写在前面:四大会计师事务所之一的安永,对以色列秘密间谍软件公司NSO集团的最新估值为23亿美元,该集团的产品就是大名鼎鼎的Pegasus,飞马软件,可以零点击入侵手机操作系统。

今天介绍的产品和其类似,是最近大家都非常关注的商业间谍软件,意大利RCS Lab开发的Hermit。犯罪集团甚至政府对个人信息的侵入,这中间的曲折难以说尽,但从技术的角度,可能整个世界越来越需要Android和IOS之外新的移动操作系统,它开源、可高度定制、社区维护、安全驱动......。

Lookout发现在哈萨克斯坦部署的Android间谍软件

2022年6月16日 

    Lookout Threat Lab的研究人员发现哈萨克斯坦政府在其境内使用企业级Android监控软件。虽然我们已经使用Lookout端点检测和响应(EDR)跟踪这一威胁一段时间,但这些最新的样本是在2022年4月发现的,在这之前的4个月,全国范围内反对政府政策的抗议活动被暴力镇压。

    根据我们的分析,这个被我们命名为“Hermit”的间谍软件很可能是由意大利间谍软件厂商RCS Lab S.p.A和电信解决方案公司Tykelab Srl开发,高度怀疑Tykelab Srl公司是作为影子公司在运营。

    这不是Hermit第一次被部署。我们知道意大利当局在2019年的反腐败行动中使用了它。我们还有证据表明,一个未知攻击者在叙利亚东北部使用了这个软件,那里是一个库尔德人统治的地区,引发了许多地区冲突。

    虽然以前曾发现过一些Hermit样本,并被广泛认为是间谍软件,但我们在本博客中把开发者、活动和运营商之间建立联系是新的发现。

    RCS Lab是一家活跃了30多年的知名软件开发商,与Pegasus开发商NSO Group Technologies和创建FinFisher的Gamma Group处于同一市场。它们被统称为“合法拦截”公司,声称只向合法使用监视软件的客户销售,比如情报和执法机构。在现实中,这类工具经常以国家安全的名义被滥用,监视企业高管、人权活动人士、记者、学者和政府官员。

什么是Hermit(隐士)

    Hermit以攻击者使用C2服务器的路径命名,是一种模块化监视软件,它在部署后将其恶意功能隐藏在下载的包中。

    我们获得并分析了25个已知模块中的16个,每个模块都具有独特的功能。这些模块,以及核心app拥有的权限,使Hermit能够得到设备管理员权限、记录音频、拨打和重定向电话,以及收集数据,如通话记录、联系人、照片、设备位置和短信。

    我们推断,间谍软件是通过假装合法来源的短信传播的。被分析的恶意软件样本模仿了电信公司或智能手机制造商的应用程序。Hermit利用它假冒的品牌合法网页欺骗用户,同时在后台启动恶意行为。

    我们知道存在iOS版本的Hermit,但无法获得样本进行分析。

哈萨克斯坦的伎俩

    我们的分析表明,Hermit不仅被部署在哈萨克斯坦,而且很可能是政府的一个实体在幕后操纵这场运动。据我们所知,这标志着首次发现RCS Lab移动恶意软件的现有客户。

    我们于2022年4月首次检测到来自该活动的样本。它们被命名为“oppo.service”,假冒中国电子产品制造商Oppo。该恶意软件用来掩盖其恶意活动的网站是Oppo官方支持页面(http://oppo-kz.custhelp.com),该网站用哈萨克语编写,现已下线。我们还发现了假冒三星和Vivo的样本。

现已不存在的哈萨克语Oppo支持页面被加载并显示给用户,恶意活动发生在后台

    哈萨克针对性行动中使用的样本连接到C2地址45.148.30.122:58442。然而,进一步分析间谍软件的C2服务器发现,该IP地址被用作真实C2服务器85.159.27.61:8442的代理。真正的C2 IP地址是由STS Telcom管理的,这是一个在哈萨克斯坦首都努尔苏丹运营的小型互联网服务提供商(ISP)。根据仅有的网上记录,STS专注于“其他有线电信”和线缆服务。

我们与配置糟糕的C2服务器的交互揭示了真正的C2 IP地址

叙利亚,意大利和其他目标

    在检测哈萨克斯坦的样本之前,我们在Hermit的被动DNS记录中发现了“Rojava”,这是叙利亚东北部一个讲库尔德语的地区。这很重要,因为该地区一直是危机不断的地方,比如叙利亚内战,以及伊斯兰国(IS)和美国领导的支持库尔德人领导的叙利亚民主力量(SDF)的联盟之间的冲突。最近,土耳其对叙利亚民主力量进行了一系列军事行动,导致该地区部分被占领。

    我们发现的域名(rojavanetwork.info)特别模仿了“Rojava Network”,这是Facebook和Twitter上的一个社交媒体品牌,提供对该地区的新闻报道和政治分析,通常支持叙利亚民主力量(SDF)的行动。

    在叙利亚之外,Hermit还被部署在意大利。根据意大利下议院在2021年发布的一份文件,意大利当局可能在反腐败行动中滥用了这个软件。该文件提到了iOS版本的Hermit,并将RCS Lab和Tykelab与恶意软件联系起来,这证实了我们的分析。

RCS lab有争议的商业关系

    和许多间谍软件厂商一样,人们对RCS Lab及其客户知之甚少。但根据我们掌握的信息,它在国际上有相当大的知名度。

    根据维基解密2015年公布的泄露文件,早在2012年,RCS Lab是另一家意大利间谍软件供应商HackingTeam(现在被称为Memento Labs)的经销商。两家公司的通信显示,RCS Lab与巴基斯坦、智利、蒙古、孟加拉国、越南、缅甸和土库曼斯坦的军事和情报机构进行了接触——根据民主指数,后三个国家被列为专制政权。

    RCS Lab过去还与另一个专制政权叙利亚有过交易,这是它与总部位于柏林的先进德国技术公司(AGT)合作销售监视解决方案的一部分。

    与RCS Lab有过商业关系的国家。上面一行:智利、巴基斯坦、蒙古和孟加拉国;下面一排:缅甸、越南、土库曼斯坦和叙利亚。

Tykelab与RCS Lab的联系

    根据Tykelab自己的网站,http://www.tykelab.it/wp/,(网站介绍非常简单)该公司提供无害的技术解决方案。然而,我们发现了各种公开的线索,表明情况并非如此。除了意大利议会的文件,我们还发现了几件将Tykelab和RCS实验室联系起来的证据。

    例如,Tykelab的一名现任员工在LinkedIn上的个人资料显示,他们也在RCS实验室工作。此外,该公司还提供服务,要求有开发和交付监控软件的技能,如电信网络知识或交互、社交媒体分析、短信服务和移动应用程序开发。我们在Tykelab找到了一份招聘安全工程师的招聘启事,其中列出了一项可以直接应用于移动网络和设备监控的所需技能。(招聘启事还在)

    Tykelab的这份工作清单强调了对移动网络漏洞、渗透测试和逆向工程的兴趣:这些技能可以同时服务于防御和进攻目的。

    在我们自己对Hermit的分析中,我们能够将Tykelab与Hermit和RCS实验室联系起来。一个Hermit用于C2通信的IP地址透露了其与另一个IP共享的SSL证书,93.51.226.53。值得注意的是,共享证书的地点部分,有意大利米兰,这是RCS实验室的总部。

    第二个IP使用另一个SSL证书,直接将RCS命名为组织,将Tykelab命名为组织单位。地点包括罗马,这是Tykelab的总部所在地

    绑定到Hermit基础设施的SSL证书显示Tykelab和RCS实验室都连接到间谍软件

技术分析:Hermit的高级功能

    Hermit是一个高度可配置的监视软件,具有企业级收集和传输数据的能力。

例如,它使用20多个参数,任何操作者都可以根据自己的活动进行定制。该间谍软件还试图通过发送基于哈希的消息认证码(HMAC)来维护收集到的“证据”的数据完整性。这允许参与者对发送数据的人进行身份验证,并确保数据没有被修改。使用这种方法进行数据传输可以使收集到的证据具有可采纳性。

    为了掩盖它的真实意图,Hermit被构建成模块化。这意味着恶意功能隐藏在恶意软件根据需要下载的额外有效载荷中。

它是如何欺骗受害者并避免被发现的

    正如我们前面提到的,Hermit假装来自合法实体,即电信公司或智能手机制造商。为了保持这种假象,恶意软件在后台启动恶意活动的同时,加载并显示假冒公司的网站。

    第一个恶意步骤是解密一个嵌入的配置文件,该文件用于与C2服务器通信。但是在通信发生之前,Hermit执行一系列检查,以确保它没有被分析。这包括寻找模拟器的存在,以及应用程序本身被修改以使分析更容易的迹象。

模块与数据收集

    一旦恶意软件连接到C2服务器,它就会接收下载哪些模块的指令,每个模块都有不同的功能。除了模块之外,恶意软件请求的权限表明它可以通过各种方式收集数据。

    C2可以要求Hermit从任何URL下载模块,然后动态加载它们。

    我们与" oppo.service "用于和C2通讯的的IP地址(45.148.30.122:58442)交互获得了16个模块。根据分配给Hermit代码中模块的标识号,至少有25个模块。

在核心应用程序中,我们发现了一个名为“module”的抽象类,它提供了关于其他模块功能的额外提示。代码包含了对漏洞使用的引用,在获得的模块中找到的线索进一步证实了这一点。虽然在测试过程中我们没有受到攻击,但我们可以知道被攻击的设备将有一个本地超级用户权限监听服务127.0.0.1:500,恶意软件将“ping”它。

    一些变量暗示,Hermit的模块可以利用漏洞

    如果该设备有漏洞,那么它将与C2通信,以获取利用该设备漏洞所需的文件,并启动系统管理员级的服务。该服务将用于提高设备权限,如访问可访问服务、通知内容、包使用状态和忽略电池优化的能力。

    除了系统管理员服务之外,一些模块希望或试图通过su二进制文件直接使用管理员权限访问。这些模块将尝试修改SuperSU应用程序的共享首选项,以便在没有用户交互的情况下执行系统管理员命令。

    虽然这可能是在用户不知情的情况下使用root的一般尝试,但SuperSU也可能是未知利用过程的一部分。如果root不可用,模块可能会提示用户采取行动,以实现相同的目标。

    这些是我们能够获得的模块:

像其他武器一样,间谍软件很容易被滥用

    所谓的“合法拦截”间谍软件的厂商,如RCS Lab、NSO集团和Gamma集团,通常声称只卖给拥有合法使用监视软件的实体,如打击有组织犯罪或恐怖主义的警察部队。然而,特别是在最近几年,有许多间谍软件被滥用的报告。

    我们发现Hermit被部署在哈萨克斯坦和叙利亚的证据,这些国家的人权记录很差。即使在意大利的反腐行动中,也被指责对个人和私人数据处理不当。

    从某种意义上说,电子监视工具与任何其他类型的武器没有什么不同。就在本月,面对财务压力,NSO集团首席执行官沙莱夫•胡利奥(Shalev Hulio)提出了向“高风险”客户出售产品的可能性。间谍软件厂商秘密行动,受到的监督有限,其产品使用的合法性很少像他们所设想的那样明确。

如何保护自己免受Hermit间谍软件

    移动设备具有复杂的数据收集功能,而且我们随时都会携带它们,所以它们是监视的完美目标。虽然不是所有人都会成为复杂间谍软件的目标,但这里有一些建议,可以确保你和你组织的安全:

  • 更新你的手机和app:操作系统和app通常有漏洞需要修复,更新它们以确保漏洞得到解决。
  • 不要点击未知链接:攻击者传递恶意软件最常见的方式之一是假装合法来源向您发送消息。不要点击链接,尤其是在你不知道来源的时候。
  • 不要安装未知的app:安装未知的app时要谨慎,即使app的来源看起来是合法机构。
  • 定期检查你的app:有时恶意软件会改变设置或在你的手机上安装额外的内容。定期检查你的手机,以确保没有任何未知的添加。

    除了遵循上述安全最佳实践,我们强烈建议使用专用的移动安全解决方案,以确保您的设备不会受到恶意软件或钓鱼攻击的损害。

    据我们所知,本文中描述的app从未通过Google Play发布。Lookout security app的用户可以免受这些威胁。

https://www.lookout.com/blog/hermit-spyware-discovery

(完)

间谍软件厂商针对意大利和哈萨克斯坦的用户

2022年6月23日 Google TAG

    谷歌多年来一直在跟踪商业间谍软件厂商的活动,并采取措施保护人们。就在上周,谷歌在欧盟议会关于“大型科技和间谍软件”的听证会上就我们所做的监测和破坏这个日益兴旺的行业的工作作证。

    我们的威胁分析小组(TAG)在2021年发现的9个零日漏洞中,有7个属于这一类:由商业公司开发,出售给政府支持的行动者。威胁分析小组正在积极追踪30多家向政府支持的行动者出售漏洞或监视能力的厂商,这些厂商的复杂程度和公开曝光程度各不相同。

    我们的发现强调了商业监控厂商在很大程度上增加了以往只有拥有技术专长、开发和操作漏洞的政府才会使用的能力。这使得互联网变得不那么安全,并威胁到用户所依赖的信任。

    今天,和Google Project Zero一起,我们详细介绍了RCS Labs的功能,这是一家意大利供应商,它使用了一种战术组合,包括非典型的以下载作为初始感染载体,目标是iOS和Android的移动用户。我们已经确认了意大利和哈萨克斯坦的受害者身份。

活动概述

    TAG观察到所有活动都起自发送给目标的独特链接。一旦点击,该页面就会试图让用户下载并安装安卓或iOS系统上的恶意应用程序。在某些情况下,我们认为攻击者与目标所在底的ISP合作,使目标的移动数据连接失效。这时攻击者将通过SMS发送一个恶意链接,要求目标安装应用程序以恢复其数据连接。我们相信这就是为什么大多数应用程序伪装成移动运营商应用程序的原因。当ISP无法参与时,应用程序被伪装成消息应用程序。

    一个来自攻击者控制的网站,www.fb-techsupport.com的截图示例。

    该页面以意大利语显示,要求用户安装其中一个应用程序以恢复他们的帐户。从页面的代码中,我们可以看到只有WhatsApp的下载链接指向攻击者控制的Android和iOS用户内容。

iOS投放

    为了发布iOS应用程序,攻击者只需按照苹果的要求,将专用的内部应用程序发布到苹果设备上,使用itms-services协议和以下清单文件,并使用com.ios.Carrier作为标识符。

    生成的应用程序使用名为3-1 Mobile SRL(开发者ID: 58UP7GFWAA)的公司颁发的证书进行签名。该证书满足所有iOS设备上所有iOS代码签名要求,因为该公司注册了苹果开发者企业计划。

    这些应用程序仍然运行在iOS应用程序沙盒中,并受完全相同的技术隐私和安全强制机制(例如代码测载)的影响。然而,它们可以被测载在任何设备上,不需要通过App Store安装。我们认为这些应用程序从未在App Store上出现过。

    该应用程序被分成多个部分。它包含一个通用的特权升级攻击包安装器,可被六种不同的攻击使用。它还包含一个极简代理,能够从设备中窃取感兴趣的文件,比如Whatsapp的数据库。

    我们分析的应用程序包含以下漏洞:

CVE-2018-4344 内部和公开都称为光速。

CVE-2019-8605 内部称为SockPort2,公开称为SockPuppet

CVE-2020-3837 内部称为TimeWaste。

CVE-2020-9907 内部称为AveCesare。

CVE-2021-30883 内部称为clickd2,苹果在2021年10月标记为可利用。

CVE-2021-30983 内部称为clickd3,由苹果在2021年12月修复。

    2021年之前使用的所有漏洞都是基于不同越狱社区编写的公开漏洞。在发现时,我们认为CVE-2021-30883和CVE-2021-30983是两个零日漏洞。Project Zero与TAG合作,发布了CVE-2021-30983的技术分析。

Android投放

    安装下载的APK需要受害者安装未知来源的应用程序。虽然这些应用程序从未在Google Play中可用,但我们已将受感染的设备通知Android用户,并对Google Play Protect进行了更改,以保护所有用户。

Android植入

    本分析基于5月27日上传至VirusTotal的fe95855691cada4493641bc4f01eb00c670c002166d6591fe38073dd0ea1d001。我们没有发现不同版本之间的许多差异。这就是Lookout在6月16日详细描述的同一个恶意软件家族。

    安卓应用程序通过其图标将自己伪装成一个合法的三星应用程序:

    当用户启动应用程序时,会打开一个webview,显示与该图标相关的合法网站。

    在安装时,它通过Manifest文件请求许多权限:

    应用程序的配置包含在res/raw/out资源文件中。配置用一个105字节的异或密钥编码。解码由本机库文件libvoida2dfae4581f.so执行。这样就包含了一个解密配置的功能。配置如下所示:

    旧的示例使用较短的XOR密钥解密Java代码中的配置。

    本示例中的C2通信是通过Firebase Cloud Messaging进行的,而在其他示例中,可以观察到使用了Huawei Messaging Service。第二个C2服务器用于上传数据和检索模块。

    虽然APK本身不包含任何漏洞,但代码暗示存在可以下载和执行的漏洞。它提供了通过DexClassLoader API获取和运行远程模块的功能。这些模块可以将事件传递给主应用程序。这些事件的名称显示了这些模块的能力:

TAG没有获得任何远程模块。

保护用户

    这个活动很好地提醒了我们,攻击者并不总是利用漏洞来获得所需的权限。基本的感染模式和推动下载方式仍然有效,在当地ISP的帮助下可以非常高效。

    为了保护我们的用户,我们已经警告所有的Android受害者,在这次活动中对Google Play Protect进行了修改,并禁用了用作C2的Firebase项目。

谷歌如何对待商业间谍软件行业

    根据TAG和Project Zero的大量研究和分析,我们认为,商业间谍软件行业正在蓬勃发展,并以显著的速度增长。这一趋势应该引起所有互联网用户的关注。

这些厂商使危险的黑客工具得以扩散,并为无法开发这些能力的政府提供了武器。尽管根据国家法律或国际法,使用监控技术可能是合法的,但经常发现它们被政府用于与民主价值背道而驰的目的:针对异见人士、记者、人权工作者和反对党人士。

    除了这些担忧之外,还有其他原因导致这个行业对互联网构成了风险。当漏洞研究被用于提高产品的安全性时,它对网络安全是一个重要的贡献,厂商秘密储存零日漏洞会给互联网带来严重的风险,尤其是当厂商受到威胁时。在过去十年中,这种情况发生在多家间谍软件厂商身上,让人担心他们的软件可能会在没有警告的情况下被公开释放。

    这就是为什么当谷歌发现这些活动时,我们不仅采取措施保护用户,而且公开披露这些信息,以提高意识,帮助整个生态系统,符合我们对开放和民主价值观的历史承诺。

    对商业监视行业的错误行为将需要一种强有力的、全面的方法,包括威胁情报团队、网络防御者、学术研究人员、政府和技术平台之间的合作。我们期待继续在这一领域的工作,并促进我们在世界各地用户的安全和保障。

https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/

(完)