Как оказалось, командная инфраструктура «легальной» шпионской программы, созданной итальянской компанией HackingTeam с целью продажи госорганам разных стран, весьма обширна и распределена по всему миру. Эксперты также впервые проанализировали мобильные компоненты Remote Control System (RCS). Отчет об исследовании, проведенном «Лабораторией Касперского» в партнерстве с Citizen Lab из университета Торонто, был на днях представлен в столице Великобритании.

Тулкит RCS, также известный как Galileo, позиционируется разработчиком как решение, для которого шифрование трафика и данных не является препятствием. Этот многоагентный инструмент скрытно устанавливается на устройство жертвы и отсылает краденую информацию на командный сервер в зашифрованном виде.

Согласно оценке, по состоянию на март 2014 года не менее 20% командной инфраструктуры RCS было размещено на ресурсах десятка американских дата-центров. Новая статистика показала впечатляющие размеры и глобальный охват этой C&C-сети, помогающей операторам осуществлять слежку за жертвами заражения, список которых включает политиков, журналистов, а также борцов за права человека и другие ценности.

На настоящий момент обнаружено 326 C&C-серверов RCS, расположенных более чем в 40 странах. Большинство их сосредоточены на территории США, Эквадора, Казахстана, Великобритании и Канады. «Наличие серверов инфраструктуры RCS в той или иной стране еще не свидетельствует о том, что местные спецслужбы причастны к использованию Galileo, — комментирует Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — Однако разумно предположить, что организации, которые работают с RCS, должны быть заинтересованы в том, чтобы их сервера располагались в местах, где у них был бы полный контроль над ними, — это позволяет нивелировать риски вмешательства правоохранительных органов других стран и изъятия серверов».

Российские и канадские исследователи также впервые представили результаты анализа мобильных модулей RCS, совместимых с Android и iOS. В пресс-релизе «Лаборатории» отмечено, что эксперты два года изучали программные компоненты RCS и, когда обнаружили мобильных троянцев, смогли установить их соответствие конфигурационному профилю RCS в коллекции вредоносных объектов, в том числе собранных Citizen Lab.

«Уже довольно давно было известно, что HackingTeam производит и вредоносные программы для мобильных телефонов, — уточняют «лаборанты». — Однако на практике такие зловреды попадались редко. В частности, троянцы для Android и iOS никогда до этого не обнаруживались и были одним из оставшихся белых пятен в этой истории». По словам экспертов, HackingTeam создала также мобильные модули для Windows Mobile и BlackBerry.

Мобильные троянцы HackingTeam предоставляют операторам широкие возможности для наблюдения. Они умеют передавать данные о местонахождении жертвы, красть информацию с зараженного устройства, вести запись с микрофона в реальном времени, осуществлять перехват нажатия клавиш, а также вызовов и SMS-сообщений, включая те, которые передаются с помощью Skype, WhatsApp или Viber, и многое другое. «Незаметно включая микрофон и регулярно делая снимки с камеры, вредоносная программа осуществляет постоянное наблюдение за целью, что на выходе оказывается гораздо эффективнее традиционной слежки», — поясняют эксперты в пресс-релизе «Лаборатории».

Исследователи также отметили, что для каждой намеченной цели формируется индивидуальный шпионский модуль. Способ его доставки описан в пресс-релизе следующим образом: «После того как образец готов, его доставляют на мобильное устройство жертвы — в некоторых случаях распространение осуществлялось с помощью методов социальной инженерии в паре с эксплойтами, использующими в том числе угрозы нулевого дня, либо с помощью локального заражения телефона во время его синхронизации с компьютером по USB».

«Мобильные модули RCS разработаны таким образом, чтобы жертва не замечала их присутствия, — в заключение предупреждают эксперты. — К примеру, особое внимание уделено потреблению энергии батареей устройства. Это достигается путем использования шпионских функций только после наступления заранее установленных событий: к примеру, звук начинает записываться лишь тогда, когда жертва подключится к определенной Wi-Fi-сети, или при смене SIM-карты, или во время подзарядки устройства».

На миниатюре представлено географическое распределение командных серверов RCS (источник: «Лаборатория Касперского»).

Категории: Аналитика, Вредоносные программы