کمیته رکن چهارم – ایست هشدار میدهد که اخیرا نمونههای جدیدی از پرچمدار جاسوسافزار شرکت Hacking Team به نام سامانه کنترل از راه دور (RCS) ظاهر شده است، که با نسخههای مشاهدهشدهی پیشین تفاوت اندکی دارند.
شرکت Hacking Team، یک فروشندهی جاسوسافزار است که در سال ۲۰۱۳ میلادی تاسیس شده است، و به عنوان فروشندهی ابزارهای نظارتی به دولتهای سراسر جهان شناخته شده است. در سال ۲۰۱۵ میلادی، به این شرکت نفوذ شد و در نتیجهی آن ۴۰۰ گیگابایت از دادههای داخلی این شرکت از جمله فهرست مشتریان، ارتباطات داخلی، و کد منبع جاسوسافزار به صورت برخط افشاء شد.
این حادثه نه تنها باعث شد که فعالیتهای شرکت Hacking Team افشاء شود و این شرکت مجبور شود از مشتریان خود بخواهد که استفاده از RCS را متوقف کنند، بلکه باعث شد که عاملان تهدید مختلف از کد افشاءشده استفاده کرده و از آن به عنوان بخشی از عملیات مخرب خود سوء استفاده کنند.
به دنبال این افشاء اطلاعاتی، شرکت Hacking Team با آیندهای نامعلوم مواجه شد، اما اولین گزارشها دربارهی فعالیت دوبارهی این شرکت پس از گذشت تنها شش ماه، با ظهور یک جاسوسافزار جدید برای مک، منتشر شد. در همین حال، یک شرکت به نام Tablem Limited که در قبرس مستقر است اما به نظر میرسد که به عربستان سعودی مرتبط است، در این شرکت سرمایهگذاری کرد.
محصول برتر شرکت Hacking Team، سامانهی کنترل از راه دور یا همان RCS، ابزاری است که تمام قابلیتهای مورد انتظار از یک درب پشتی را فراهم میکند: این ابزار قادر است پروندههای موجود در یک سامانهی هدف را استخراج کند، رایانامههای و پیامهای فوری را متوقف کند، و از راه دور وبکم و میکروفون سامانهی هدف را فعال کند.
ایست میگوید: «نمونههای جدید RCS که اخیرا شناسایی شدهاند، بین تاریخهای سپتامبر ۲۰۱۵ میلادی و اکتبر ۲۰۱۷ میلادی جمعآوری شدهاند و میتوانند به یک گروه خاص نسبت داده شوند، و نمیتوان گفت که توسط چند عامل مخرب مختلف و با بهرهبرداری از کد منبع افشاءشده توسعه داده شدهاند. علاوهبر این، این نمونهها توسط یک گواهی دیجیتالی معتبر که پیش از این مشاهده نشده بود، و توسط شرکت Thawte برای یک شرکت به نام Ziber Ltd صادر شده بود، امضاء شدهاند.»
ایست اظهار کرد: «نسخهی جدید شامل فرادادههای جعلی دربارهی پروندههای اعلان است تا خود را به عنوان یک برنامهی قانونی معرفی کند و نویسندهی آن به منظور دور زدن راهکارهای حفاظتی از مبهمساز تجاری VMProtect استفاده میکند؛ این ویژگی بین جاسوسافزار افشاءشدهی قبلی Hacking Team و این نمونهی جدید مشترک است.»
آنچه که نشان میدهد که این نمونهها توسط خود توسعهدهندگان شرکت Hacking Team ساخته شده است، نسخهبندی نمونههای جدید است چرا که از آخرین شمارهی منتشر شده توسط این شرکت قبل از نفوذ، شروع میشود و یک الگوی مشابه پیروی میکند. ایست همچنین متوجه شد تغییرات معرفیشده در بهروزرسانیهای پس از افشاء با سبک کدنویسی شرکت Hacking Team همخوانی دارد و ارتباط عمیق بین این دو را نشان میدهد.
این شرکت امنیتی میگوید: «احتمال بسیار کمی دارد که برخی از عاملان مخرب دیگر، یعنی به غیر از توسعهدهنده(های) شرکت Hacking Team، که در زمان ایجاد نسخههای جدید تغییراتی را دقیقا در این قسمتها در کد منبع افشاءشدهی Hacking Team اعمال کنند.»
پژوهشگران همچنین تفاوت کوچکی بین اندازهی پروندههای نصب کشف کردند. در نسخههای پیش از افشاء، اندازهی عملیات رونوشت پرونده ۴ مگابایت بود، در حالی که در نسخههای پس از افشاء اندازهی آن به ۶ مگابایت رسیده است.
قابلیتهای جاسوسافزار مانند قبل باقی ماندهاند، و هیچ بهروزرسانی قابلتوجهی تا به امروز منتشر نشده است، اگرچه این شرکت پس از افشاء گفت که یک محصول جدید منتشر خواهد کرد. در دو مورد مختلف، بردار توزیع مشاهدهشده یک پروندهی قابل اجرا بود که مانند یک سند PDF طراحی شده و از طریق یک رایانامهی فیشینگ هدفدار به قربانی ارسال شده است.
ایست میگوید: «تحقیق ما به ما اجازه میدهد که با اعتماد به نفس بالا ادعا کنیم که، با یک استثناء، نمونههای پس از افشاء که ما مورد تجزیه و تحلیل قرار دادیم، در واقع توسط توسعهدهندگان شرکت Hacking Team توسعه یافتهاند، و در نتیجهی سوء استفادهی عاملان مخرب دیگر از کد منبع افشاءشده ایجاد نشدهاند.»
این شرکت امنیتی ادعا میکند که در حال حاضر نمونههای جاسوسافزار جدید شرکت Hacking Team در ۱۴ کشور کشف شدهاند، اما نام این کشورها را افشاء نکرد.
منبع : news.asis.io
