Hacking Team踪迹再现,又要有大动静?

华盟学院山东省第二期线下学习计划

Hacking Team踪迹再现,又要有大动静?

从Hacking Team 到Hacked Team ,到…?

自2003年成立以来,意大利间谍软件供应商Hacking Team因向世界各地政府及其机构出售监控工具而声名狼借。

其旗舰产品远控系统(RCS)的功能包括从目标设备提取文件,拦截电子邮件和即时消息,以及远程激活设备的网络摄像头和麦克风。该公司一直因为向独裁政府出售这些功能而受到批评—这一指责一直被拒绝。

时间定格在2015年7月,Hacking Team本身遭受了破坏性攻击,并被证实了专制政权使用RCS的情况。随着400GB的内部数据—包括一度秘密的客户名单、内部通信和间谍软件源代码—在线泄露,Hacking Team被迫要求其客户暂停使用所有RCS,并面临着不确定的未来。

在黑客攻击之后,安全界一直密切关注该公司努力恢复原状。第一份报告暗示Hacking Team恢复操作是在六个月后推出的,Hacking Team的Mac间谍软件的新样本很疯狂。在被黑之后一年,一家名为Tablem Limited的公司投资带来了对Hacking Team股东结构的变更,而Tablem有限公司占据了Hacking Team 20%的股份。 Tablem Limited在塞浦路斯正式成立。然而,最近的消息表明它与沙特阿拉伯有联系。

在刚刚完成对另一种商业间谍软件产品FinFisher的研究之后,两个涉及Hacking Team的有趣事件紧密相继发生。Hacking Team显著的财务恢复报告以及我们发现的带有有效数字证书的全新RCS变体。
间谍软件依然活跃

在调查的早期阶段,来自the Citizen Lab 的朋友—他们长久以来一直跟踪Hacking Team—为我们提供了宝贵意见,从而导致发现了当前在野使用的间谍软件版本,使用了之前没有见到过的有效数字证书签名。

进一步研究之后发现了2015年被黑之后创建的更多Hacking Team间谍软件样本,与源代码泄露之前发布的变体相比,这些样本都略有修改。

这些样本是在2015年9月至2017年10月期间编译的。根据ESET遥测数据,我们认为这些日期是真实的。数据表明在这些日期的附近几天内出现了野外样本。

进一步的分析让我们得出结论:所有的样本都可以追溯到一个单一的团队,而不是孤立的不同的攻击者从Hacking Team泄漏的源代码中构建的版本。

支持这一点的是用于签名样本的数字证书序列—我们发现了相继发布的六个不同的证书。其中四个由Thawte颁发给四家不同的公司,另外两个是颁发给Valeriano Bedeschi(Hacking Team联合创始人)和一个名为Raffaele Carnacina的个人证书,如下表所示:

Hacking Team踪迹再现,又要有大动静?

这些样本还伪造了Manifest元数据—用于伪装成合法应用程序,共同出现的有“Advanced SystemCare 9(9.3.0.1121)”,“Toolwiz Care 3.1.0.0”和“SlimDrivers(2.3.1.10)”。

我们的分析进一步表明,样本的作者一直在使用VMProtect,显然是为了使样本不易被发现。这在被黑前Hacking Team的间谍软件中也很常见。

单单这些样本之间的联系,只能说明几乎任何组织重新利用泄露的Hacking Team源代码或安装程序—就像Callisto Group在2016年初的情况一样。但是,我们已收集到了更多的证据,指向Hacking Team的开发者们。

在分析的样本中看到的版本(我们在攻克VMProtect保护后访问),延续了Hacking Team在被黑时所停下的,且遵循相同模式。Hacking Team习惯于连续并经常在同一天编译他们的payload—命名为Scout和Soldier,这也可以在新的样本中看到。

下表显示了2014年至2017年间Hacking Team Windows间谍软件样本的编译日期,版本和证书颁发机构。Callisto Group泄露的源代码被重新标记为红色。

Hacking Team踪迹再现,又要有大动静?

此外,我们的研究已经证实,泄漏后更新中引入的更改是根据Hacking Team自己的编码风格制定的,并且常常在对代码深高熟悉的地方发生。当从泄漏的Hacking Team源代码创建新版本时,其他一些攻击者(即原始Hacking Team开发人员以外的人员)在这些地方进行更改是非常不可能的。

我们在泄漏前后样本之间发现的细微差异之一是启动文件的大小。泄漏之前,复制文件的大小以4MB填充。在泄漏后的样本中,该值为6MB——最有可能作为原始的检测规避技术。

Hacking Team踪迹再现,又要有大动静?

我们发现了更多的差异,由此我们深信Hacking Team一定参与其中。但是,披露这些细节可能会干扰未来对该组织的追踪,这就是我们选择不发布它们的原因。不过,我们愿意与其他研究人员分享这些细节(如有任何疑问,请联系我们:threatintel@eset.com)。

间谍软件的功能与泄露的源代码中的功能大部分重叠。到目前为止,我们的分析还没有证实发布任何重大更新,正如其在被黑之后所承诺的那样。

至于我们所分析的泄漏后样本的分布向量,至少在两起中,我们检测到伪装成PDF文档的间谍软件程序(使用多个文件扩展名)作为一个鱼叉邮件的附件。附件文件名中包含意在减少外交官收到后减少怀疑的字符串。

Hacking Team踪迹再现,又要有大动静?

结论

我们的研究让我们高度自信,除了一个明显的例外,我们所分析的泄漏后样本确实是Hacking Team开发人员何为,而不是无关的参与者重用源代码的结果,比如2016年Callisto组织的案例。

截至撰写本文时,我们的系统已经在14个国家发现了这些新的Hacking Team间谍软件样本。我们没有指出这些国家以防止基于这些检测所引发的错误归因,因为检测的地理位置不一定能揭示攻击来源。

IoCs

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

Hacking Team踪迹再现,又要有大动静?

www.idc126.com

Hacking Team踪迹再现,又要有大动静?

本文翻译自:https://www.welivesecurity.com/2018/03/09/new-traces-hacking-team-wild
如若转载,请注明原文地址:http://www.4hou.com/info/news/10682.html
本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
1

发表评论