Kako vlasti širom sveta špijuniraju mobilne telefone

Vesti, 25.06.2014, 10:18 AM

Ruski proizvođač antivirusa kompanija Kaspersky Lab i Citizen Lab Univerziteta u Torontu objavili su analize alata za nadzor mobilnih uređaja koje italijanska firma Hacking Team prodaje državama, policijama i obaveštajnim služabama širom sveta.

Firma Hacking Team čije je sedište u Milanu tvrdi da oni prodaju svoje alate za nadzor samo državama koje poštuju ljudska prava, a nikako represivnim režimima, ali postoje dokazi koji ukazuju da mnoge države alate italijanske firme koriste za nadzor političkih meta. Spisak meta koje se prate ovim alatima, prema istraživanju Kaspersky Laba i Citizen Laba, uključuje aktiviste i borce za ljudska prava, ali i novinare i političare.

Glavni proizvod firme Hacking Team je Remote Control System (RCS) poznatiji pod nazivom Galileo, koji prikuplja podatke sa računara i mobilnih telefona na kojima je špijunski modul instaliran, i šalje ih RCS serveru, koji je pod kontrolom vlade, policije ili obaveštajne službe.

Već neko vreme istraživači pokušavaju da pronađu konkretne dokaze o ovim serverima i špijunskim modulima (implantatima). To je veoma teško, posebno zbog toga što moduli uspešno kriju svoje prisustvo i aktivnost. I ranije se znalo da Hacking Team raspolaže Trojancima za iOS i Android mobilne telefone, ali ih niko do sada nije identifikovao ili primetio da se koriste. Kaspersky Lab istražuje Galilea već nekoliko godina.

U saradnji sa Citizen Labom, istraživači Kaspersky Laba su uspeli da otkriju mobilne zlonamerne module Hacking Teama za Android, iOS, Windows Mobile i BlackBerry, kao i da mapiraju široku internacionalnu infrastrukturu koja kontroliše RCS implantate.

Oni su analizirali pre svega verzije modula za Android i iOS i otkrili da iOS modul može da kontroliše Wi-Fi, GPS, GPRS veze, da snima zvuk, prikuplja emailove, SMS i MMS poruke, kao i poruke poslate preko posebnih aplikacija kao što su Viber, WhatsApp i Skype, pregleda fajlove, prikuplja kolačiće, proverava posećene internet adrese i keširane web stranice, izvlači podatke iz adresara, istorije poziva, beležaka, događaje iz kalendara, fajlove iz clipboarda, da dobije spisak aplikacija na telefonu, snima fotografije, uključuje mikrofon uređaja, beleži kucanje na tastaturi, pravi snimke ekrana, prati registraciju novih SIM kartica ubačenih u telefon, itd.

Modul za Android ima iste mogućnosti ali i brojne dodatne mogućnosti kao što je, na primer, krađa informacija iz aplikacija.

Istraživači su najzad shvatili kako Galileo Trojanac inficira iPhone. Da bi ta misija bila uspešno završena, iPhone mora da bude jailbreakovan. Međutim, ni oni koji nisu mogu biti ranjivi, ako napadač pokrene alat za jailbreaking kao što je "Evasi0n" na prethodno zaraženom računaru i sprovede jailbreking na daljinu.

Moduli mogu biti instalirani na uređajima kada se oni povežu sa zaraženim Windows ili Mac OS X računarima, ili ako se korisnik uređaja na prevaru natera da sam instalira modul, što se prema mišljenju stručnjaka Citizen Laba događalo. Oni navode slučaj kada su politički disidenti bili prevareni da na jednom web sajtu preuzmu funkcionalnu kopiju aplikacije za vesti “Qatif Today” koja je popularna u Saudijskoj Arabiji, ali koja je bila opremljena implantantom Hacking Teama.

Za svaku metu pravi se poseban implantant. Kada je implantat spreman, napadač ga isporučuje na mobilni telefon.

RCS mobilni moduli su veoma pažljivo osmišljeni tako da svoj posao obavljaju na diskretan način, na primer, vodeći računa o trajanju baterije mobilnog telefona.

Citizen Lab je otkrio i da im je nepoznata osoba poslala korisničko uputstvo za koje istraživači veruju da je autentično, a koje Hacking Team daje svojim korisnicima.

Iz tog uputstva, istraživači Citizen Laba su saznali dosta o RCS modulima, između ostalog, i da se svaki od njih može prilagoditi. U dokumentu koji je dobio Citizen Lab su objašnjene i različite mogućnosti za sinhronizaciju i izvačenje podataka koje imaju moduli, kao i kako moduli sakrivaju svoju zlonamernu prirodu, prisustvo i aktivnost od antivirusa, alata za forenzičku analizu, samog uređaja i korisnika.

Kaspersky Lab je pokušavao da različitim pristupima locira Galileove komandne i kontrolne servere širom planete. Stručnjaci kompanije su uspeli da lociraju nekoliko stotina RCS komandnih servera u 40 zemalja sveta, a najveći broj njih je pronađen u SAD (64), Kazahstanu (49) i Ekvadoru (35). U Velikoj Britaniji locirano je 32 servera, u Kanadi 24 i Kini 15.

Prisustvo ovih servera u određenoj zemlji ne znači nužno da ih koriste vlast i institucije u toj zemlji. Ipak, logično je da korisnici RCS raspoređuju C&C servere na mestima koje kontrolišu, smanjujući tako rizik od prekograničnih pravnih problema ili zaplene servera, objašnjavaju u Kaspersky Labu.

Kaspersky Lab proizvodi otkrili su sledeće RCS/DaVinči/Galileo špijunske alate:

Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir and Backdoor.AndroidOS.Criag.