شناسایی و رمزگشایی از ابزارهای جاسوسی موبایل

حدود یک سال پیش شرکت امنیتی Kaspersky مقاله ای در  مورد یک شرکت نرم افزاری ایتالیایی با نام Hacking Team منتشر کرد . فعالیت این شرکت در خصوص توسعه ابزارهای جاسوسی جهت ارائه به سازمان های قانونی به عنوان ابزارهای کنترل از راه دور RCS (Remote Control System) می باشد. اخیراً زوایای دیگری از ابزارهای نظارت دیجیتال (RCS) منتشر شده که نشان می دهد این ابزارها توسط بیش از 60 دولت در سراسر جهان مورد استفاده قرار گرفته است .
ماژول های برنامه ساخت شرکت ایتالیایی Hacking Team ، توسط محققین Kaspersky Lab روسیه  و Citizen Lab در University of Toronto’s Munk School تورنتو کانادا  به طور مستقل از هم مورد بررسی قرار گرفته و یافته های متعددی در زمینه ابزارها این گروه بدست آمده است.
هدف این ماژول های جدید، کاربران اندروید، iOS (دستگاه های جیلبریک شده) ،  Windows Mobile و BlackBerry است و این تنها بخشی از مجموعه بزرگتر ابزارهای شرکت Hacking Team است که لپ تاپ ها و سیستم های رومیزی را هدف قرار می دهد. ماژول های iOS و اندروید، مهاجمین را قادر می سازد تا تسلط کافی را بر روی گوشی های موبایل قربانی داشته باشد.

شکل1- فایل پیکربندی از ماژول های موبایل RCS

از قابلیت های این برنامه، برای مثال می توان به اجازه جمع آوری پنهانی ایمیل ها،SMS ها، تاریخ تماس ها و آدرس ها اشاره کرد. همچنین می توان آنها را برای لاگ کلمات تایپ شده، گرفتن  screenshot از صفحه نمایش، ضبط صدا از تلفن جهت نظارت بر تماس ها و مکالمات محیط، در دست گرفتن دوربین تلفن و نیز استفاده از GPS جهت بدست آوردن مکان کاربر استفاده نمود. نسخه اندرویدی این ماژول نیز قادر است، قابلیت Wi-Fi تلفن را طوری تغییر دهد که به جای استفاده از شبکه موبایل برای ارسال داده از شبکه های وایرلس استفاده نماید.
مدت زیادی است که که فعالیت های سازمان های مختلف قضایی و اطلاعاتی در سراسر جهان در استفاده ابزارهای Hacking Team برای جاسوسی کاربران کامپیوتر و تلفن همراه شامل مخالفین سیاسی، روزنامه نگاران و مدافعین حقوق بشر فاش شده است ولی اولین مرتبه است که ماژول هایی برای جاسوسی از کاربران تلفن همراه توسط محققین شناسایی می گردد.
Hacking Team برای اولین بار سیستم کنترل از راه دور (RCS) خود را در سال 2001 ایجاد کرد. پیش از این توسعه دهندگان برنامه آن را بصورت رایگان و open-source برای استفاده در حملات man-in-the-middle ایجاد کردند که توسط هکرها و محققین بکار می رفت. ولی بعد از مدتی پلیس میلان با دو نفر از نویسندگان آن تماس گرفت و برای استراق سمع ارتباطات Skype از آنها کمک خواست. بعد از این قضیه بود که همکاری آنها با مراجع قضایی آغاز شد.
بررسی ها نشان داده است که ابزارهای Hacking Team  از راه دور از طریق سرورهای کنترل و فرمان(C&C) که توسط سازمان های مختلف قضایی و اطلاعاتی برای مانیتورکردن اهداف مختلف مورد استفاده قرار می گیرد. کسپرسکی بیش از 350 سرور فرمان و کنترل را که به همین منظور ایجاد شده بودند در 40 کشور جهان شناسایی کرده است. محققان بیش از 64 سرور در آمریکا،49 سرور در قزاقستان، 35 سرور در اکوادور، 32 سرور در انگلستان را شناسایی کرده اند. ولی بطور قطعی مشخص نیست که ابزار Hacking Team توسط سازمان های اطلاعاتی و قانونی کدام کشورها مورد استفاده قرار می گیرد.

شکل2- نقشه نشان محل سرورهای فرمان و کنترل مورد استفاده Hacking Team

زوایای دیگر پس از آن کشف گردید که Citizen Lab از یک منبع ناشناس یک کپی از دستورالعمل کاربر که متعلق به مشتریان Hacking Team است، بدست آورد. این سند جزییات لازم برای ساختن زیرساخت های نظارتی و نیز کار با داشبورد نرم افزار برای مدیریت اطلاعات جمع آوری شده از کامپیوتر و تلفن های آلوده را نشان می دهد.

شکل3- عکسی از راهنمای کاربران نرم افزار Hacking Team که اینترفیس های مدیریت سیستم های هک شده و اطلاعات استخراج شده را نشان می دهد.

ابزارهای موبایل Hacking Team یک ماژول بسیار مهم نیز دارد که وقتی فعالیت خاصی را روی دستگاه تشخیص می دهد، شروع به فعالیت هایی مانند شنود بسته ها می کند و سپس فعالیت نرم افزارهای جاسوسی را برای جلوگیری از شناسایی شدن، متوقف می کند. در ضمن یک تابع wipe(پاک کردن) نیز وجود دارد که که امکان پاک کردن ابزار را روی سیستم های آلوده در صورت لزوم فراهم می کند. Hacking Team ادعا کرده است که آنها می توانند برنامه را حذف و تمامی ردپاها را پاک کنند، اما Citizen Lab کشف کرده است که بعد این پاکسازی روی گوشی های موبایل مواردی باقی می ماند. مثلاً در BlackBerry، این مورد موجب راه اندازی مجدد موبایل می گردد. در دستگاه های اندروید، حذف تحت شرایط خاصی است و روی صفحه از کاربر درخواست permission برای حذف برنامه DeviceInfo را می کند ولی در حقیقت ابزار جاسوسی اندروید آن را برای خودش استفاده می کند.
علاوه بر انواع اقدامات مبهم،  Hacking Team به مشتریانش توصیه کرده است که تا چندین سرور پروکسی ناشناس ایجاد کنند تا از طریق آن اطلاعات دستگاه های قربانیان را به سرقت ببرند. بدین ترتیب محققین و قربانیان دیگر به راحتی امکان پیگیری داده های سرقت شده شان را به سرورهای کنترل و فرمان نخواهند داشت.
پیوست:
MD5  نمونه های آلوده BlackBerry:
•    14b03ada92dd81d6ce57f43889810087
MD5 نمونه های آلوده iOS:
•    35c4f9f242aae60edbd1fe150bc952d5
MD5 نمونه های آلوده اندروید:
•    ff8e7f09232198d6529d9194c86c0791
•    36ab980a954b02a26d3af4378f6c04b4
•    a2a659d66e83ffe66b6d728a52130b72
•    9f06db99d2e5b27b01113f78b745ff28
•    a43ea939e883cc33fc766dd0bcac9f6a
•    a465ead1fd61afe72238306c7ed048fe
MD5 نمونه های آلوده ویندوزی:
•    bf8aba6f7640f470a8f75e9adc5b940d
•    b04ab81b9b796042c46966705cd2d201
•    1be71818a228e88918dac0a8140dbd34
•    c7268b341fd68cf334fc92269f07503a
لیست C&Cهای فعال تا 19 ژوئن(29 خرداد 93)
•    50.63.180.***
•    146.185.30.***
•    204.188.221.***
•    91.109.17.***
•    106.186.17.***
•    119.59.123.***
•    95.141.46.***
•    192.71.245.***
•    106.187.99.***
•    93.95.219.***
•    106.187.96.***
•    124.217.245.***
•    23.92.30.***
•    82.146.58.***
•    93.95.219.***
•    209.59.205.***