Фалшиви версии на популярни приложения за криптирани съобщения и поверителност са забелязани да разпространяват в природата. Смята се, че фалшивите версии на Whatsapp, Telegram, Signal и PsiphonVPN са създадени от хакери, за които се твърди, че работят за ливанското правителство. Злобните приложения заблуждават потребителите да вярват, че техните съобщения са криптирани. В действителност обаче ливанските хакери използват целенасочено създадени заден план и злонамерен софтуер, за да прослушват кореспонденциите на потребителите.


Според доклад, публикуван от мобилната компания за сигурност Lookout и Electronic Frontier Foundation, хакерите са свързани с централната разузнавателна агенция на Ливан. Докладът разкрива, че жертви в 20 страни вероятно са изтеглили фалшивите версии на популярни приложения за сигурност.

Опасни троянци

Могат да се направят злонамерени приложения, които да изглеждат почти идентични на законните им колеги. Това дава на потребителите никакъв реален начин да знаят, че на техните устройства се случва нещо неблагоприятно. По този повод жертвите изтеглиха коварните приложения от неофициални магазини за онлайн приложения. Веднъж инсталиран, вместо да предоставя сигурно криптирани съобщения (защитени със сигнала на Open Whisper's Signal Protocol) - приложението се държи като троянски.

Трояните са изключително мощен вид зловреден софтуер, който позволява на хакерите да вземат контрол върху функциите на устройството. Това включва четене на кореспонденции и SMS съобщения, достъп до имейли, включване на микрофона и камерата, гледане на контакти, включване на GPS и достъп до снимки и всякакви други данни, съдържащи се на хакнатото устройство.

Ливанската връзка

Докладът, публикуван от Lookout, се нарича "Тъмно Каракал: Кибер-шпионаж в глобален мащаб". Според изследователи по киберсигурност от Lookout, те са разкрили доказателства, които сочат участието на държавен участник. Според Lookout тази връзка е била създадена поради откриването на тестови устройства в главното управление на Ливанската генерална дирекция за обща сигурност (GDGS) в Бейрут:

„Устройствата за тестване и експлоатация на кампанията бяха проследени в сграда, принадлежаща на Ливанската генерална дирекция за обща сигурност (GDGS), една от разузнавателните агенции на Ливан. Въз основа на наличните доказателства е вероятно GDGS да е свързан с или пряко да подкрепя участниците зад Dark Caracal. "

Публикуваните документи разкриват, че спонсорираните от държавата хакери са откраднали както самолични данни и интелектуална собственост на жертви, включително „военни служители, предприятия, медицински специалисти, активисти, журналисти, адвокати и образователни институции“.

Операция Манул

Според EFF, Dark Caracal може да е свързан с разкрита по-рано хакерска кампания, наречена Operation Manul. Тази кампания беше открита миналата година и беше установено, че е насочена към адвокати, журналисти, активисти и дисиденти от Казахстан, които критикуват действията на режима на президента Нурсултан Назарбаев.

За разлика от „Операция Манул“ (PDF) обаче, Тъмният Каракал изглежда е отлежал в международно хакерско усилие, насочено към глобални цели. Майк Мъри, вицепрезидент по сигурността на разузнаването в Lookout, коментира:

„Тъмният каракал е част от тенденцията, която видяхме да се развива през последната година, при която традиционните участници в APT се насочват към използване на мобилни устройства като основна целева платформа.

„Заплахата за Android, която идентифицирахме, използвана от Dark Caracal, е една от първите глобално активни мобилни APT, за които говорихме публично.“

Всъщност според доклада на Lookout, Dark Caracal е активен още от 2012 г. Това означава, че хаванските спонсори от Ливан натрупват опит и експертиза от доста време. Докладът също така пояснява, че Dark Caracal все още е много активен и е малко вероятно да се откаже в скоро време.

Като такъв този хакерски инцидент служи като напомняне, че не само основни държавни участници като САЩ, Великобритания, Русия и Китай имат на разположение възможности за глобална кибер война..

Атака вектор

Работата, предприета от изследователи от Lookout, разкрива, че първоначално жертвите са насочени към социално инженерство и фишинг атаки. Успешният фишинг за копие се използва за доставяне на полезен товар от зловреден софтуер, наречен Pallas и по-рано невиждана модификация на FinFisher. Фишинг инфраструктурата на Dark Caracal включва фалшиви портали за популярни уебсайтове като Facebook и Twitter.

Фишинг техники се използват за насочване на жертви към сървъра за „отваряне на дупки“, където заразените версии на популярни приложения за сигурност и поверителност се разпространяват на техните устройства. Открити са и фалшиви профили във Facebook, които помагат за разпространяване на злонамерени връзки към заразени версии на Whatsapp и други месинджъри.

Веднъж заразени с троянизираното приложение, съдържащо Pallas, хакерите могат да доставят вторични полезни товари от командването и контрола (C&В) сървър. Сред заразените приложения, разкрити от изследователите, бяха фалшива версия на PsiphonVPN и заразена версия на proxy Orbot: TOR.

Изследователите откриха също така, че Палас „дебне в няколко приложения, които се смятат за Adobe Flash Player и Google Play Push за Android“.

Неопределен, но ефективен

В края на деня техниките, използвани от Тъмния Каракал, са много чести и не могат да се считат за особено сложни. Въпреки това тази хакерска кампания служи като изключително напомняне, че през 2018 г. кибервойната вероятно ще бъде едновременно много плодотворна и глобална заплаха. Инструментите за извършване на този тип хакерство са опраскани от един държавен участник в следващия, а плашещите възможности, които предоставят на хакерите, водят до сериозно проникване, че дори двуфакторното удостоверяване не може да защити потребителите от.

Както винаги е така, препоръчваме да бъдете много внимателни при отваряне на съобщения. Фишингът за социално инженерство е създаден да ви примами - затова помислете два пъти, преди да кликнете върху връзка. Освен това, ако се нуждаете от приложение, винаги не забравяйте да отидете в официален магазин за приложения, тъй като това значително ще намали шансовете ви да прекратите със заразено приложение. И накрая, потребителите на виртуална частна мрежа (VPN) също се напомнят да бъдат изключително внимателни, откъдето получават своя VPN софтуер, като винаги гарантират получаването му от законен източник.

Мненията са собствени на писателя.

Кредитно изображение за заглавие: падане на мастило / Shutterstock.com

Образни кредити: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me