نشرت كاسبرسكي لاب اليوم تقريرا بحثيا جديدا يوضح خارطة البنية التحتية الدولية المستخدمة في مراقبة ما يسمى بـ"نظام التحكم عن بعد" (RCS) الخاص بالبرمجيات الخبيثة ويحدد برامج أحصنة طروادة المستهدِفة لمنصتي Android وiOS.
نشرت كاسبرسكي لاب اليوم تقريرا بحثيا جديدا يوضح خارطة البنية التحتية الدولية المستخدمة في مراقبة ما يسمى بـ"نظام التحكم عن بعد" (RCS) الخاص بالبرمجيات الخبيثة ويحدد برامج أحصنة طروادة المستهدِفة لمنصتي Android وiOS. وتعد هذه الوحدات جزءا مما يسمى بأداة التجسس "القانونية"، نظام RCS المعروف باسم Galileo الذي طورته الشركة الإيطالية Hacking Team.
وتتضمن قائمة المتضررين التي أعدتها كاسبرسكي لاب بالتعاون مع شريكتها Citizen Lab، ناشطين في مجال حقوق الإنسان إلى جانب الصحفيين والسياسيين.
البنية التحتية لنظام RCS: لقد لجأت كاسبرسكي لاب إلى عدة مناهج أمنية مختلفة لتحديد موقع خوادم الأوامر والمراقبة لـGalileo في مختلف أنحاء العالم.
خلال الدراسة الأخيرة، تمكن خبراء كاسبرسكي لاب من وضع خارطة لأكثر من 320 خادم أوامر ومراقبة في نظام RCS في أكثر من 40 بلدا. تموضعت معظم الخوادم في الولايات المتحدة، كازاخستان، أكوادور، بريطانيا وكندا.
في تعليق على ذلك، قال سيرغي غولوفانوف، الباحث الأمني المبدئي في كاسبرسكي لاب: "إن تموضع هذه الخوادم في بلد بعينه لا يعني بالضرورة أن هذه الخوادم تستخدم من قبل وكالات إنفاذ القانون لهذه البلد. إلا أنه من الأفضل لمستخدمي نظام RCS نشر خوادم الأوامر والمراقبة في المواقع التي يراقبونها - بغرض التقليل من احتمال نشوء مسائل قانونية عبر الحدود أو مصادرة الخادم".
برمجيات RCS الخبيثة للمحمول: على الرغم من أن أحصنة طروادة Hacking Team الخاصة بمنصتي iOS وAndroid كان يُعرف بوجودها، إلا أن أحدا لم يكتشفها من قبل – أو يلحظ استخدامها في الهجمات. وكان خبراء كاسبرسكي لاب قد بدؤوا إجراء بحوثهم حول برمجيات RCS الخبيثة منذ عامين. في أوائل العام الجاري تمكن خبراء كاسبرسكي لاب من التعرف على نماذج محددة من الوحدات الخاصة بالمحمول المرتبطة بإعدادات برمجيات RCS الخبيثة في مجموعتهم. خلال البحوث الأخيرة، تم استلام نسخ جديدة من النماذج من شبكة كاسبرسكي للأمان المعتمدة على الحوسبة السحابية. إضافة إلى ذلك، تعاون خبراء كاسبرسكي لاب بشكل وطيد مع السيد مورغان ماركيز- بوار من شركة Citizen Lab الذي درس برمجيات Hacking Team الخبيثة بتعمق.
متجهات الإصابة: يعمل مشغلو Galileo RCS على بناء وحدة مدمجة خبيثة لكل هدف محدد. في حال كان النموذج جاهزا، فإنه يصيب الجهاز المحمول للضحية. تتضمن بعض متجهات الإصابة المعروفة التصيد المستهدف عبر وسائل الهندسة الاجتماعية – تترافق عادة بالبرمجيات المستغلة، برمجيات يوم-الصفر؛ وإصابات محلية عبر وسائط USB خلال مزامنة الأجهزة المحمولة.
تركزت إحدى الاكتشافات الكبرى حول كيفية إصابة حصان طروادة Galileo الخاص بالمحمول لأجهزة iPhone: للقيام بذلك يجب استخدام أداة "jailbreak" على الجهاز. إلا أن أجهزة iPhone التي لم تستخدم حيالها "jailbreak" أصبحت معرضة للتهديدات أيضا: بإمكان المهاجم أن يقوم بتشغيل أداة اقتحام على غرار "Evasi0n" عبرحاسوب أصيب من قبل واستخدام "jailbreak"عن بعد فور الإصابة. لتجنب خطر الاصابة، ينصح خبراء كاسبرسكي لاب بعدم استخدام "jailbreak" وتحديث نظام iOS على جهاز حتى آخر إصدار.
التجسس القابل للتعديل: إن وحدات RCS الخاصة بالمحمول صممت بعناية لتشغيلها بطريقة حريصة، من خلال إيلاء اهتمام خاص بشحن بطارية المحمول مثلا. ويتم تنفيذ ذلك عبر خصائص تجسس معدلة أو عبر آليات إطلاق خاصة: على سبيل المثال، يتم تسجيل الصوت عند اتصال جهاز الضحية بشبكة Wi-Fi معينة، أو عند ما يقوم صاحب الجهاز بتغيير شريحة الهاتف SIM أو لدى شحن بطارية الجهاز.
إجمالا، فإن برامج حصان طروادة RCS للمحمول قادرة على القيام بوظائف عديدة مختلفة من المراقبة، بما في ذلك الإشعار بموقع الهدف، التقاط الصور، نسخ الأحداث من التقويم، تسجيل بطاقات SIM جديدة تثبت على الجهاز المصاب واعتراض الاتصالات الهاتفية والرسائل، بما فيها تلك المرسلة من تطبيقات خاصة مثل Viber، WhatsApp وSkype بالإضافة إلى الرسائل النصية العادية SMS.
التعريف: تعرف منتجات كاسبرسكي لاب أدوات التجسس RCS/DaVinci/Galileo بالشكل التالي:
Backdoor.Win32.Korablin، Backdoor.Win64.Korablin، Backdoor.Multi.Korablin، Rootkit.Win32.Korablin، Rootkit.Win64.Korablin، Rootkit.OSX.Morcut، Trojan.OSX.Morcut، Trojan.Multi.Korablin، Trojan.Win32.Agent، Trojan-Dropper.Win32.Korablin، Trojan-PSW.Win32.Agent، Trojan-Spy.AndroidOS.Mekir و Backdoor.AndroidOS.Criag.
لمعرفة المزيد يرجى قراءة المدونة على الموقع: Securelist.com
