Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Oprogramowanie spyware. HackingTeam

Tagi:

Spis treści

Niniejszy artykuł jest oparty na danych technicznych, zebranych przez ekspertów Kaspersky Lab podczas analizy złośliwych programów „Korablin” i „Morcut”. Wnioski zostały opracowane przez specjalistów z Kaspersky Lab na podstawie publicznie dostępnych źródeł, które zamieszczone zostały w odpowiedniej sekcji na końcu tego artykułu.

Oprogramowanie spyware dla organów ścigania

Zgodnie z Wikipedią, „programy szpiegujące (ang. spyware) to programy komputerowe, których celem jest szpiegowanie działań użytkownika. Programy te gromadzą informacje o użytkowniku i wysyłają je, często bez jego wiedzy i zgody, autorowi programu.” Mimo że w większości krajów funkcjonują przepisy zakazujące tworzenia i rozprzestrzeniania szkodliwych programów, aktualnie dostępne są trzy programy, których deweloperzy zapewniają, że zostały one zaprojektowane w celu zbierania informacji o aktywności podejrzanych użytkowników, a następnie przekazywania tych danych organom ścigania.

Pierwszym powszechnie znanym tego rodzaju programem jest trojan Bundestrojaner, który wykorzystywany jest przez niemieckie organy ścigania do śledzenia podejrzanych w internecie. Kolejnym znanym programem spyware jest FinSpy, który został zaprojektowany przez firmę Gamma International, aby dać organom ścigania w różnych krajach możliwość śledzenia podejrzanych komputerów i urządzeń mobilnych. Remote Control System (RCS) jest trzecim programem szpiegującym i to głównie na nim skoncentrujemy się w niniejszym artykule. To oprogramowanie zostało stworzone przez włoską firmę HackingTeam i jest sprzedawane organizacjom rządowym na całym świecie.

HackingTeam

Grupa HackingTeam po raz pierwszy przykuła naszą uwagę w roku 2008, kiedy serwis WikiLeaks opublikował dokumenty opisujące funkcje programów szpiegujących, które firma oferuje agencjom rządowym. Na początku 2012 r. eksperci z Kaspersky Lab wykryli złośliwe programy dla systemu operacyjnego Windows, które były podejrzanie podobne do programów opisywanych przez WikiLeaks oraz do narzędzia Remote Control System, którego opis został zamieszczony na oficjalnej stronie internetowej firmy HackingTeam www.hackingteam.it. Jednakże, w tamtym czasie nie mieliśmy możliwości dowiedzenia się o powiązaniach między wykrytymi zagrożeniami (produkty Kaspersky Lab wykrywały i wykrywają je jako „Korablin”) i oprogramowaniem spyware firmy HackingTeam.

  enlarge.gif
Opis programu RCS na stronie internetowej HackingTeam http://www.hackingteam.it/images/stories/RCS2012.pdf

Wszystko uległo zmianie w lipcu 2012 r., kiedy wiele firm antywirusowych otrzymało wiadomość e-mail z próbką złośliwego kodu o podobnej funkcjonalności dla systemu OS X. Taka wiadomość została dostarczona na nasz adres newvirus@kasperksy.com dnia 24 lipca 2012 r. o godzinie 03:51:24. Linia tematu była pusta, a w wiadomości nie było tekstu — tylko załącznik o nazwie AdobeFlashPlayer.zip. Załącznik posiadał samodzielnie podpisany plik JAR, zawierający program napisany dla systemu OS X.

 enlarge.gif 
Nagłówek wiadomości e-mail skierowanej na adres newvirus@kaspersky.com

Wkrótce prawie wszystkie firmy antywirusowe dodały do swoich antywirusowych baz danych sygnatury nowego złośliwego oprogramowania, które każda firma nazwała inaczej (Crizis, DaVinci, Boychi itd. — Kaspersky Lab nazwał to zagrożenie „Morcut”). Niemal wszystkie firmy antywirusowe podejrzewały, że program został opracowany przez grupę HackingTeam, która w wielu krajach sprzedaje organom ścigania specjalistyczne oprogramowanie szpiegowskie.

Dowód

Fakt podobieństwa funkcji programów to tylko jeden z trzech dowodów łączących HackingTeam z analizowanymi przez nas plikami. Przyjrzyjmy się pozostałym dwóm. Dane zmagazynowane w plikach dla komputerów Mac zawierały nazwy plików i modułów, których twórcy używali podczas pisania kodu programu. Te same nazwy były wielokrotnie widziane w tzw. RCS, którego nazwa zbiega się ze skrótem nazwy programu Remote Control System (skrót ten jest wykorzystywany przez firmę HackingTeam w materiałach promocyjnych i opisie ich produktu na stronie internetowej).

 
Skrót „RCS” używany w opisie programu na stronie HackingTeam http://www.hackingteam.it/index.php/remote-control-system enlarge.gif

 enlarge.gif 
Wykorzystanie skrótu „RCS” w złośliwym programie dla platformy OS X

I wreszcie, wykryty został exploit, który pobiera złośliwy kod ze strony WWW hackingteam.it (ten exploit został przesłany do serwisu VirusTotal.com dnia 4 lipca 2012 r.).

 enlarge.gif 
Fragment ładunku exploita, który pobiera złośliwy program z adresu: 
hxxp://rcs-demo.hackingteam.it/***ploit.doc2

Powstały wtedy następujące ustalenia:

  1. Funkcje szkodnika pasowały do funkcji produktu firmy HackingTeam.
  2. Nazwy stosowane w danych niesionych przez zagrożenia pasowały do danych na stronie WWW HackingTeam.
  3. Szkodnik był pobierany z witryny internetowej grupy HackingTeam.

Na podstawie powyższych ustaleń można bezpiecznie założyć, że programy spyware, które wpadły w ręce specjalistów ds. bezpieczeństwa IT, są dziełem HackingTeam. Dla wygody, odniesiemy się jednocześnie do tych dwóch programów (zarówno dla Windows, jak i dla OS X) i kolektywnie będziemy nazywać je „RCS”. Nawiasem mówiąc, wszystkie szkodliwe pliki dla systemu OS X wysyłane poprzez pocztę elektroniczną miały odnośniki do plików w folderze o nazwie „guido”:



Nazwa użytkownika „guido” użyta w kodzie złośliwego oprogramowania

W tym miejscu pojawia się ciekawa zbieżność: jeden z użytkowników, którego profil na portalu LinkedIn.com informuje, że jest on byłym programistą w HackingTeam, również ma na imię Guido.


Konto użytkownika Guido na portalu LinkedIn wymienia HackingTeam wśród byłych pracodawców użytkownika

Raczej nietypowy szpieg

Obecnie, kolekcja szkodliwego oprogramowania firmy Kaspersky Lab obejmuje ponad 100 modyfikacji RCS z niemal identyczną funkcjonalnością. Jak omówiono powyżej, opis tych próbek pasuje do opisu programu Remote Control System podanego na oficjalnej stronie internetowej grupy HackingTeam i do opisu programu przygotowanego przez HackingTeam i opublikowanego na WikiLeaks (PDF).

 enlarge.gif 
Opis RCS opublikowany na WikiLeaks

Pliki RCS dla systemu Windows zostały napisane w C++. Twórcy programu nie zrobili praktycznie nic, aby zapobiec zwracaniu przez program uwagi produktów antywirusowych i zabezpieczyć go przed analizą — jest to cecha typowa dla programów używanych w atakach ukierunkowanych. Pełny zestaw funkcji RCS jest widoczny od razu na początku plików wykonywalnych i uruchamiany, kiedy ładowane jest zagrożenie.

  enlarge.gif
Inicjalizacja obiektów RCS

Na podstawie funkcji programu można stwierdzić, że RCS jest samoreplikującym się szkodliwym programem, stworzonym w celu kradzieży danych osobowych użytkownika i przekazywania ich do zdalnego serwera. Aby wykonywać funkcje szpiegujące, program kopiuje dane dostępu do kont użytkowników i przechwytuje wiadomości z przeglądarek internetowych (Firefox, Internet Explorer, Chrome, Opera), klientów poczty elektronicznej (Outlook, Windows Mail, Thunderbird) i komunikatorów internetowych (Yahoo, MS Messenger, Google Talk, Skype, Paltalk, Thrillian). Program potrafi również przechwytywać strumienie audio i wideo. Jednak, RCS posiada również funkcje, które, naszym zdaniem, wykraczają poza wszystko, czego może potrzebować program spyware. Analiza rozkazów, które przychodzą z serwera centrum konroli RCS, pozwoliła zidentyfikować najważniejsze, spośród tych pozostałych funkcji. Kiedy tylko serwer kontrolujący RCS wyda odpowiedni rozkaz, uaktywnione zostaną następujące funkcje:

  1. Samoreplikacja poprzez pamięci USB flash:
    1. Użycie standardowego mechanizmu Autorun.inf (tego samego, którego używa większość robaków wykrywanych przez produkty Kaspersky Lab jako: Worm.Win32.AutoRun);
    2. Użycie fałszywego wpisu „Otwórz folder, aby przeglądać pliki” (metoda powszechnie stosowana w przypadku samodzielnie rozprzestrzeniających się robaków, zwłaszcza z rodziny Kido / Confiker);
    3. Wykorzystanie podatności CVE-2010-2568 (używanej do samoreplikacji poprzez pliki LNK m.in. przez robaka Stuxnet).
  2. Infekowanie maszyn wirtualnych VMware poprzez kopiowanie własnego kodu do folderu autouruchamiania na dysku wirtualnym.
  3. Infekowanie urządzeń mobilnych BlackBerry i Windows CE.
  4. Możliwość samodzielnej aktualizacji.
  5. Użycie algorytmu szyfrowania AES podczas pracy z plikami i serwerami centrum kontroli.
  6. Instalowanie sterowników.

Aby mieć stuprocentową jasność sytuacji – RCS nie ma żadnego mechanizmu, który pozwalałby na dokładne skopiowanie zawartości systemu plików lub skopiowanie zawartości pamięci RAM. Oznacza to, że wykonywanie losowego kodu w systemie (uaktualnienia i instalacje sterowników) nie określi jednoznacznie, czy jakiekolwiek nielegalne treści na komputerze zostały pobrane przez samego podejrzanego, czy przez operatora narzędzia RCS. Nie wydaje nam się, aby ten program mógł być używany do gromadzenia informacji, które mogłyby być wykorzystane jako dowód popełnienia bezprawnych działań. Zasadniczo, program ma dość dziwną funkcję: robi to, czego nie powinien robić, a nie to, co powinien robić program, który zbiera dane do badań kryminalistycznych.

Proliferacja

RCS wygląda na zainfekowanym komputerze jak kilka plików o losowych nazwach i jeden dynamiczny rejestr, który wymaga paru dodatkowych złośliwych programów, zanim będzie mógł zostać zainstalowany. Podczas naszej analizy wykryliśmy droppery i downloadery używane do zainstalowania RCS.



Przykład z plików tworzonych przez instalator RCS

Po publikacji na WikiLeaks, domyślaliśmy się, że (biorąc pod uwagę zdolności organów ścigania w różnych krajach) program RCS jest prawdopodobnie rozprzestrzeniany poprzez zamianę wymaganych plików wykonywalnych na poziomie dostawcy usług internetowych. Jednakże, samodzielnie podpisany plik JAR otrzymany w wiadomości e-mail w lipcu 2012 r. pokazał, że do rozprzestrzeniania RCS wykorzystane zostały również metody inżynierii społecznej.


Przykład samodzielnie podpisanego apletu Javy, który instaluje RCS na komputerach użytkowników

Atak przebiega następująco: użytkownik otrzymuje wiadomość e-mail z linkiem do pliku, albo sam plik jako załącznik. Zawartość wiadomości e-mail ma na celu przekonanie odbiorcy do otwarcia pliku (lub kliknięciu na linku). Eksperci z Kaspersky Lab ustalili również, że same droppery i downloadery, które instalują RCS, mogą zostać przesłane poprzez e-mail. Te złośliwe pliki mają różne nazwy i mogą mieć format .rar, .zip lub .exe.

  • PPT.rar
  • FlashUpdate.exe
  • Setup.exe
  • Crack.exe
  • Photos.zip
  • GoogleUpdate.rar
  • Microsoft.exe
  • Install.rar
  • Wrar.exe
  • Important.rar

Lista plików zawierających instalator RCS

Ponadto, po analizie plików pobierających RCS, wykryliśmy nieznaną wcześniej lukę w zabezpieczeniach, która została przypisana do nazwy CVE-2013-0633. Luka ta jest używana w klasycznej taktyce ataku ukierunkowanego: użytkownik otrzymuje wiadomość e-mail z załącznikiem w postaci dokumentu aplikacji Word. Plik zawiera exploita 0-day — w tym przypadku dla aplikacji Flash (exploit ten został omówiony przez firmę Adobe tutaj).



Zawartość dokumentu aplikacji Word, który otwiera się po uruchomieniu exploita CVE-2013-0633 i instalacji RCS

Exploity

Wnikliwe poszukiwanie exploitów, które instalują RCS na komputerach użytkowników, zostało wszczęte przez organizację Citizen Lab, która opublikowała w październiku 2012 r. artykuł opisujący wykorzystanie exploitów dla luki CVE-2010-3333 do wdrożenia oprogramowania RCS na komputerze agenta służb bezpieczeństwa Zjednoczonych Emiratów Arabskich. Lista luk, wykorzystywanych przez wykryte exploity, obejmuje:

  • CVE-2010-3333
  • CVE-2012-1682
  • CVE-2012-4167
  • CVE-2012-5054
  • CVE-2013-0633

Co ciekawe, cztery luki z tej listy pozostawały nieznane przez kilka miesięcy; w tym czasie exploity mogły bez przeszkód wykorzystywać te podatności na dowolnym komputerze. Zakładamy, że obecnie jest jeszcze co najmniej kilka luk, które mogą zostać wykorzystane do zainstalowania RCS. Jednakże, serwery wykorzystujące exploity do ukradkowej instalacji plików wykonywalnych nie działają w sposób ciągły, co sprawia, że trudno jest udowodnić, że te exploity instalują RCS. Udało nam się potwierdzić, że program RCS był pobierany z poniższych adresów:

106.187.**.51 2.228.65.***
112.***.65.110 50.7.***.220
173.255.215.** 50.116.***.11
Update*******.info 17******.com
176.**.100.37 56****.members.linode.com
176.74.1**.119 76.***.33.13
178.**.166.117 A*****.com
178.**.176.69 A***.com
183.98.1**.152 ****b.5gbfree.com
184.107.2**.78 li56*****.members.linode.com
Fira******.com *****update.selfip.com
187.***.43.35 Clos*****.com
198.58.**.113 Fad****.com
200.67.***.2 wiki-****.com
Tmx****.com wiki-*****.info
200.**.245.36

Morgan Marquis-Boire w tym samym artykule Citizen Lab zasugerował, że do rozprzestrzeniania produktów HackingTeam wykorzystywane są exploity opracowywane przez francuską firmę Vupen. Firma ta specjalizuje się w szukaniu luk w popularnym oprogramowaniu i sprzedaje agencjom rządowym gotowe do użycia exploity. Jednakże, nadal nie jest jasne, czy Vupen sprzedaje swoje exploity jako dodatek do programów HackingTeam, czy klienci obu firm używają obydwóch programów do śledzenia podejrzanych użytkowników.

Jak to działa?

Po analizie funkcji RCS zidentyfikowano szereg oficjalnych kryteriów, które pomagają określić, czy plik należy do grupy HackingTeam, a w szczególności, czy jest komponentem RCS.

  1. Wykorzystanie mechanizmów debugowania podczas wykonywania programu. Gdy program jest uruchomiony, może sprawdzić swój PID i wysyłać wiadomości na temat własnej wydajności.

 enlarge.gif 
Przykład weryfikacji PID podczas wstępnej instalacji RCS

  1. Używanie szyfrowanych algorytmem AES żądań POST i logowanie przez agenta Mozilla / 4.0 (kompatybilny; MSIE 5.01; Windows NT 5.0).
  2. Stosowanie podpisów plików wykonywalnych, aby ominąć systemy bezpieczeństwa zainstalowane na komputerach użytkowników.

 
Przykład 1: Podpis komponentu RCS

  enlarge.gif
Przykład 2: Podpis komponentu RCS

  enlarge.gif
Przykład 3: Podpis komponentu RCS

Podpisy składników RCS w przykładzie 1 i 2 zostały wydane dla osób prywatnych. W ostatnim przykładzie, odmiennie niż w poprzednich dwóch, certyfikat został wydany dla organizacji. Nazwa tej organizacji to OPM Security Corporation.

OPM Security

OPM Security jest firmą zarejestrowaną w Panamie. Jej strona internetowa (www.opmsecurity.com) zawiera informacje, że firma oferuje, między innymi, produkt o nazwie Power Spy. Opis oprogramowania Power Spy jest mniej więcej taki sam, jak opis produktu RCS firmy HackingTeam.


Opis produktu Power Spy firmy OPM Security na stronie 
http://www.opmsecurity.com/security-tools/spying-on-on-your-husband-wife-children-or-employees.html

To daje powody, aby przypuszczać, że OPM Security sprzedaje albo starsze, albo pirackie wersje RCS. Co więcej, program może zostać sprzedany każdej zainteresowanej osobie za jedyne 200 euro, mimo że cena u samego producenta – w firmie HackingTeam – według niektórych źródeł może sięgać nawet 600 000 euro. Należy wspomnieć, że OPM Security jest częścią firmy OPM Corporation, która, między innymi, oferuje rejestrację spółek morskich i usługi paszportowe dla osób z podwójnym obywatelstwem.

  enlarge.gif
Opis przedsiębiorstwa OPM Corporation na stronie www.taxhavens.us

Statystyki infekcji

Poniższą mapę przygotowano na podstawie danych pochodzących z chmury Kaspersky Security Network (KSN) o liczbie wykonanych prób instalacji składników RCS na komputerach na całym świecie w roku 2012. Ponieważ RCS posiada budowę modularną, dołączone zostały również dane dotyczące wykrywania następujących szkodników (nazewnictwo Kaspersky Lab):

  • Backdoor.OSX.Morcut
  • Rootkit.OSX.Morcut
  • Trojan.OSX.Morcut
  • Backdoor.Win32.Korablin
  • Backdoor.Win64.Korablin
  • Rootkit.Win32.Korablin
  • Rootkit.Win64.Korablin
  • Trojan.Multi.Korablin
  • Trojan-Dropper.Win32.Korablin
  • Trojan-PSW.Win32.Agent.acnn

Jeśli użytkownik był atakowany kilkukrotnie, dane detekcji zostały zsumowane.

  enlarge.gif
Całkowita liczba zarejestrowanych instalacji RCS na komputerach użytkowników korzystających z produktów Kaspersky Lab na całym świecie, styczeń 2012 r. – luty 2013 r.

Należy pamiętać, że dysponujemy tylko danymi na temat prób zainfekowania komputerów z produktami Kaspersky Lab i tylko w przypadkach, w których użytkownicy zgodzili się na przystąpienie do KSN. Biorąc pod uwagę specyfikę i silnie ukierunkowany charakter ataków RCS, ich liczba nie może być bardzo duża. Możliwa jest ocena motywów napastników poprzez porównanie liczby prób infekcji wykonywanych na jednym komputerze w każdym kraju. Liderami w tym zestawieniu są Tadżykistan i Indie; nawiasem mówiąc, w obu tych krajach zaatakowany został tylko jeden komputer, próby instalacji RCS były trwałe, a ich liczba wynosiła odpowiednio 21 i 20 prób. RCS jest bardzo rozpowszechnione w Meksyku, gdzie każdy z 11 docelowych komputerów był atakowany średnio 14,5 razy. Najbardziej atakowani byli użytkownicy we Włoszech, gdzie w sumie ataki ukierunkowane zostały na 19 komputerów, z których każdy był atakowany średnio 6,5 razy.

KrajLiczba unikatowych użytkownikówLiczba atakówLiczba ataków na użytkownika
Meksyk 11 159 14,5
Włochy 19 123 6,5
Wietnam 10 88 8,8
Zjednoczone Emiraty Arabskie 9 77 8,6
Irak 5 42 8,4
Liban 2 29 14,5
Maroko 4 27 6,8
Panama 4 23 5,8
Tadżykistan 1 21 21,0
Indie 1 20 20
Iran 2 19 9,5
Arabia Saudyjska 3 19 6,3
Korea Południowa 5 18 3,6
Hiszpania 4 18 4,5
Polska 6 16 2,7
Turcja 5 12 2,4
Argentyna 2 12 6,0
Kanada 1 8 8,0
Mali 1 8 8,0
Oman 1 8 8,0
Chiny 3 8 2,7
Stany Zjednoczone 4 6 1,5
Kazachstan 2 5 2,5
Egipt 1 5 5,0
Ukraina 1 5 5,0
Uzbekistan 1 5 5,0
Kolumbia 1 4 4,0
Tajwan 3 4 1,3
Brazylia 2 4 2,0
Rosja 2 4 2,0
Kirgistan 2 3 1,5
Wielka Brytania 1 3 3,0
Bahrajn 1 2 2,0
Etiopia 1 1 1,0
Indonezja 1 1 1,0
Niemcy 1 1 1,0
Libia 1 1 1,0

Próby instalacji RCS na komputerach użytkowników korzystających z produktów Kaspersky Lab na całym świecie, styczeń 2012 r. – luty 2013 r.

Co więcej, prawie 10 incydentów zarejestrowano na stanowiskach pracy w agencjach rządowych, firmach przemysłowych, firmach prawniczych i mediach.

Wnioski

W ostatnich latach świat doznał sporych zmian, o których dopiero teraz dowiadują się użytkownicy komputerów: oprogramowanie komputerowe używane jest jako cyberbroń i narzędzia cyberszpiegowskie. Zaobserwowaliśmy również powstawanie prywatnych firm, które, zgodnie z informacjami na ich oficjalnych stronach internetowych, tworzą i oferują organom ścigania oprogramowanie do zbierania danych z komputerów użytkowników. Kraje, które nie mają niezbędnych możliwości technicznych, są więc w stanie zakupić od prywatnych firm oprogramowanie o bardzo wyrafinowanych funkcjach. Pomimo faktu, że większość krajów posiada przepisy zakazujące tworzenia i rozpowszechniania złośliwych programów, oprogramowanie spyware jest powszechnie dostępne, a jego twórcy nawet nie zadają sobie trudu, aby zamaskować jego funkcje.

Jak dotąd, nie ma zbyt wielu firm prowadzących taką działalność i prawie nie ma konkurencji w tym konkretnym segmencie rynku. Warunki te są bardzo atrakcyjne dla nowych graczy i sprzyjają rozpoczęciu wyścigu technologicznego pomiędzy nimi. Jednocześnie, według danych Kaspersky Lab, firmy te nie są w żaden sposób odpowiedzialne za to, w jaki sposób ich oprogramowanie śledzące jest używane, czy to w międzynarodowych kampaniach szpiegowskich, czy przez drobnych oszustów zarabiających brudne pieniądze. Sytuację dodatkowo komplikuje fakt, że tego typu programy mogą już wkrótce na otwartym rynku trafić na półki sklepowe lub zostać w dowolny inny sposób odsprzedane przez łase na szybki zysk firmy.

Referencje

  1. Broszura reklamowa RCS: http://www.hackingteam.it/images/stories/RCS2012.pdf
  2. Artykuł Citizen Lab o dochodzeniu w sprawie RCS: https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/
  3. Opis firmy Vupen: http://www.vupen.com/english/company.php
  4. Wpis na blogu Adobe dotyczący wykrycia nieznanej luki: http://blogs.adobe.com/psirt/2013/02/security-updates-available-for-adobe-flash-player-apsb13-04.html
  5. Dokumenty HackingTeam opublikowane na WikiLeaks: http://wikileaks.org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM.pdf
  6. Opis oprogramowania Power Spy opublikowany przez OPM Security: http://www.opmsecurity.com/security-tools/spying-on-on-your-husband-wife-children-or-employees.html