Hacking Team踪迹再现,又要有大动静?
导语:之前未曝光过的Hacking Team臭名昭着的监视工具—远程控制系统(RCS)的样本非常流行,已被ESET在14个国家检测到。我们对样本的分析表明了Hacking Team的开发人员正在积极地继续开发该间谍软件。
从Hacking Team 到Hacked Team ,到…?
自2003年成立以来,意大利间谍软件供应商Hacking Team因向世界各地政府及其机构出售监控工具而声名狼借。
其旗舰产品远控系统(RCS)的功能包括从目标设备提取文件,拦截电子邮件和即时消息,以及远程激活设备的网络摄像头和麦克风。该公司一直因为向独裁政府出售这些功能而受到批评—这一指责一直被拒绝。
时间定格在2015年7月,Hacking Team本身遭受了破坏性攻击,并被证实了专制政权使用RCS的情况。随着400GB的内部数据—包括一度秘密的客户名单、内部通信和间谍软件源代码—在线泄露,Hacking Team被迫要求其客户暂停使用所有RCS,并面临着不确定的未来。
在黑客攻击之后,安全界一直密切关注该公司努力恢复原状。第一份报告暗示Hacking Team恢复操作是在六个月后推出的,Hacking Team的Mac间谍软件的新样本很疯狂。在被黑之后一年,一家名为Tablem Limited的公司投资带来了对Hacking Team股东结构的变更,而Tablem有限公司占据了Hacking Team 20%的股份。 Tablem Limited在塞浦路斯正式成立。然而,最近的消息表明它与沙特阿拉伯有联系。
在刚刚完成对另一种商业间谍软件产品FinFisher的研究之后,两个涉及Hacking Team的有趣事件紧密相继发生。Hacking Team显著的财务恢复报告以及我们发现的带有有效数字证书的全新RCS变体。
间谍软件依然活跃
在调查的早期阶段,来自the Citizen Lab 的朋友—他们长久以来一直跟踪Hacking Team—为我们提供了宝贵意见,从而导致发现了当前在野使用的间谍软件版本,使用了之前没有见到过的有效数字证书签名。
进一步研究之后发现了2015年被黑之后创建的更多Hacking Team间谍软件样本,与源代码泄露之前发布的变体相比,这些样本都略有修改。
这些样本是在2015年9月至2017年10月期间编译的。根据ESET遥测数据,我们认为这些日期是真实的。数据表明在这些日期的附近几天内出现了野外样本。
进一步的分析让我们得出结论:所有的样本都可以追溯到一个单一的团队,而不是孤立的不同的攻击者从Hacking Team泄漏的源代码中构建的版本。
支持这一点的是用于签名样本的数字证书序列—我们发现了相继发布的六个不同的证书。其中四个由Thawte颁发给四家不同的公司,另外两个是颁发给Valeriano Bedeschi(Hacking Team联合创始人)和一个名为Raffaele Carnacina的个人证书,如下表所示:
这些样本还伪造了Manifest元数据—用于伪装成合法应用程序,共同出现的有“Advanced SystemCare 9(9.3.0.1121)”,“Toolwiz Care 3.1.0.0”和“SlimDrivers(2.3.1.10)”。
我们的分析进一步表明,样本的作者一直在使用VMProtect,显然是为了使样本不易被发现。这在被黑前Hacking Team的间谍软件中也很常见。
单单这些样本之间的联系,只能说明几乎任何组织重新利用泄露的Hacking Team源代码或安装程序—就像Callisto Group在2016年初的情况一样。但是,我们已收集到了更多的证据,指向Hacking Team的开发者们。
在分析的样本中看到的版本(我们在攻克VMProtect保护后访问),延续了Hacking Team在被黑时所停下的,且遵循相同模式。Hacking Team习惯于连续并经常在同一天编译他们的payload—命名为Scout和Soldier,这也可以在新的样本中看到。
下表显示了2014年至2017年间Hacking Team Windows间谍软件样本的编译日期,版本和证书颁发机构。Callisto Group泄露的源代码被重新标记为红色。
此外,我们的研究已经证实,泄漏后更新中引入的更改是根据Hacking Team自己的编码风格制定的,并且常常在对代码深高熟悉的地方发生。当从泄漏的Hacking Team源代码创建新版本时,其他一些攻击者(即原始Hacking Team开发人员以外的人员)在这些地方进行更改是非常不可能的。
我们在泄漏前后样本之间发现的细微差异之一是启动文件的大小。泄漏之前,复制文件的大小以4MB填充。在泄漏后的样本中,该值为6MB——最有可能作为原始的检测规避技术。
我们发现了更多的差异,由此我们深信Hacking Team一定参与其中。但是,披露这些细节可能会干扰未来对该组织的追踪,这就是我们选择不发布它们的原因。不过,我们愿意与其他研究人员分享这些细节(如有任何疑问,请联系我们:[email protected])。
间谍软件的功能与泄露的源代码中的功能大部分重叠。到目前为止,我们的分析还没有证实发布任何重大更新,正如其在被黑之后所承诺的那样。
至于我们所分析的泄漏后样本的分布向量,至少在两起中,我们检测到伪装成PDF文档的间谍软件程序(使用多个文件扩展名)作为一个鱼叉邮件的附件。附件文件名中包含意在减少外交官收到后减少怀疑的字符串。
我们的研究让我们高度自信,除了一个明显的例外,我们所分析的泄漏后样本确实是Hacking Team开发人员何为,而不是无关的参与者重用源代码的结果,比如2016年Callisto组织的案例。
截至撰写本文时,我们的系统已经在14个国家发现了这些新的Hacking Team间谍软件样本。我们没有指出这些国家以防止基于这些检测所引发的错误归因,因为检测的地理位置不一定能揭示攻击来源。
IoCs