Viru od Hacking Teamu se jen tak nezbavíte – aneb česká policie platí sledování Čechů: I. díl

Kdyby nedošlo k hacknutí italské společnosti Hacking Team, nikdy by nevyšlo ve známost propojení Policie České republiky s touto firmou. Bylo tak zveřejněno na 400 GB dat interních dokumentů, zdrojový kódů a emailové komunikace. Veřejnost získala díky zveřejnění utajovaných dokumentů skutečný pohled na fungování firmy zabývající se internetovou špionáží, hackováním počítačů, telefonů, odposlechy a kradením hesel.

Hlavními a dá se říci jedinými zákazníky Hacking Teamu byly vlády po celém světě. Obchodní politika společnosti z Apeninského poloostrova si nedělala těžké vrásky s tím, jestli zákazníkem je vláda demokratického státu, nebo některá z diktatur. Zákazník si zaplatil a podle toho dostal to, co si koupil. Peníze koneckonců nesmrdí po krvi a už vůbec ne po utrpení utýraných lidí, jež byli následně díky produktu Hacking Teamu mučeni.  Za tento necitlivý přístup byl Hacking team kritizován po právu.

Zveřejněné dokumenty zahrnují také faktury za poskytnuté služby.Mezi plátci byli například Omán, Jižní Korea, Spojené arabské emiráty, Kazachstán, Mongolsko, Libanon, Německo, Česká republika, Saúdská Arábie, Mexiko, Brazílie, Singapur, Egypt, Vietnam….celková hodnota faktur je ve výši 4 324 350 Euro. Například Sudanská vláda si u Hacking Teamu zaplatila služby v hodnotě více jak 400 000 euro.  Represivní režim za pomoci italské společnosti špiclovala, co Súdánci dělají a na základě výsledků zatýkala, mučila a tyranizovala sledované jedince. 

Ze zveřejněných informací vyplývá, že hlavním produktem Hacking Teamu je trojský kůň RCS(Remote Control System), který bez povšimnutí oběti vnikne do počítače, kde sbírá data, hesla, nebo jakékoli informace, které jsou třeba. Takový vir si může s počítačem dělat prakticky co si zamane a dokonce se umí po vykonání služby sám smazat. Podobné je to s mobily. Tam trojský kůň umí nahrát obsah rozhovoru, obsah SMS zpráv i jednotlivých souborů uložených na SD kartách telefonního aparátu.

Nástroj je to velice účinný a velmi nebezpečný zároveň. V rukou demokratických režimů umí přispět k odhalení zločinců, pedofilních sítí, teroristů…..zároveň však může sloužit ke špiclování nepřátel režimu, novinářů, lidskoprávních aktivistů, představitelů menšin, krajně levicových i krajně pravicových radikálů……

Vlády si v režimu utajení zaplatí u Hacking Teamu licenci ke špionážnímu programu(Malwaru), s pomocí něhož je možné sledovat výše popsaným způsobem dění v telefonní a internetové síti. Praktiky špiclování odhalil světu WikiLeaks. Zveřejnil emailovou korespondenci Hacking Teamu s představiteli vlád i vládních agentur. Mezi dopisovateli a objednateli se nacházela také Česká republika.

Ashampoo_Snap_2015.07.24_04h31m57s_012_

Objednatelem je oficiálně za stát Útvar zvláštních činností Policie ČR(v tabulce jako UZC CZECH POLICE), který se ve věci nechává zastupovat technickým ředitelem pražské IT společnosti Bull s. r. o., Tomášem Hlavsou. V mailové komunikaci s Hacking Teamem dále za společnost Bull s. r. o. vystupují pánové Josef Hrabec a Janus.

Ashampoo_Snap_2015.07.24_10h20m19s_016_

Některé státy, jako třeba Itálie, Mongolsko, Kazachstán, Maroko, nebo Kolumbie stažené informace ukládají na své servery ve svých zemích. Takové Česko k lepšímu zacílení sledování používá Virtuální privátní server(VPS) na IP adresách 198.105.122.117 a 198.105.122.118.

————————————————-

Princip šíření trojského koně je následující:

Útvar speciálních operací Policie ČR si nechal upravit trojského koně podle stanovených požadavků….tedy, aby byl schopný určitého chování na předem daných doménách.

Vyrobený trojský kůň se někam na utajované místo uloží a poté stačí vybrané zájmové osobě podstrčit nějakou formou odkaz na trojského koně. V Česku k ukládání trojského koně používaly Virtuální Privátní servery, kam byli lidé kliknutím na odkaz přesunuti  

Hlavní cestou je email:

Každá emailová zpráva má v sobě uvedenou tzv. hlavičku. V té je uveden odesilatel, od kterého zpráva přišla. Tento odesilatel se dá snadno podvrhnout. Stačí uvést důvěryhodného odesilatele, například přítele a oběť emailovou zprávu otevře a na odkaz na zajímavý článek s největší pravděpodobností klikne. S kliknutím dojde k přesměrování na servery Hacking Teamu a neviditelné instalaci trojského koně, který si bude žít vlastním životem. Uživatel si ničeho nevšimne, protože trojský kůň je pro antiviry a bezpečnostní programy neviditelný. Odkaz na článek také funguje, takže ani zde si nikdo ničeho nevšimne.

Další formou šíření malwaru je ukrytí trojského koně do nitra přílohy emailové zprávy. Uživatel otevře word, obrázek, powerpointovou prezentaci, pdf soubor, excel, nebo jiný soubor a trojský kůň se tím  také nainstaluje. 

Instalace skrze “prostředníka”(NIA):

A nakonec třetí poslední možnou metodou šíření malwaru je tzv. Network Injection. V tomto případě komunikace funguje přes “prostředníka”, skrze kterého teče veškerá komunikace. Pokud se nalezne příhodná chvíle, potom se nainstaluje trojský kůň. Zveřejněné emaily na WikiLeaks dokazují, že Policie ČR takovým “prostředníkem”(NIA) disponovala. 

————————————————-

Trojský kůň RCS, jeho vávojová verze 9 používá UEFI BIOS Rootkit k nainstalování se a dostání se do počítače svého cíle útoku.  

UEFI (Unified Extensible Firmware Interface) je rozhraní mezi operačním systémem a firmwarem součástek počítače.

Ashampoo_Snap_2015.07.24_12h00m04s_004_
Zdroj: Wikipedie

“Maskuje” se, aby nebyl poznán jakýmkoli antivirem. I kdybyste poznali, že tento druh viru máte, existuje velmi malá šance na to, že se ho zbavíte. Vir neodstraníte ani tehdy, pokud si koupíte nový pevný disk. Nepomáhá přeinstalace operačního systému, protože operační systém se nachází v pomyslné hierarchii výš, než nainstalovaný vir, který je speciálně navržený pro nejpopulárnější dodavatele Biosu určeného pro notebooky – jedná se o Insyde BIOS. Nasazený ale pravděpodobně může být i na klasiku AMI BIOS.

Instalace trojského koně RCS: 

Dokumenty uveřejněné na WikiLeaks říkají, že nejlepší je instalace skrze cd, dvd nosič nebo flashku s UEFI shellem, ale je možná také výše uvedená vzdálená instalace pomocí kliknutí na odkaz.

Trojský kůň RCS se skládá ze tří modulů. Ty jsou nejdříve nakopírovány z externích zdrojů do file volume (FV) v modifikovaném UEFI BIOSu. Ntfs.mod povoluje UEFI BIOSu číst/zapisovat NTFS soubor. Rkloader.mod se později zavěsí na UEFI události a zavolá funkci škodlivého kódu při bootování systému. filedropper.mod obsahuje aktuální agenty, jejichž soubory se nazývají scout.exesoldier.exe

Hacking Teamu se podařilo skrze bezpečnostní chybu v Adobe Flash Playeru s pomocí trojského koně RCS ovládnout počítač. Ne náhodou se Josef Hrabec dotazuje Hacking Teamu, zda má na “prostředníkovi(NIA) spustit flash infekci na streamu.cz

Ashampoo_Snap_2015.07.24_06h21m43s_015_

Milánská firma Hacking Team vyhledává cesty, jak nejlépe sledovat a vytvářet produkty k pronásledování aktivistů, jež jsou zákeřným virem ohroženi nejvíce. Dnešní článek o Hacking Teamu byl věnován výkladu o funkčnosti trojského koně a obecnému výkladu o problematice. V některém z příštích článků se budeme zabývat spoluprací České republiky s Hacking Teamem.