С момента своего основания в 2003 году итальянский разработчик программного обеспечения для кибершпионажа Hacking Team добился известности, продавая свои продукты правительствам и спецслужбам по всему миру.
Флагманские функции системы дистанционного управления (RCS) компании включают извлечение файлов с целевого устройства, перехват электронной почты и сообщений, а также удаленное управление веб-камерой и микрофоном.
ESET обнаружила ранее неизвестные примеры RCS в 14 странах мира.
Анализ новых образцов позволяет сделать вывод, что сама Hacking Team продолжает разработку этих программных инструментов.
От хакерской команды к взломанной команде
Hacking Team неоднократно подвергалась критике за продажу шпионского ПО авторитарные режимы , но всегда отвергал эти обвинения.Ситуация изменилась в июле 2015 года, когда компания стал жертвой взлома и факты использования РКС диктатурами получены подтверждение .
После утечки 400 ГБ данных, включая списки клиентов, переписку сотрудников и исходный код шпионского ПО, команда хакеров была вынуждена опросить клиентов приостановить использование RCS и оказалась в состоянии неопределенности.
После взлома сообщество информационной безопасности внимательно следило за попытками компании встать на ноги.
Первые сообщения о деятельности новой Hacking Team появились спустя шесть месяцев — новый образец Похоже, что шпионское ПО для Mac использовалось на практике.
Через год после утечки Tablem Limited инвестировала в Hacking Team и получила 20% акций разработчика.
Tablem Limited официально зарегистрирована на Кипре, но есть признаки ее связь с Саудовской Аравией .
Завершив исследование еще одного шпионского ПО, Финфишер Мы отметили два интересных события, связанных с Hacking Team: отчет о финансовом оздоровлении группы и обнаружение новой версии RCS с действующим цифровым сертификатом.
РКС: жизнь продолжается
На ранних этапах исследования наши коллеги из Гражданин Лаборатория , который долгое время следил за деятельностью Hacking Team, предоставил нам ценный материал, который позволил нам обнаружить новую версию шпионского ПО.В настоящее время вредоносная программа находится в практическом использовании и имеет новый цифровой сертификат. Дальнейшие исследования выявили еще несколько образцов программ Hacking Team, созданных после взлома в 2015 году.
Все они были слегка модифицированы из инструментов, выпущенных до утечки исходного кода.
Выборки были собраны в период с сентября 2015 года по октябрь 2017 года.
Мы считаем даты составления достоверными, поскольку телеметрия ESET зафиксировала использование образцов на практике через несколько недель после составления.
Дальнейший анализ привел к выводу, что происхождение всех образцов сводится к одной кибергруппе; это не изолированные версии разных разработчиков, использующие исходный код Hacking Team, утекшие в Интернет. Одним из аргументов в пользу этой точки зрения является последовательность цифровых сертификатов, которыми подписываются образцы.
Мы нашли шесть разных сертификатов, выданных один за другим.
Четыре из них выданы центром сертификации Thawte четырем различным компаниям, два являются личными сертификатами на имя Валериано Бедеши (сооснователя Hacking Team) и некоего Рафаэля Карнасина, как показано ниже: 
Образцы также содержат поддельные метаданные манифеста, маскирующиеся под законное программное обеспечение Advanced SystemCare 9 (9.3.0.1121), Toolwiz Care 3.1.0.0 и SlimDrivers (2.3.1.10).
Наш анализ показывает, что автор(ы) образцов использовал VMProtect, предположительно, в попытке сделать образцы менее уязвимыми к обнаружению.
До утечки метод использовался в программах Hacking Team. Связь между этими образцами сама по себе может указывать практически на любую кибергруппу, которая модифицировала просочившийся исходный код или программу установки Hacking Team – как это было в случае с Группа Каллисто в начале 2016 года.
Однако мы собрали другие доказательства, позволяющие связать новые образцы с самими разработчиками Hacking Team. Версионирование в новых образцах, к которым мы получили доступ после взлома защиты VMProtect, начинается до утечки, продолжается после нее и следует тем же закономерностям.
Для разработчиков компании характерно компилирование функциональной части вредоносного ПО (под названиями Scout и Soldier) последовательно и зачастую за один день — это можно наблюдать на новых образцах.
В таблице ниже показаны даты компиляции, версии и сертификаты образцов шпионского ПО Hacking Team для Windows, выпущенных с 2014 по 2017 год. Повторное использование объединенного исходного кода группой Callisto выделено красным: 
Кроме того, наше исследование подтвердило, что изменения, внесенные после утечки, были внесены в соответствии с собственным стилем программирования Hacking Team и часто происходят в местах, указывающих на глубокое понимание кода.
Маловероятно, что игрок, не являющийся игроком Hacking Team, создающий новые версии на основе утекшего исходного кода, мог бы внести изменения в эти конкретные фрагменты.
Одним из различий между образцами до и после утечки является размер стартового файла.
До утечки использовался скопированный файл размером около 4 МБ.
После утечки размер составил 6 МБ, возможно, как примитивный метод защиты от обнаружения.
Мы обнаружили еще несколько отличий, которые полностью убедили нас в причастности Hacking Team. Однако раскрытие этих данных может помешать дальнейшему мониторингу деятельности группы, поэтому мы не можем их опубликовать.
Мы готовы поделиться информацией с другими исследователями; запрос можно отправить по адресу [email protected]. Функциональность шпионского ПО во многом соответствует тому, что было в утекшем исходном коде.
Наш анализ еще не подтвердил выпуск какого-либо существенного обновления, которое обещал Хакерская команда после взлома.
По крайней мере два изученных образца были распространены через фишинговые электронные письма.
Вредоносный исполняемый файл был замаскирован под PDF-документ с двойным расширением.
Названия подставных документов, скорее всего, нацелены на потенциальных жертв из числа сотрудников дипмиссий.
Выводы
Наше исследование показывает, что образцы шпионского ПО RCS, за одним исключением, являются результатом деятельности хакерской команды, а не повторного использования кода, как в случае с группой Callisto в 2016 году.На момент написания этой статьи наши системы телеметрии обнаруживают новые шпионские программы Hacking Team в 14 странах.
Мы предпочитаем не называть страны, чтобы избежать неправильной атрибуции, поскольку геолокация обнаружений не всегда может предоставить информацию об источнике атаки.
Индикаторы компрометации
Обнаружение продуктами ESET Троян.Win32/CrisisHT.F Троян.
Win32/CrisisHT.H Троян.
Win32/CrisisHT.E Троян.
Win32/CrisisHT.L Троян.
Win32/CrisisHT.J Троян.
Win32/Агент.ZMW Троян.
Win32/Агент.ZMX Троян.
Win32/Agent.ZMY Троян.
Win32/Агент.ZMZ Образцы подписаны Ziber Ltd. Отпечаток: 14 56 d8 a0 0d 8b e9 63 e2 22 4d 84 5b 12 e5 08 4e a0 b7 07 Серийный номер: 5e 15 20 5f 18 04 42 cc 6c 3c 0f 03 e1 a3 3d 9f ША-1 2eebf9d864bef5e08e2e8abd93561322de2ab33b 51506ed3392b9e59243312b0f798c898804913дб 61eda4847845f49689ae582391cd1e6a216a8fa3 68ffd64b7534843ac2c66ed68f8b82a6ec81b3e8 6fd86649c6ca3d2a0653fd0da724bada9b6a6540 92439f659f14dac5b353b1684a4a4b848ecc70ef a10ca5d8832bc2085592782bd140eb03cb31173a a1c41f3dad59c9a1a126324a4612628fa174c45a b7229303d71b500157fa668cece7411628d196e2 eede2e3fa512a0b1ac8230156256fc7d4386eb24 Командные серверы 149.154.153.223 192.243.101.125 180.235.133.23 192.243.101.124 95.110.167.74 149.154.153.223 Образцы, подписанные ADD Audit Отпечаток: 3e 19 ad 16 4d c1 03 37 53 26 36 c3 7c a4 c5 97 64 6f bc c8 Серийный номер: 4c 8e 3b 16 13 f7 35 42 f7 10 6f 27 20 94 eb 23 ША-1 341dbcb6d17a3bc7fa813367414b023309eb69c4 86fad7c362a45097823220b77dcc30fb5671d6d4 9dfc7e78892a9f18d2d15adbfa52cda379ddd963 e8f6b7d10b90ad64f976c3bfb4c822cb1a3c34b2 Командные серверы 188.166.244.225 45.33.108.172 178.79.186.40 95.110.167.74 173.236.149.166 Образцы подписаны Media Lid Отпечаток: 17 f3 b5 e1 aa 0b 95 21 a8 94 9b 1c 69 a2 25 32 f2 b2 e1 f5 Серийный номер: 2c e2 bd 0a d3 cf de 9e a7 3e ec 7c a3 04 00 da ША-1 27f4287e1a5348714a308e9175fb9486d95815a2 71a68c6140d066ca016efa9087d71f141e9e2806 dc817f86c1282382a1c21f64700b79fcd064ae5c ША-1 27f4287e1a5348714a308e9175fb9486d95815a2 71a68c6140d066ca016efa9087d71f141e9e2806 dc817f86c1282382a1c21f64700b79fcd064ae5c Командные серверы 188.226.170.222 173.236.149.166 Образцы подписаны ООО «Мегабит» Отпечаток пальца: 6d e3 a1 9d 00 1f 02 24 c1 c3 8b de fa 74 6f f2 3a aa 43 75 Серийный номер: 0f bc 30 db 12 7a 53 6c 34 d7 a0 fa 81 b4 81 93 ША-1 508f935344d95ffe9e7aedff726264a9b500b854 7cc213a26f8df47ddd252365fadbb9cca611be20 98a98bbb488b6a6737b12344b7db1acf0b92932a cd29b37272f8222e19089205975ac7798aac7487 d21fe0171f662268ca87d4e142aedfbe6026680b 5BF1742D540F08A187B571C3BF2AEB64F141C4AB 854600B2E42BD45ACEA9A9114747864BE002BF0B Командные серверы 95.110.167.74 188.226.170.222 173.236.149.166 46.165.236.62 Образцы, подписанные Рафаэлем Карнасиной Отпечаток пальца: 8a 85 4f 99 2a 5f 20 53 07 f8 2d 45 93 89 от da 86 de 6c 41 Серийный номер: 08 44 8b d6 ee 91 05 ae 31 22 8e a5 fe 49 6f 63 ША-1 4ac42c9a479b34302e1199762459b5e775eec037 2059e2a90744611c7764c3b1c7dcf673bb36f7ab b5fb3147b43b5fe66da4c50463037c638e99fb41 9cd2ff4157e4028c58cef9372d3bb99b8f2077ec b23046f40fbc931b364888a7bc426b56b186d60e cc209f9456f0a2c5a17e2823bdb1654789fcadc8 99c978219fe49e55441e11db0d1df4bda932e021 e85c2eab4c9eea8d0c99e58199f313ca4e1d1735 141d126d41f1a779dca69dd09640aa125afed15a Командные серверы 199.175.54.209 199.175.54.228 95.110.167.74 Образцы, подписанные Валериано Бедески Отпечаток: 44 a0 f7 f5 39 fc 0c 8b f6 7b cd b7 db 44 e4 f1 4c 68 80 d0 Серийный номер: 02 f1 75 66 ef 56 8d c0 6c 9a 37 9e a2 f4 fa ea ША-1 baa53ddba627f2c38b26298d348ca2e1a31be52e 5690a51384661602cd796e53229872ff87ab8aa4 aa2a408fcaa5c86d2972150fc8dd3ad3422f807a 83503513a76f82c8718fad763f63fcd349b8b7fc Командные серверы 172.16.1.206 — внутренний адрес, найденный в примерах.
Теги: #Антивирусная защита #вредоносное ПО #команда хакеров #rcs
-
Метод Ci/Cd: Чистый Код И Строгая Дисциплина
19 Oct, 24 -
Acer Allegro - Мое Мнение
19 Oct, 24 -
Опера 12.17 Пытается Обновиться До 25
19 Oct, 24
