W zeszłym tygodniu Patrick Wardle opublikował ciekawą analizę nowego backdoora i droppera wykorzystywanych przez HackingTeam, który najwidoczniej wciąż istnieje i ma się dobrze. Ponieważ implanty HackingTeam są tworzone na żądanie dla konkretnego celu i wygląda na to, że wspomniane w blogu próbki zostały znalezione na wolności, chcieliśmy się im bliżej przyjrzeć: aby zobaczyć, jak działa ten najnowszy backdoor i co ujawnia jego funkcjonalność na temat potencjalnych zainteresowań stojących za nim osób atakujących.    

Klucz szyfrowania

Główny komponent backdoora otrzymuje instrukcje dotyczące swojej szkodliwej funkcji z zaszyfrowanego pliku konfiguracyjnego Json. Próbę odszyfrowania tego pliku rozpoczęliśmy od wykorzystania znanych kluczy, jednak żaden z nich nie był w stanie poradzić sobie z plikiem. Po sprawdzeniu pliku binarnego zdołaliśmy stwierdzić, że funkcją wykorzystywaną do kodowania pliku nadal jest AES 128, dlatego zaczęliśmy szukać nowego klucza szyfrowania. Zlokalizowaliśmy inicjowanie procedury szyfrowania, w której klucz jest przekazywany jako argument.   

Śledząc ten kod zdołaliśmy znaleźć nowy klucz wykorzystywany do szyfrowania pliku konfiguracyjnego.

Jak widać, długość klucza wynosi 32 bajty, dlatego jedynie pierwsze 16 bajtów jest wykorzystywanych jako klucz. Wykorzystując ten klucz w naszym skrypcie, udało nam się wykryć plik konfiguracyjny, który okazał się być plikiem w formacie Json, zawierającym instrukcje odnośnie tego, w jaki sposób ten konkretny backdoor powinien działać na atakowanej maszynie z systemem OS X:  

Co robi implant?

• Wykonuje zrzuty ekranu
• Synchronizuje się z lub przekazuje skradzione informacje do serwera Linode zlokalizowanego w Wielkiej Brytanii, ale tylko wtedy gdy jest połączony z Wi-Fi i przy użyciu określonej przepustowości kanału internetowego wskazanej w pliku konfiguracyjnym Json:

• Kradnie informacje znajdujące się w lokalnie zainstalowanych aplikacjach, wpisy do książki adresów, wydarzenia w kalendarzu oraz połączenia. OS X pozwala użytkownikom iPhone’ów wykonywać takie połączenia bezpośrednio z pulpitu, gdy oboje są połączeni z tą samą siecią Wi-Fi i są zaufani.    
• Szpieguje ofiarę poprzez włączenie nagrywania za pomocą kamery przedniej, nagrywanie dźwięku przy użyciu wbudowanego mikrofonu, nasłuchiwanie lokalnych czatów i kradzież danych z pamięci podręcznej.
• Kradnie również e-maile, wiadomości SMS i MMS ofiary, które są dostępne na pulpicie systemu OS X, gdy iPhone jest sparowany.  

Oprócz innych funkcji szpieguje również geolokalizację ofiary.

Warto zauważyć, że plik Json zawiera informację o tym, że datą rozpoczęcia operacji jest 16 października (piątek) 2015 roku. To sugeruje, że mamy do czynienia z nowym implantem backdoora HackingTeam. Z jakiegoś powodu osoba atakująca nie była zainteresowana e-mailami wysyłanymi do lub z atakowanego urządzenia przed tą datą, a jedynie od tego dnia.  

Kaspersky Lab wykrywa wspomniane wcześniej implanty backdoora jako   Backdoor.OSX.Morcut.u, natomiast jego droppera jako Trojan-Dropper.OSX.Morcut.d