A népszerű titkosított üzenetküldő és adatvédelmi alkalmazások hamis verzióit észlelték vadonban. A Whatsapp, a Telegram, a Signal és a PsiphonVPN hamis változatát úgy gondolják, hogy a hackerek állítólag a libanoni kormány számára dolgoztak. A rosszindulatú alkalmazások becsapják a felhasználókat abban, hogy azt hitték, hogy üzenetük titkosítva van. A valóságban azonban a libanoni hackerek célzottan létrehozott hátsó ajtókat és rosszindulatú programokat használnak a felhasználói levelezés szimatolása céljából..


A Lookout mobil biztonsági társaság és az Electronic Frontier Foundation által közzétett jelentés szerint a hackereket összekapcsolták Libanon központi hírszerző ügynökségével. A jelentés feltárja, hogy az áldozatok 20 országban valószínűleg letöltötték a népszerű biztonsági alkalmazások hamisításait.

Veszélyes trójaiak

A rosszindulatú alkalmazások szinte azonosak lehetnek a törvényes társaikkal. Ez nem teszi lehetővé a felhasználók számára, hogy megismerjék, hogy valami kedvezőtlen esemény történik eszközükön. Ebben az alkalomban az áldozatok letöltötték a rosszindulatú alkalmazásokat a nem hivatalos online alkalmazásboltokból. A telepítés után a biztonságosan titkosított üzenetek (az Open Whisper Signal protokolljával védett) biztosítása helyett az alkalmazás trójaiként viselkedik.

A trójaiak egy rendkívül hatékony malware, amely lehetővé teszi a hackerek számára, hogy átvegyék az eszköz funkcióinak irányítását. Ez magában foglalja a levelezés és az SMS-üzenetek olvasását, az e-mailek elérését, a mikrofon és a kamera bekapcsolását, a kapcsolatok áttekintését, a GPS bekapcsolását, valamint a feltört eszközön található fényképek és egyéb adatok elérését..

A libanoni kapcsolat

A Lookout által közzétett jelentés neve "Dark Caracal: számítógépes kémkedés globális skálán". A Lookout kiberbiztonsági kutatói szerint nem találtak bizonyítékokat, amelyek egy állami szereplő bevonására utalnak. A Lookout szerint ezt a kapcsolatot azért hozták létre, hogy tesztelő eszközöket fedeztek fel a libanoni Általános Biztonsági Főigazgatóság (GDGS) székhelyén Bejrútban:

„A kampány tesztelésére és lebonyolítására szolgáló eszközöket egy Libanon egyik hírszerző ügynökségének a libanoni biztonsági fõigazgatósághoz (GDGS) tartozó épülethez vezettek. A rendelkezésre álló bizonyítékok alapján valószínű, hogy a GDGS kapcsolatban áll a Sötét Caracal mögött álló szereplőkkel vagy közvetlenül támogatja őket. ”

A közzétett dokumentumok azt mutatják, hogy az államilag támogatott hackerek mind személyes azonosítással rendelkező adatokat, mind szellemi tulajdont loptak az áldozatoktól, ideértve a „katonai személyzetet, vállalkozásokat, egészségügyi szakembereket, aktivistákat, újságírókat, ügyvédeket és oktatási intézményeket”.

Manul művelet

Az EFF szerint a Sötét Caracal összekapcsolódhat egy korábban nem feltárt hackezési kampánnyal, az úgynevezett Operation Manul nevű akcióval. Ezt a kampányt tavaly fedezték fel, és azt találták, hogy a kazahsztáni ügyvédeket, újságírókat, aktivistákat és disszidenseket célozza meg, akik bírálják Nursultan Nazarbajev elnök rezsimének intézkedéseit..

Ellentétben a Manul művelettel (PDF), úgy tűnik, hogy a Dark Caracal nemzetközi hackelési erőfeszítéseket ért el globális célok elérésére. Mike Murray, a Lookout biztonsági intelligencia alelnöke így kommentálta:

„A Sötét Caracal egy olyan tendencia része, amelyet az elmúlt évben tapasztalhattunk, amikor a hagyományos APT szereplők egyre inkább a mobil, mint elsődleges célplatform felé mozdulnak el..

"Az általunk azonosított Android fenyegetés, amelyet a Dark Caracal használ, az egyik első olyan globálisan aktív mobil APT, amelyről nyilvánosan beszéltünk."

Valójában, a Lookout jelentése szerint, a Dark Caracal már 2012 óta aktív. Ez azt jelenti, hogy a libanoni szponzorált hackerek tapasztalata és szaktudása már jó ideje növekszik. A jelentés azt is világossá teszi, hogy a Dark Caracal továbbra is rendkívül aktív, és valószínűtlen, hogy hamarosan kilép.

Mint ilyen, ez a hackeléses esemény emlékeztetőül szolgál, hogy nem csak a nagyobb állami szereplők, például az Egyesült Államok, az Egyesült Királyság, Oroszország és Kína rendelkeznek globális kiberharc-képességekkel..

Attack Vector

A Lookout kutatói által végzett munka rámutat arra, hogy az áldozatokat kezdetben társadalmi mérnöki és adathalász támadások célozzák meg. A sikeres adathalászatot a Pallas nevű rosszindulatú program hasznos teherének és a FinFisher korábban nem látott módosításának továbbítására használják. A Dark Caracal adathalászati ​​infrastruktúrája magában foglalja a hamis portálokat olyan népszerű webhelyek számára, mint a Facebook és a Twitter.

Az adathalász technikákkal irányítják az áldozatokat egy „öntözési lyuk” szerverre, ahol a népszerű biztonsági és adatvédelmi alkalmazások fertőzött verzióit terjesztik eszközükre. Felismerték továbbá a hamis Facebook profilokat is, amelyek segítenek a rosszindulatú linkek elterjesztésében a Whatsapp és más hírnökök fertőzött változataihoz.

Miután megfertőződtek a Pallas-t tartalmazó trojanizált alkalmazással, a hackerek másodlagos hasznos tehercsatornákat szállíthatnak a Parancsnokságból és a Vezérlőből (C&C) szerver. A kutatók által feltárt fertőzött alkalmazások között szerepelt a PsiphonVPN hamis verziója és az Orbot: TOR proxy fertőzött verziója..

A kutatók azt is megállapították, hogy Pallas „számos olyan alkalmazásban rejlik, amelyek állítólag Adobe Flash Player és Google Play Push for Android”.

Nem kifinomult, de hatékony

A nap végén a Dark Caracal által használt technikák nagyon gyakoriak, és nem tekinthetők különösen kifinomultnak. Ennek ellenére ez a hackelési kampány határozott emlékeztetőként szolgál, hogy 2018-ban a kiberháború valószínűleg mind rendkívül termékeny, mind globális veszélyt jelent. Az ilyen típusú hackelés végrehajtására szolgáló eszközök egymástól beporzódtak az egyes állami szereplőktől a másikig, és a hackerek által nyújtott félelmetes képességek súlyos behatolást eredményeznek, amely még a két tényezővel történő hitelesítés sem tudja megvédeni a felhasználót a.

Mint mindig, javasoljuk, hogy legyen nagyon óvatos az üzenetek megnyitásakor. A szociális mérnökök által végzett adathalászat célja az, hogy csábítson bennünket - úgy gondolja át kétszer, mielőtt rákattintana egy linkre. Ezen túlmenően, ha alkalmazást igényel, mindig feltétlenül menjen hivatalos alkalmazásboltba, mert ez jelentősen csökkenti annak esélyét, hogy egy fertőzött alkalmazás befejeződjön. Végül a virtuális magánhálózat (VPN) felhasználóinak arra is emlékeztetni kell, hogy legyenek nagyon óvatosak, amikor megszerezik VPN szoftverüket, mindig ügyelve arra, hogy azt legitim forrásból szerezzék be..

A vélemények az író véleményei.

Cím címe: Ink Drop / Shutterstock.com

Kép jóváírások: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me