Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Powrót HackingTeam z nowymi implantami dla OS X

Dmitrij Bestużew
Kaspersky Lab Expert
Dodany 3 marca 2016, 12:15 CET
Tagi:

W zeszłym tygodniu Patrick Wardle opublikował ciekawą analizę nowego backdoora i droppera wykorzystywanych przez HackingTeam, który najwidoczniej wciąż istnieje i ma się dobrze. Ponieważ implanty HackingTeam są tworzone na żądanie dla konkretnego celu i wygląda na to, że wspomniane w blogu próbki zostały znalezione na wolności, chcieliśmy się im bliżej przyjrzeć: aby zobaczyć, jak działa ten najnowszy backdoor i co ujawnia jego funkcjonalność na temat potencjalnych zainteresowań stojących za nim osób atakujących.    

Klucz szyfrowania

Główny komponent backdoora otrzymuje instrukcje dotyczące swojej szkodliwej funkcji z zaszyfrowanego pliku konfiguracyjnego Json. Próbę odszyfrowania tego pliku rozpoczęliśmy od wykorzystania znanych kluczy, jednak żaden z nich nie był w stanie poradzić sobie z plikiem. Po sprawdzeniu pliku binarnego zdołaliśmy stwierdzić, że funkcją wykorzystywaną do kodowania pliku nadal jest AES 128, dlatego zaczęliśmy szukać nowego klucza szyfrowania. Zlokalizowaliśmy inicjowanie procedury szyfrowania, w której klucz jest przekazywany jako argument.   

hacking_team_en_1_auto.png

Śledząc ten kod zdołaliśmy znaleźć nowy klucz wykorzystywany do szyfrowania pliku konfiguracyjnego.

hacking_team_en_2.png

Jak widać, długość klucza wynosi 32 bajty, dlatego jedynie pierwsze 16 bajtów jest wykorzystywanych jako klucz. Wykorzystując ten klucz w naszym skrypcie, udało nam się wykryć plik konfiguracyjny, który okazał się być plikiem w formacie Json, zawierającym instrukcje odnośnie tego, w jaki sposób ten konkretny backdoor powinien działać na atakowanej maszynie z systemem OS X:  

hacking_team_en_3_auto.png

 

Co robi implant?

  • Wykonuje zrzuty ekranu
  • Synchronizuje się z lub przekazuje skradzione informacje do serwera Linode zlokalizowanego w Wielkiej Brytanii, ale tylko wtedy gdy jest połączony z Wi-Fi i przy użyciu określonej przepustowości kanału internetowego wskazanej w pliku konfiguracyjnym Json:

hacking_team_en_4.png

  • Kradnie informacje znajdujące się w lokalnie zainstalowanych aplikacjach, wpisy do książki adresów, wydarzenia w kalendarzu oraz połączenia. OS X pozwala użytkownikom iPhone’ów wykonywać takie połączenia bezpośrednio z pulpitu, gdy oboje są połączeni z tą samą siecią Wi-Fi i są zaufani.    
  • Szpieguje ofiarę poprzez włączenie nagrywania za pomocą kamery przedniej, nagrywanie dźwięku przy użyciu wbudowanego mikrofonu, nasłuchiwanie lokalnych czatów i kradzież danych z pamięci podręcznej.
  • Kradnie również e-maile, wiadomości SMS i MMS ofiary, które są dostępne na pulpicie systemu OS X, gdy iPhone jest sparowany.  

hacking_team_en_5.png

Oprócz innych funkcji szpieguje również geolokalizację ofiary.

Warto zauważyć, że plik Json zawiera informację o tym, że datą rozpoczęcia operacji jest 16 października (piątek) 2015 roku. To sugeruje, że mamy do czynienia z nowym implantem backdoora HackingTeam. Z jakiegoś powodu osoba atakująca nie była zainteresowana e-mailami wysyłanymi do lub z atakowanego urządzenia przed tą datą, a jedynie od tego dnia.  

Kaspersky Lab wykrywa wspomniane wcześniej implanty backdoora jako   Backdoor.OSX.Morcut.u, natomiast jego droppera jako Trojan-Dropper.OSX.Morcut.d