracy. Ponadto, z technologicznego punktu widzenia urządzenia mobilne są zazwyczaj słabiej zabezpieczone, a ofiary często nie wierzą, że ich telefony komórkowe mogą zostać zainfekowane.       

Mimo mocnego szyfrowania danych zhakowany mobilny punkt końcowy jest całkowicie podatny na szpiegowanie, ponieważ cyberprzestępcy mają tę samą możliwość czytania wiadomości co sami użytkownicy. Cyberprzestępcy nie muszą zmagać się z algorytmami szyfrowania, ani przechwytywać danych na poziomie warstwy sieciowej. Mogą przeczytać te informacje tak, jak zrobiłaby to ich ofiara.     

Mobilne implanty nie należą do grupy masowych ataków przeprowadzanych przez cyberprzestępców; są to w rzeczywistości ataki ukierunkowane, w których ofiary zostają dokładnie wyselekcjonowane przed atakiem. Co czyni Cię celem ataku?

Istnieje kilka czynników, w tym to, czy jesteś osobą publiczną, posiadasz kontakty, które mogą zainteresować cyberprzestępców, pracujesz nad tajnym lub poufnym projektem, który również może być interesujący dla cyberprzestępców. Jedno jest pewne: jeśli jesteś celem takiego ataku, prawdopodobieństwo infekcji jest bardzo wysokie.   

To, co obserwujemy obecnie, sprowadza się do walki o liczby. Nie możesz zdecydować, czy staniesz się ofiarą, jedyne, co możesz zrobić, to podnieść koszt takiego ataku do takiego poziomu, aby cyberprzestępcy zrezygnowali i zainteresowali się tańszym celem, który jest korzystniejszy biorąc pod uwagę poświęcony czas i ryzyko wykrycia kampanii exploitów. W jaki sposób można podnieść koszt ataku? Poniżej przedstawiamy zestaw rozwiązań, najlepszych praktyk i ogólnie zwyczajów. Każdy przypadek jest unikatowy, jednak ogólnie chodzi o to, aby cyberprzestępcy stracili motywację, gdy okaże się, że przeprowadzenie operacji jest zbyt ciężkie, a tym samym pociąga większe ryzyko niepowodzenia.   

W ramach podstawowych zaleceń dotyczących zwiększenia bezpieczeństwa urządzeń mobilnych możemy wskazać następujące wskazówki:

  • Zawsze wykorzystuj połącznie VPN w celu uzyskania dostępu do internetu. To pomoże Ci zabezpieczyć swój ruch sieciowy przed łatwym przechwyceniem i podatnością na szkodliwe oprogramowanie, które może zostać bezpośrednio wstrzyknięte do legalnej aplikacji pobieranej z internetu.
  • Nie ładuj swoich urządzeń mobilnych przy użyciu portu USB podłączonego do komputera. Najlepszym rozwiązaniem jest wpięcie telefonu bezpośrednio do zasilacza.
  • Zainstaluj program antywirusowy. Musi być najlepszy. Wygląda na to, że przyszłość tych rozwiązań opiera się dokładnie na tych samych technologiach, które zostały już zaimplementowane dla bezpieczeństwa komputerów stacjonarnych: opcja Domyślnej odmowy i Biała lista.
  • Chroń swoje urządzenia przy użyciu hasła, a nie PIN-u. Jeśli cyberprzestępcy poznają Twój PIN, będą mogli uzyskać fizyczny dostęp do Twojego urządzenia mobilnego i zainstalować implant bez Twojej wiedzy.   
  • Stosuj szyfrowanie w pamięciach danych implementowanych przez Twoje urządzenia mobilne. Rada ta jest szczególnie aktualna dla urządzeń, które umożliwiają wyjmowanie dysków pamięci. Jeśli cyberprzestępcy wyjmą pamięć z Twojego urządzenia, podłączając ją do innego urządzenia, będą również mogli łatwo manipulować Twoim systemem operacyjnym i ogólnie Twoimi danymi. 
  • Nie łam zabezpieczeń swojego urządzenia przy użyciu metody Jailbreak, zwłaszcza gdy nie jesteś do końca pewny, do czego może to doprowadzić.
  • Nie korzystaj z używanych telefonów komórkowych, które mogą już zawierać preinstalowane implanty. Ta rada jest szczególnie istotna, jeśli Twój telefon pochodzi od kogoś, kogo nie znasz dobrze.
  • Zawsze upewniaj się, że system operacyjny w Twoim urządzeniu mobilnym jest uaktualniony, i instaluj najnowsze aktualizacje, jak tylko będą dostępne.  
  • Przeglądaj wszystkie wykonywane procesy w pamięci Twojego urządzenia.
  • Przeglądaj wszystkie autoryzowane aplikacje w swoim systemie i wyłącz funkcję automatycznego wysyłania danych dla logów oraz innych danych dotyczących usług, nawet jeśli komunikacja ma miejsce pomiędzy twoim telefonem komórkowym a dostawcą usług. 
Pamiętaj również, że konwencjonalne rozmowy, które odbywają się w naturalnym środowisku, bez wątpienia są zawsze bezpieczniejsze niż te, które są prowadzone w sposób elektroniczny