„Kaspersky Lab“ paskelbė ataskaitą, kurioje pateikti masinės globalios infrastruktūros tyrimo rezultatai. Ši infrastruktūra naudojama kontroliuoti kenkėjiškus modulius, įeinančius į „Remote Control Systems“ (RCS) – vadinamąjį „teisėtą“ sekimo instrumentą, sukurtą Italijos bendrovės „HackingTeam“. Ataskaitoje taip pat pateikiama informacija apie pirmą kartą aptiktus mobiliuosius „Trojos“ virusus, kurie taikomi „Android“ ir „iOS“ įrenginiams. Šie moduliai yra RCS infrastruktūros, taip pat žinomos kaip „Galileo“, dalis.
„Kaspersky Lab“ kartu su „Citizen Lab“ atlikto tyrimo metu buvo nustatyta, kad į aukų sąrašą įeina aktyvistai, kovotojai už žmogaus teises, žurnalistai ir politikai.
„Kaspersky Lab“ ekspertai, siekdami aptikti valdančius „Galileo“ serverius, taikė įvairius metodus. Pavyzdžiui, specialistai naudojo ypatingus indikatorius ir reversinės inžinerijos metodu gaunamus duomenis, kuriais programa keičiasi su serveriais. Pavyko nustatyti daugiau nei 320 serverių, valdančių RCS infrastruktūrą daugiau nei 40-yje šalių, vietas. Daugiausia serverių buvo aptikta JAV, Kazachstane, Ekvadore, Didžiojoje Britanijoje ir Kanadoje.
„RCS infrastruktūros serveriai vienoje ar kitoje šalyje dar nereiškia, kad vietinės specialiosios tarnybos gali būti siejamos su „Galileo“ taikymu. Tačiau logiška, kad organizacijos, dirbančios su RCS, turi būti suinteresuotos, jog jų serveriai būtų tose vietose, kur jos turėtų visišką kontrolę, nes tai leidžia sumažinti kitų šalių teisėsaugos institucijų įsibrovimo ir serverių užgrobimo riziką“, – tyrimo rezultatus komentuoja Sergejus Golovanovas, „Kaspersky Lab“ vyriausiasis antivirusų ekspertas.
Anksčiau buvo žinoma apie mobiliuosius „Trojos“ virusus „Android“ ir „iOS“ platformoms, egzistuojančius tarp „Hacking Team“ instrumentų, tačiau iki šios dienos niekam nepavyko jų tiksliai identifikuoti arba aptikti atakų vykdymo metu. „Kaspersky Lab“ ekspertai pastaruosius dvejus metus tyrė RCS programinius komponentus ir pagaliau jiems pavyko aptikti mobiliųjų modulių pavyzdžių, kurie atitiko RCS konfigūracijos profilį kenkėjiškų objektų kolekcijoje. Nauji pavyzdžių variantai taip pat buvo gauti taikant debesų infrastruktūrą „Kaspersky Security Network“. „HackingTeam“ kenkėjiškų instrumentų rinkinio tyrimas buvo sėkmingas glaudžiai bendradarbiaujant su Morganu Marquisas-Boire iš „Citizen Lab“.
RCS operatoriai formuoja individualius kenkėjiškus modulius kiekvienam pasirinktam tikslui. Po to, kai pavyzdys paruoštas, jis nukreipiamas į aukos įrenginį – kai kuriais atvejais platinimas vyko taikant socialinės inžinerijos metodus kartu su eksploitais, naudojančiais nulinės dienos pažeidžiamas vietas, arba lokaliai užkrečiant telefoną jo sinchronizavimo su kompiuteriu per atminties nešyklę metu. Verta atkreipti dėmesį į tai, kaip meistriškai mobilusis „Trojos“ virusas „Galileo“ užkrečia „iPhone“.
Kad įsiskverbimas įvyktų sėkmingai, telefone turi būti atlikta vadinamoji „jailbreak“ procedūra. Tačiau netgi gamykliniai „iOS“ telefonai gali būti užkrėsti atminties nešyklės prijungimo metu. Iš jau užkrėsto kompiuterio nuotoliniu būdu gali būti paleista „jailbreak“ procedūra taikant „Evasi0n“ programinį rinkinį. Ir jau po to įvyksta mobiliojo įrenginio užkrėtimas.
RCS mobilieji moduliai sukurti taip, kad auka jų nepastebėtų – pavyzdžiui, ypatingas dėmesys skiriamas įrenginio baterijos energijos naudojimui. Tai pasiekiama naudojant šnipinėjimo funkcijas iš anksto numatytose situacijose, pavyzdžiui, garsas pradeda įsirašyti tik tada, kai auka prisijungia prie tam tikro „Wi-Fi“ tinklo, arba keičiant SIM kortelę, taip pat įrenginio įkrovimo metu. Iš esmės šie mobilieji „Trojos“ virusai turi plačias galimybes atlikti įvairias stebėjimo funkcijas, įskaitant aukos buvimo vietos duomenų perdavimą, nuotraukų kūrimą, duomenų apie susitikimus iš kalendoriaus kopijavimą, naujų į telefoną įdedamų SIM kortelių registravimą, taip pat skambučių ir pranešimų perėmimą, įskaitant tuos, kurie perduodami populiarių pranešimo sistemų „Viber“, „WhatsApp“ ir „Skype“.
