Kauza Hacking Team, aneb jak funguje Remote Control System

RCS-DaVinci-GalileoPřinášíme vám odpověď na otázku, jak funguje Remote Control System aka Da Vinci nebo také Galileo, zkr, RCS kontroverzní italské společnosti Hacking Team, která byla sama hacknuta.

RCS funguje podobně jako například bankovní malware, jen je zde mnohem širší použití a výrazně profesionálnější zpracování zejména vlastního malware, tzv. RCS Agenta na napadených zařízeních, který z nich dělá zombie.

RCS má své C&C centrum, které celý systém řídí, přičemž spojení se zombiemi je realizováno přes síť anonymizerů, aby nebylo možné najít frontend RCS.

RCS-scheme

RCS Agent

RCS Agent je malware, který provádí vlastní monitoring cílového počítače nebo smartphonu a je plně pod kontrolou operátora přes RCS Console. Data jsou na cílovém zařízení nejdříve uložena, poté zašifrována a skryta, jakmile je dostupná konektivita do Internetu, jsou tato data odeslána.

RCS Agent odolává antivirům, antirootkitům, lokálním firewallům a analytickým nástrojům, ale i samoobnovovacím nástrojům např. DeepFreeze. Zajímá vás, jak se dostane RCS Agent na zařízení sledované osoby? Čtěte dál.

Instalace RCS Agenta

RCS agent se může na zařízení tj. počítač nebo smartphone sledované soby dostat několika různými způsoby:

Lokální instalace

  • Bootovatelné CD nebo USB flash disk (lokální instalace pro počítače),
  • Paměťové karty nebo připojením přes USB kabel (lokální instalace pro smartphony).

Vzdálená instalace (MiTM útok pomocí Network Injector)

  • Vložení RCS Agenta do existující spustitelné aplikace (jako jsou např. instalační soubory) nebo do upravené html stránky.

Exploit portal

Z bezpečnostních důvodů není povoleno, aby si exploity generovali sami zákazníci a musí si tak žádat přes ]HT[ portál. Důvodem je ochrana 0day exploitů, protože nevhodným umístěním by mohlo dojít k jejich kompromitaci. Postup pro vytvoření žádosti o exploit není složitý, pošle se vygenerovaný Silent Installer(instalátor daného RCS agenta generovaný z Console) + příslušný MS Word/Powerpoint/Excel dokument (.DOCX/.PPSX/..XLSX), který má být infikován.

Pak je potřeba sdělit i scénář jak se bude daný dokument distribuovat např. přes webovou stránku, emailem atd. Následně ]HT[ odesílá klientovi v zip souboru infikovaný dokument.

Network Injector

Network Injector (zkr. NI) se dodává ve dvou verzích dle použití a to Appliance (verze do racku např. u ISP) nebo Tactical (notebook do terénu, zapojuje se buď do LAN nebo se umí nabourat do WiFi).

NI instaluje RCS Agenta přes internetové připojení zařízení sledované osoby pomocí injektáže závadného obsahu do probíhající komunikace bez viditelné změny obsahu (záměna stahovaného souboru za infikovaný nebo přesměrování na infikovanou webovou stránku).

  1. Klient z ticket systému ]HT[ s požadavkem na inject html file, dodá Silent Installer a uvede, jaké bude použité URL.
  2. ]HT[ odešle předmětný html soubor klientovi
  3. Klient přes RCS Console v sekci Network Injector vytvoří pravidlo pro html inject file a nastaví preferované URL. Tyto preferované URL získá jako HTML soubory od ]HT[ týmu;

ANO, to jsou ony interní maily ]HT[, které vzbudily pozdvižení v médiích, protože zde byly uvedeny webové stránky bank, médií, … Ve skutečnosti uvedené weby nebyly PČR vůbec infikovány. Jen sledované osoby při pokusu o přístup k těmto stránkám byly pomocí NI infikovány nebo jim byl vnucen infikovaný soubor, což potvrzuje původní domněnku.

INJECT-EXE

RCS-INJECT-EXE

INJECT-HTML-FLASH

Použití této metody injektáže blokuje video a vyžaduje aktualizaci Adobe Flash Playeru infikovanou verzí.

RCS-INJECT-HTML-FLASH

INJECT-HTML-FILE

RCS-INJECT-HTML-FILE

Remote Mobile Infection

Remote Mobile Installation zkr. RMI je RCS modul, který zajišťuje instalaci RCS Agenta na smartphony. RMI posílá tzv. wap-push do smartphonů a pokud uživatel zprávu akceptuje, webový prohlížeč je automaticky spuštěn a instalační balíček, rozuměj RCS Agent, je stažen.

Sbíraná data jsou velmi podobná jako je tomu u běžného malware. Takže moc nechápu to zděšení ohledně osobních údajů, co že vše lze tímto SW sledovat (viz. níže), vždyť jde jen o použití standardní funkcionality smartphonu (zkuste se na Androidu podívat kolik běžných programů má přístup ke kontaktům, poloze nebo může pořizovat fotografie a videa). To, že je RCS mnohem efektivnější než nějaké obyčejné odposlechy telefonů je vcelku jasné.

  • Soubory (dokumenty, obrázky,…)
  • Snímky obrazovky
  • Historie webových prohlížečů
  • Kliknutí myši
  • Aplikační hesla
  • Zachytávání stisků kláves
  • Kopírování schránky
  • Tisknuté dokumenty
  • E-maily
  • Sledování polohy (včetně využití info z Wi-Fi)
  • Vzdálené nahrávání zvuku (přes mikrofon)
  • Software/OS/Hardware/SIM informace
  • Vzdálené nahrávání fotek/videa
  • záznam VOIP volání (Skype, …)
  • záznam Chatu/IM (Skype, ICQ, …)
  • vzdálené spouštění příkazů na zařízení
  • Upload/download souborů

RCS Agent je schopný reagovat na události tak, aby maximálně zefektivnil svou činnost a zároveň bránil svému odhalení, například:

  • Když se spustí spořič obrazovky, odešle získaná data na C&C RCS
  • Když se dle GPS pozice dostane na určité místo, spustí nahrávání mikrofonem.
  • Když dochází baterie nebo místo na disku, zastaví nahrávání audia/videa.
  • Když přichází telefonní hovor, udělá fotku přes přední kameru smartphonu.
  • 30 dní po instalaci RCS Agenta jej automaticky odinstaluje.

Operátor RCS může samozřejmě události a reakce na ně modifikovat a kombinovat.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Kauza Hacking Team, aneb jak funguje Remote Control System” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: