domingo, noviembre 02, 2014

Cómo funciona el software de espionaje de Hacking Team

El periodista Gleen Greenwall ha publicado en The Intercept una serie de manuales pertenecientes a la empresa italiana Hacking Team. Esta compañía se dedica a comercializar, al igual que hace por ejemplo FinFisher, software para espionaje gubernamental. Según ellos, han vendido sus sistemas en 40 países en los 5 continentes de nuestro planeta.

Figura 1: Filtrados los manuales y guías de Hacking Tema RCS 9

Con estas guías que han sido filtradas - datadas en 2013 - puedes ver cómo funciona la herramienta para los técnicos de campo en la Guía para Técnicos, donde se explica cómo montar las operaciones, la Guía del Administrador del Sistema donde se cuenta cómo funciona el sistema completo, la Guía del Administrador de las operaciones y la Guía del Analista de la información. Además de algunos docs extra como un par de changelogs y un Informe de Invisibilidad. Material digno de analizar. Éste es un pequeño resumen de todo lo que puedes leer allí.

RCS (Remote Control System) 9

Las guías que se han filtrado hacen referencia a Remote Control System, la versión R.A.T. (Remote Administrator Tool) que comercializan como software de espionaje de objetivos para cuerpos y fuerzas de seguridad. Este sistema se bas en infectar equipos por medio de lo que llaman Network Injectors, que sirven exploits y agentes de infección a los equipos objetivos, ya sean terminales móviles o sistemas operativos. En la guía para los técnicos se puede ver cómo funciona este software.

Figura 2: El Tactical Control Center y los Network Injectors para meter el agente

El sistema RCS 9 de Hacking Team inyecta el software malicioso vía ataques de red usando puntos de acceso Rogue WiFi clonados para lanzar falsas actualizaciones en entornos de Evil Grade como hace FinFisher, ataques man in the middle comunes para inyectar descargas en navegación web, etcétera. Lo que van a enviar puede ser distinto en cada caso, desde una falsa actualización, una descarga forzada vía técnicas de phishing o un exploit que comprometa la seguridad del cliente para inyectar el agente de monitorización.

Figura 3: Configuración del agente a través de la consola de RCS

Estos agentes salieron a la palestra no hace mucho tiempo porque habían creado un mecanismo para infectar terminales iPhone a través del sistema operativo pareado. Estos agentes, cuando se conecta el terminal iOS al equipo realizan directamente el jailbreak para conseguir meter un troyano de espionaje en iOS sin la protección de codesigning de Apple.

Figura 4: Infección de iPhone haciendo jailbreak al dispositivo desde el equipo pareado

Para eludir mejor las protecciones que pudieran suponer los antivirus, el manual recomienda comprar software de firmado de código de Verisign (Symantec), Thawte o GoDaddy, lo que hace que el software de protección sea menos proclive a eliminarlos del sistema al venir firmados. Este es el truco que usó tiempo atrás Flame, que al venir firmado por Microsoft ningún antimalware se atrevía a bloquearlo.

Figura 5: Evidencias capturadas de un equipo controlado

Una vez que los objetivos están infectados, el sistema RCS funciona en primer lugar como una herramienta de recolección de evidencias con técnicas de análisis forense - al estilo de por ejemplo Oxygen Forensics -, es decir, trayéndose del dispositivo a decisión del administrador todo el contenido, o haciendo una captura selectiva por medio de elementos seleccionados o por medio de alertas. 

Figura 6: Evidencias de audio en RCS

Al igual que los R.A.T. para terminales móviles, permite capturar evidencias de todo tipo, como llamadas de teléfono en los dispositivos, sonido ambiente a través del micrófono, o realizar grabaciones con la cámara. Por supuesto, el agente reporta en todo momento lo que está pasado y funciona como una herramienta de monitorización en tiempo real que indica la ubicación exacta y los programas en ejecución en cada caso.

Figura 7: Análisis de ubicaciones de un objetivo infectado

Para los analistas del sistema, la consola es una herramienta de inteligencia en donde van a poder realizar búsquedas, establecer relaciones entre evidencias, hacer búsquedas de patrones, etcétera, como cualquier consola de búsqueda de conocimiento en datos desestructurados.

Figura 8: Análisis de relaciones con RCS de Hacking Team

Si te interesa conocer en detalle lo que se puede hacer con esta herramienta, para que sepas lo que pueden hacer esas 40 organizaciones en esos 5 continentes que lo habían comprado ya en el año 2011, puedes leerte en detalle las guías. Los documentos están disponibles para descarga en formato PDF, aunque las imágenes no se ven con muy buena calidad, en las siguientes URLs:
Recordad que este software ha tenido presencia en muchos de los incidentes que se cuentan en el informe sobre el espionaje gubernamental a disidentes y en algunos ejemplos de los incidentes de ciberespionaje entre países.

Saludos Malignos!

1 comentario: