Голованов С. Ю., вирусный эксперт ЗАО «Лаборатория Касперского».
Статья подготовлена на основе технических данных, полученных экспертами «Лаборатории Касперского» в ходе анализа вредоносных программ Korablin и Morcut. Ряд заключений сделан специалистами Лаборатории на основании данных из открытых источников, список которых приведен в заключительной части публикации. Любые вопросы по содержанию статьи можно задать на сайте «Лаборатории Касперского» securelist. com или обратиться в службу по связям с общественностью на сайте «Лаборатории Касперского» Kaspersky. com.
The article is prepared on the basis of the technical data received by the experts of «Kaspersky Lab» in the course of analysis of malicious programs Korablin and Morcut. A number of conclusions is made by the specialists of the Lab on the basis of the data received from open sources, the list of which is given at the end of the publication. Any questions with regard to the contents of the article can be posed on the site of «Kaspersky Lab» securelist. com or addressed to the service on public relations on the site of «Kaspersky Lab» Kaspersky. com.
Key words: confidential information, computer, program support, FinSpy, Bundestrojaner, Company HackingTeam newvirus@kaspersky. com.
Spyware для конфиденциальной информации правоохранительных органов.
Согласно определению на соответствующей странице Википедии, «spyware (шпионское программное обеспечение) — программное обеспечение, осуществляющее деятельность по сбору информации о конфигурации компьютера, деятельности пользователя и любой другой конфиденциальной информации без согласия самого пользователя».
Хотя в большинстве стран действуют законы, запрещающие создание и распространение вредоносных программ, в настоящее время существуют как минимум три пакета программ, созданные, как уверяют разработчики, для сбора данных о работе пользователей на компьютерах и последующей передачи этой информации правоохранительным органам.
Первой широко известной подобной программой считается «троянец» Bundestrojaner, использовавшийся немецкими правоохранительными органами для слежки в Интернете за подозреваемыми. Еще один известный шпион — FinSpy, созданный компанией Gamma International для предоставления правоохранительным органам разных стран возможности слежки за компьютерами и мобильными устройствами подозреваемых. Третьей шпионской программой является Remote Control System (RCS). Эта программа создана итальянской компанией HackingTeam с целью продажи представителям властей различных стран, и именно о ней и пойдет речь в данной статье.
HackingTeam.
Компания HackingTeam впервые привлекла наше внимание еще в 2011 г. Тогда на сайте WikiLeaks появились документы, датированные 2008 г., описывающие функционал программ-шпионов, которые компания предлагала госорганам.
В начале 2012 г. эксперты «Лаборатории Касперского» обнаружили вредоносные программы под Windows, имеющие поразительное сходство функций и с программами, описанными на WikiLeaks, и с программой Remote Control System, описание которой опубликовано на официальном сайте компании www. hackingteam. it. Однако тогда мы не догадывались о связях обнаруженных зловредов (ЛК детектирует их как Korablin) и шпионских программ от HackingTeam.
Все изменилось в июле 2012 г., когда многие антивирусные компании получили письмо с образцом вредоносного кода под Mac OS X со все тем же функционалом.
На адрес newvirus@kaspersky. com это письмо пришло 24 июля 2012 г. в 05:51:24 по московскому времени. Оно не содержало ни темы, ни какого-либо текста — только вложенный файл AdobeFlashPlayer. zip. Во вложенном файле оказался самоподписанный JAR-файл, содержащий некую программу под Mac OS X.
Заголовки электронного письма, пришедшего
на newvirus@kaspersky. com
Вскоре практически все антивирусные компании добавили детектирование новой вредоносной программы, которую каждая компания назвала по-своему — Crizis, DaVinci, Boychi и т. д. («Лаборатория Касперского» назвала ее Morcut). И почти все антивирусные компании заподозрили в создании этой программы итальянскую компанию HackingTeam, которая продает правоохранительным органам разных стран специальное ПО для слежки.
Доказательства.
Наличие схожего функционала является только одним из трех косвенных свидетельств причастности HackingTeam к анализируемым файлам. Разберем остальные два.
В служебных данных полученного Mac-файла присутствовали имена папок и модулей, которые авторы использовали во время написания программного кода. В этих именах многократно встречалось сочетание букв RCS, которое совпадает с аббревиатурой программы Remote Control System (эта аббревиатура используется HackingTeam в промоматериалах и в описании программы на сайте).
И наконец, был найден эксплойт, загружающий зловред с сайта hackigteam. it (этот эксплойт загружен на сайт Virustotal. com 4 июля 2012 г.).
Таким образом, в ходе исследований было обнаружено:
1. Совпадение функций вредоносной программы и программы, предлагаемой HackingTeam.
2. Совпадения в названиях, используемых в служебных данных исследуемых зловредов и на сайте компании HackingTeam.
3. Загрузка зловреда с сайта компании HackingTeam.
Исходя из этого можно предположить, что программы-шпионы, попавшие в руки исследователей, с большой долей вероятности были созданы итальянской компанией HackingTeam. Для удобства в дальнейшем в этой статье мы будем называть эти вредоносные программы (и под Windows, и под Mac OS X) RCS.
Кстати, все в тех же присланных по почте вредоносных файлах для Mac OS X оказались ссылки на файлы, находящиеся в папке некоего пользователя guido:
Упоминание имени пользователя «guido» в коде
вредоносной программы
Любопытное совпадение: пользователя, указавшего на сайте linkedin. com, что он работает старшим разработчиком компании HackingTeam, тоже зовут Guido.
Шпион со странностями.
В настоящее время в коллекции вредоносных программ «Лаборатории Касперского» насчитывается более 100 экземпляров RCS с практически идентичным функционалом. Как уже было сказано выше, описание этих самплов соответствует описанию программы Remote Control System на официальном сайте HackingTeam и описанию программы, созданной HackingTeam, опубликованному на сайте WikiLeaks (pdf).
Monitoring and Logging
Remote Control System can monitor and log any action performed by mrans of a personal computer:
— Web browsing;
— Opened/Closed/Deleted files
— Keystrokes (any UNICODE language)
— Printed documents
— Chat, email, instant messaging
— remote Audio Spy
— Camera snapshots
— Skype (VoLP) conversations
— …
Описание RCS, опубликованное на сайте WikiLeaks
Файлы RCS для ОС Windows написаны на языке программирования C++. Чтобы программа не привлекала внимание антивирусов, ее создатели практически не использовали методы защиты от анализа, а это характерно для программ, используемых при проведении целевых атак.
Весь функционал RCS можно увидеть в начале исполняемых файлов при инициализации объектов.
Инициализация объектов RCS
Из функционала следует, что RCS является самораспространяющейся вредоносной программой, предназначенной для кражи личных данных и предоставления удаленного доступа к зараженной системе.
Для выполнения шпионских функций программа использует копирование данных для доступа к учетным записям и перехват сообщений из браузеров (Firefox, InternetExplorer, Chrome, Opera), почтовых клиентов (Outlook, WindowsMail, Thunderbird) и средств обмена сообщениями (Yahoo, MSmessengers, GoogleTalk, Skype, Paltalk, Thrillian). Она также умеет записывать звуки с микрофона и писать видео с камеры и рабочего стола.
Однако у RCS есть функции, которые, на мой взгляд, для шпионской программы избыточны. Анализ команд, приходящих с сервера управления RCS, позволяет выявить самые значимые из них. По команде с сервера управления RCS может активировать следующий функционал:
1. Механизм самораспространения через USB-флэшки:
1) использование стандартного механизма Autorun. inf (аналогично большинству червей, детектируемых ЛК как Worm. Win32.AutoRun);
2) использование фальшивой записи Open folder to view files (популярный метод, использующийся для самораспространения червей, в частности, червя Kido/Confiker);
3) использование уязвимости CVE-2010-2568 (ее использовал Stuxnet при самораспространении через LNK-файлы).
2. Заражение виртуальных машин Vmware с самокопированием в папку автозапуска виртуального диска.
3. Заражение мобильных устройств BlackBerry и Windows CE.
4. Механизм самообновления.
5. Использование алгоритма шифрования AES для работы с файлами и серверами управления.
6. Установка драйверов.
Подчеркнем, что в RCS нет никакого механизма достоверного копирования содержимого файловой системы или снятия содержимого оперативной памяти. Как следствие, результаты выполнения произвольного кода в системе (самообновление и установка драйверов) не позволяют однозначно утверждать, что, например, противоправный контент, находящийся на компьютере подозреваемого, был загружен туда именно подозреваемым, а не оператором RCS. Я считаю, что данная программа не может использоваться для сбора информации, которую предполагается предъявить в качестве доказательства совершения противоправных действий.
Можно сказать, что данная программа имеет довольно странный функционал: она делает то, чего делать не должна, и не делает того, что должна делать программа, собирающая информацию для судебно-технической экспертизы.
Распространение.
RCS присутствует на зараженных компьютерах в виде нескольких файлов со случайными именами и одной активной динамической библиотеки, для установки которой требуются дополнительные вредоносные программы. В ходе анализа мы обнаружили дропперы и даунлоадеры, используемые для установки RCS.
Пример файлов, созданных программой-установщиком
После публикации на WikiLeaks я полагал, что с учетом возможностей правоохранительных органов в различных странах распространение RCS осуществляется через подмену запрашиваемых исполняемых файлов на уровне интернет-провайдеров.
Однако самоподписанный JAR-файл, полученный в электронном письме в июле 2012 г., показал, что для распространения RCS могут использоваться и методы социальной инженерии.
Пример самоподписанного JAVA-апплета, устанавливающего
RCS на компьютер пользователя
Атака при этом выглядит следующим образом. Пользователь получает на свой адрес электронной почты письмо, содержащее или ссылку на файл, или сам файл. Содержимое письма рассчитано на то, что получатель откроет файл (или пройдет по ссылке).
Нам также удалось установить, что по электронной почте могут распространяться дропперы и даунлоадеры, устанавливающие RCS. Вредоносные файлы с различными именами имеют расширения RAR, ZIP и EXE.
— PPT. rar;
— FlashUpdate. exe;
— Setup. exe;
— Crack. exe;
— Photos. zip;
— GoogleUpdate. rar;
— Microsoft. exe;
— Install. rar;
— Wrar. exe;
— Important. rar.
Список файлов, содержащих программу установки RCS
Кроме того, анализируя файлы, осуществляющие загрузку RCS, мы обнаружили ранее неизвестную уязвимость, впоследствии получившую номер CVE-2013-0633. Способ использования этой уязвимости оказался классическим для целевой атаки: пользователь получает электронное письмо с вложенным документом Word, который содержит 0-day эксплойт, в данном случае для Flash (этот эксплойт описан Adobe, например, здесь).
Содержимое Word-документа, открывающегося после
срабатывания эксплойта CVE-2013-0633 и устанавливающего RCS
Эксплойты.
Активный поиск эксплойтов, устанавливающих RCS на компьютеры пользователей, начался после публикации лабораторией Citizen Lab в октябре 2012 г. статьи, в которой было описано использование эксплойта к уязвимости CVE-2010-3333 для заражения компьютера правозащитника в ОАЭ программой RCS. На текущий момент список уязвимостей, используемых обнаруженными эксплойтами, выглядит так:
— CVE-2010-3333;
— CVE-2012-1682;
— CVE-2012-4167;
— CVE-2012-5054;
— CVE-2013-0633.
При этом следует отметить, что четыре уязвимости из представленного списка в течение нескольких месяцев оставались неизвестными. Соответственно, все это время эксплойты к этим неизвестным уязвимостям могли беспрепятственно проникать практически на любой компьютер.
В настоящее время существуют еще несколько уязвимостей, которые, как мы полагаем, могут использоваться для установки RCS. Однако серверы, с которых с помощью эксплойтов производится скрытая загрузка исполняемых файлов, работают в течение непродолжительного времени, и доказать, что эти эксплойты устанавливают именно RCS, пока не представляется возможным.
Нам удалось подтвердить загрузку RCS со следующих адресов:
106.187.**.51 2.228.65.***
112.***.65.110 50.7.***.220
173.255.215.** 50.116.***.11
Update*******.info 17******.com
176.**.100.37 56****.members. linode. com
176.74.1**.119 76***.33.13
178.**.166.117 A*****.com
178.**.176.69 A***.com
183.98.1**.152 ****b.5gbfree. com
184.107.2**.78 li56*****.members. linode. com
Fira******.com *****update. selfip. com
187.***.43.35 Clos*****.com
198.58.**.113 Fad****.com
200.67.***.2 wiki-****.com
Tmx****.com wiki-*****.info
200.**.245.36
Морган Марки-Буар (Morgan Marquis-Boire) все в той же публикации Citizen Lab. предположил, что при распространении продуктов HackingTeam используются эксплойты французской компании Vupen. Эта компания специализируется на поиске уязвимостей в популярном программном обеспечении и на продаже готовых эксплойтов правительствам разных стран. Однако до сих пор неизвестно, продаются ли эксплойты Vupen вместе с программами HackingTeam или клиенты обеих компаний сами компонуют эти программы и используют их для слежки за подозреваемыми.
Специфика исполнения.
Анализируя специфические функции работы RCS, мы выяснили некоторые формальные критерии, позволяющие определить принадлежность того или иного файла к продуктам HackingTeam и к RCS в частности.
1. Использование отладочных механизмов во время исполнения программы. Во время исполнения программа может проверять свой PID и выводить сообщения о своей работе.
Пример проверки PID при первоначальной установке RCS.
2. Использование шифрованных AES POST запросов с фиксированным User-Agent’ом «Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0».
3. Использование подписи исполняемых файлов для обхода систем защиты, установленных на компьютерах пользователей.
Пример 1: подпись компонента RCS.
Пример 2: подписи компонентов RCS.
Пример 3: подписи компонентов RCS.
Подписи компонентов RCS, приведенные в примерах 1 и 2, выданы на физических лиц. В последнем примере, в отличие от первых двух, сертификат выдан на имя некой организации. Название этой организации — OPM Security Corporation.
OPM Security.
Компания OPM Security зарегистрирована в Панаме, и на ее сайте (www. opmsecurity. com) можно обнаружить, что OPM Security, помимо всего прочего, предлагает программный продукт под названием Power Spy, описание которого полностью повторяет описание RCS от HackingTeam.
Описание программы Power Spy на сайте OPM Security http://www. opmsecurity. com/security-tools/spying-on-on-your-husband-wife-children-or-employees. html.
Это дает основание полагать, что компания OPM Security, возможно, продает либо какую-то старую либо пиратскую версию RCS. Причем продает уже любому желающему всего за 200 евро, хотя средняя цена от HackingTeam, по некоторым данным, составляет в среднем 600 000 евро.
Также следует отметить, что OPM Security является частью корпорации OPM Corporation, которая предлагает услуги по регистрации компании в офшорах, получению второго паспорта и т. п.
Welcome to Tax Haven’s official website. This is the only place on the web where you will not only find products, but also information, acts, and articles to help you better understand the tax planning world and offshore companies, tax havens, offshore banking, Panama real estate, tax planning, Panama companies. Delaware companies. Seychelles companies. Cyprus companies, gambling license, Swiss banks, offshore residence, Swiss bank accounts, offshore bank accounts. Use the Search to find information and products. Please remember: only a lawyer can offer you attorney client privilege and you should not from an offshore company with a non-lawyer formation agent.
(C) 1992 — 2012 OPM CORPORATION — All Rights
Reserved — RSS — OPM Vop-Developed by Optimizacion SEO.
Описание поля деятельности кампании OPM Corporation,
опубликованное на сайте www. taxhavens. us
Статистика заражений.
Ниже представлена карта, построенная на основе данных KSN о количестве попыток установки компонентов RCS на компьютерах пользователей в разных странах с начала 2012 г.
Поскольку RCS имеет многомодульную структуру, при построении данной карты суммировались данные о детектировании следующих вредоносных программ (имена по классификации «Лаборатории Касперского»):
— Backdoor. OSX. Morcut;
— Rootkit. OSX. Morcut;
— Trojan. OSX. Morcut;
— Backdoor. Win32.Korablin;
— Backdoor. Win64.Korablin;
— Rootkit. Win32.Korablin;
— Rootkit. Win64.Korablin;
— Trojan. Multi. Korablin;
— Trojan-Dropper. Win32.Korablin;
— Trojan-PSW. Win32.Agent. acnn.
Если пользователь несколько раз подвергался атаке, то данные по количеству детектирований суммировались.
Подчеркнем, что мы располагаем информацией о попытках заражения компьютеров только пользователей «Лаборатории Касперского», и только тех из них, кто добровольно подтвердил свое участие в KSN. Учитывая специфику и точечный характер атак RCS, таких пользователей не может быть много.
Оценить заинтересованность атакующих можно, сравнив число попыток заражения, которые пришлись на один атакованный компьютер в каждой стране. Отметим, что по этому показателю лидируют Таджикистан и Индия — при том, что в каждой из стран был атакован всего 1 компьютер, на него весьма настойчиво пытались установить RCS-21 и 20 нотификаций соответственно.
Весьма активно используется RCS в Мексике, где на каждого из 11 атакованных компьютеров пришлось 14,5 попытки заражения. Больше всего атакованных пользователей в Италии — 19: на каждого из них приходится 6,5 отраженной атаки.
Страна Количество Количество Число атак
уникальных атак на одного
пользователей пользователя
Мексика 11 159 14,5
Италия 19 123 6,5
Вьетнам 10 88 8,8
Объединенные 9 77 8,6
Арабские Эмираты
Ирак 5 42 8,4
Ливан 2 29 14,5
Марокко 4 27 6,8
Панама 4 23 5,8
Таджикистан 1 21 21,0
Индия 1 20 20
Иран 2 19 9,5
Саудовская Аравия 3 19 6,3
Республика Корея 5 18 3,6
Испания 4 18 4,5
Польша 6 16 2,7
Турция 5 12 2,4
Аргентина 2 12 6,0
Канада 1 8 8,0
Мали 1 8 8,0
Оман 1 8 8,0
Китай 3 8 2,7
США 4 6 1,5
Казахстан 2 5 2,5
Египет 1 5 5,0
Украина 1 5 5,0
Узбекистан 1 5 5,0
Колумбия 1 4 4,0
Тайвань 3 4 1,3
Бразилия 2 4 2,0
Россия 2 4 2,0
Киргизия 2 3 1,5
Великобритания 1 3 3,0
Бахрейн 1 2 2,0
Эфиопия 1 1 1,0
Индонезия 1 1 1,0
Германия 1 1 1,0
Ливия 1 1 1,0
Активность попыток установки RCS на компьютерах
пользователей ЛК в разных странах мира,
январь 2012 г. — февраль 2013 г.
При этом чуть менее 10 инцидентов было зафиксировано на рабочих станциях в правительственных учреждениях, промышленных компаниях, адвокатских конторах и СМИ.
Заключение.
За последние годы в мире произошли значительные изменения, о которых пользователи узнали не так давно: были обнаружены программы, которые использовались как кибероружие и как средства кибершпионажа.
Появились также частные компании, которые, согласно информации на их официальных сайтах, разрабатывают и предлагают правоохранительным органам программы для сбора информации с компьютеров пользователей. Страны, у которых нет соответствующих технических возможностей, могут покупать программы с подобным функционалом у частных компаний. Несмотря на наличие в большинстве стран законов, запрещающих создание и распространение вредоносных программ, программы-шпионы предлагаются практически без какой-либо маскировки их функций.
Пока таких компаний мало и конкуренции на этом рынке почти нет, что создает благоприятные условия для появления новых игроков и начала технологической гонки между ними. При этом компании, по нашим данным, не несут ответственности за дальнейшую судьбу созданных ими программ, которые могут использоваться для слежки, в межгосударственном шпионаже либо с традиционной для обычного киберкриминала целью обогащения.
Ситуация осложняется возможностью появления подобных программ и на открытом рынке, где их могут перепродавать, например, подставные компании — кому и когда угодно.
2. Статья о расследовании RCS, проведенного лабораторией CitizenLab https://citizenlab. org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/.
3. Описание работы компании Vupen http://www. vupen. com/english/company. php.
4. Запись в блоге Adobe об обнаружении неизвестной уязвимости http://blogs. adobe. com/psirt/2013/02/security-updates-available-for-adobe-flash-player-apsb13-04.html.
5. Документы HackingTeam, опубликованные на сайте WikiLeaks http://wikileaks. org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM. pdf.
6. Описание программы PowerSpy от компании OPM Security http://www. opmsecurity. com/security-tools/spying-on-on-your-husband-wife-children-or-employees. html.
