标签: 间谍软件

监控界神秘巨星「 Gray Heron 」:专为各国执法部门提供高级间谍产品,幕后掌控疑涉沙特政府

据外媒报道,一家名为 Grey Heron 的神秘监控公司正在宣传其间谍软件,声称能够监视 Signal 和 Telegram 通信。根据 Motherboard 进行的一项调查显示,该公司与意大利监控公司 Hacking Team 应该具有某种联系,因为背后有与沙特政府相关的投资者支撑,目前 Hacking Team 仍在继续售卖其间谍软件。 监视软件的开发和销售是一项有利可图的业务,许多政府机构都将间谍软件用于不同的目的。因此为了更加清楚地掌握 Grey Heron 与这些机构间的关系 ,Motherboard 展开了深入调查。 Motherboard 从一份 Grey Heron 的宣传册获知,Grey Herond 的使命是为执法部门提供有力工具来平衡犯罪分子的能力。这本宣传册包含了一张 Eric Rabe 的名片、Grey Heron 的营销和沟通方式。 Grey Heron 背后势力 值得注意的是,Rabe 是意大利监控公司 Hacking Team 的长期发言人。Hacking Team 是一家向其他国家政府(例如苏丹、埃塞俄比亚、沙特阿拉伯和巴林等)出售间谍产品的监控公司。 根据 Motherboard 调查,目前Hacking Team 黑客团队仍然活跃,这在一定程度上要归功于一个与沙特政府有关联的投资者。 Private Eye 在最近的一份报告中也透露了 Grey Heron 总部设在米兰,并简要地提及了 Grey Heron 与 Rabe 的关系。除此之外,Private Eye 还认为 Grey Heron  可能与英国另一家同名公司(该公司由一位前英国军官管理)具有一些联系。   Gray Heron 间谍能力 在宣传册中,Gray Heron 承诺解决与其他恶意软件供应商指出的相同问题,比如易于使用的加密技术激增。那么为了应对这些问题, Gray Heron 要如何部署其间谍软件呢? 一般情况下,Gray Heron 是采用了多种不同的方式来部署,其中包括通过漏洞远程利用或社交工程攻击来欺骗目标对象下载软件。该公司为 Android 和 iOS 设备以及 OS X 和 Windows 计算机提供功能。 Gray Heron 可以收集来自 Signal 和 Telegram 的数据。虽然如何从 Signal 中提取信息还尚不清楚,但是在营销材料中特别提及 Signal 的恶意软件公司并不常见。除此之外,Grey Heron 还透露他们将 Skype 和加密电子邮件作为目标对象。 Gray Heron 对欧洲和北美市场都非常感兴趣,并且 Gray Heron 已私下证实,意大利政府已经允许其在整个欧盟范围内出口其产品。 Motherboard 记者发布的分析文章: 《 Government Malware Company ‘Grey Heron’ Advertises Signal, Telegram Spyware 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

间谍软件日志暴露了埃塞俄比亚一场国家级监控阴谋?

据外媒 11 月 6 日报道,埃塞俄比亚政府近日被发现购买了以色列 Cyberbit 公司的间谍软件用于监视居住在国内外持不同政见的人群。但因政府执行人员在配置 C&C 服务器时出现严重问题导致一份间谍软件的日志文件泄露,从而暴露了埃塞俄比亚政府的监视活动及所有监控目标。 调查显示,这个秘密监视行动似乎从去年开始,由包含各种网站链接的鱼叉式网络钓鱼邮件组成。在 2016 年和 2017 年,加拿大、美国、德国、挪威、英国和其他许多国家的人们陆续收到可疑邮件,而这并非普通的垃圾邮件,这些邮件主要通过恶意链接引诱用户下载一个虚假的 Adobe Flash Player 更新或者一个名为 Adobe PdfWriter 的应用程序查看视频或 PDF 文件。如果点击,那么他们的互联网连接就会被劫持并偷偷地重定向至目标服务器,这些服务器装有 Cyberbit 公司设计的监控软件,而购买了 Cyberbit 公司监控软件的机构能够监视目标在设备上的一举一动,还可以远程激活摄像头和麦克风。 这些攻击中使用的恶意软件是一个名为 PC Surveillance System ( PSS ) 的 Windows 程序,由 Cyberbit 出售,并且 Cyberbit 有意将 PSS 作为合法的监控软件销售给全球的情报与执法机构。据悉,Cyberbit 是 Elbit Systems 的子公司,目前还有其他三家“安全”公司加入了 Elbit Systems,分别是 HackingTeam(产品:RCS – 远程控制系统),Gamma 集团(产品:FinSpy)和 NSO 集团(多个产品),这些公司的产品都是作为专制政权的首选网络工具。 然而当地政府在发起鱼叉式钓鱼活动中犯了严重错误,一些收件人把可疑邮件转发给了加拿大公民实验室( Citizen Lab) 。而在此次事件中,埃塞俄比亚政府特工犯的最大错误在于对参与调查的 Citizen Lab 研究人员产生矛盾和进行攻击,这使得 Citizen Lab 团队对这些攻击更感兴趣,由此深入调查最终发现,假冒 Flash Player 和 PdfWriter 应用程序的恶意软件正在与一个在线暴露了 web 文件夹的 C&C 服务器进行通信。 在这些网络文件夹中,Citizen Lab 团队发现了他们需要了解的一切,包括含有攻击者 IP 地址的日志,以及埃塞俄比亚政府试图感染和监视的详细目标。值得注意的是,通过分析网络间谍活动的指挥和控制服务器,Citizen Lab 团队还监控到 Cyberbit 员工在感染笔记本电脑的情况下访问这些服务器,显然是向潜在客户展示 Cyberbit 的产品。据统计,Cyberbit 的这些客户包括泰国皇家军队、乌兹别克斯坦国家安全局、赞比亚金融情报中心和菲律宾总统马拉坎南宫。 Citizen Lab 团队发现,埃塞俄比亚政府使用的监控软件不仅影响了当地用户,还感染了许多生活在埃塞俄比亚的侨民 。对此 Citizen Lab 团队发布紧急通知提醒包括记者、活动人士和参与最近在埃塞俄比亚奥罗米亚地区发生的抗议活动的持有不同政见的人群,以及来自邻国厄立特里亚的政府官员提高警惕。 当然,这些公司坚持他们出售给政府的间谍软件是专门用来打击和调查犯罪人群的。 但问题是,通常情况下记者、学者或非政府组织试图揭露某些政府行为时,很容易会被贴上罪犯或恐怖分子的标签。且据研究表明,即使这些人群居住在国外,也很容易受到国家监视。据 Citizen Lab 研究人员称,这并非埃塞俄比亚政府第一次购买监控软件,埃塞俄比亚国家官员是 HackingTeam 和 Gamma 集团的忠实客户,在过去几年都部署了他们的产品。此外,在 Citizen Lab 调查人员的接触下,Cyberbit 管理层试图推脱了所有责任,并对外声称他们只是一个供应商,只向政府机关和执法机构提供 PSS,负责确保他们合法授权使用产品,并不实际操作任何产品。 研究人员表示,商业间谍软件行业已成为当今最危险的网络安全问题之一,也正是因为有像 Cyberbit 这样对客户实际行为视而不见、纵容间谍软件滥用导致严重后果的“安全公司”。想要解决这个问题的话需要司法机构、以及政府、民间社会和私营部门的共同努力。如果国际社会不迅速采取行动,那么将会有越来越多的记者、维权人士、律师甚至连一些国家本身的权利都不能受到保障。 相关阅读: 完整的公民实验室(Citizen Lab )分析报告可在这里找到。 消息来源:Bleeping Computer,编译:榆榆,校对:青楚、FOX,终审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

手机 App 被印度质疑为间谍软件,小米和 UC 回应

在印度内务部禁止印度军事人员安装一系列中国手机应用软件之后,小米和 UC 公司对此作出了回应。小米公司宣称公司已经针对这一事件展开了调查,UC 则声称不会做出任何破坏用户信任的行为。 小米公司发言人称:“在小米公司内,我们非常严肃认真的对待安全和隐私问题。我们全球的电子商务平台和国际用户的数据都位于加利福尼亚和新加坡的亚马逊 AWS 数据中心。我们目前正在对这一报告进行审查,而且希望让米粉们放心,我们一直致力于安全的储存和传递用户数据。” UC 同样做出回应称:“最近关于印度军人卸载许多手机应用的媒体报道让我们感到委屈和痛苦。在 UC 公司内,我们非常重视安全和隐私问题,而且努力遵守每个运行区域的当地法规,当然包含印度在内。我们也非常自豪于能够为印度和数百万印度用户提供长期的承诺。UC 浏览器和 UC 新闻并非像报告中宣称的那样,它们既不是间谍软件也不是恶意软件。” 周早些时候有媒体报道称,印度情报机构要求安全部队不要使用由中国研发或者与中国相关的手机应用,并且声称它们有可能是间谍软件。 被印度情报机构列入黑名单的应用包括 Truecaller(真实来电)、UC 浏览器、微信以及小米手机上的诸多本土 App,比如说小米社区、小米商店和小米视频通话等。这些 App 被怀疑是间谍软件。 稿源:cnBeta,封面源自网络;

全球各领事馆与大使馆或遭新型恶意软件 Gazer 监控,疑似俄 APT 组织 Turla 所为

据外媒 8 月 30 日报道,网络安全公司 ESET 研究人员近期发现了一项针对全球各领事馆部委与大使馆的新型后门恶意软件 Gazer 监控,疑似与俄罗斯 APT 组织 Turla 有关。 Turla 是俄罗斯网络间谍组织之一,又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态,其主要针对欧洲外交部等政府机构与军工企业展开攻击活动。历史上的典型受害目标有瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。 此次调查显示,恶意软件 Gazer 由开发人员采用 C ++ 程序编写,经鱼叉式钓鱼攻击进行传播,可由攻击者通过 C&C 服务器远程接收加密指令,并可使用受损合法网站( 多数使用 WordPress )作为代理规避安全软件检测。研究人员表示,该后门的使用最早可追溯至 2016 年,且整体组件与 Turla 开发的 Carbon 与 Kazuar 后门存在相似之处。此外,Gazer 后门还使用代码注入技术控制受损设备并长期隐藏自身,以便窃取用户更多敏感信息。 恶意软件使用的 “ Solid Loop Ltd ” 有效证书 目前,研究人员已证实 Gazer 后门恶意软件存在四种不同变种,欧洲地区政府机构受影响情况最为严重。有趣的是,不仅早期版本的 Gazer 签发了 Comodo 颁发的 “ Solid Loop Ltd ” 有效证书,而最新版本也签发了 “ Ultimate Computer Support Ltd. ” 颁发的 SSL 证书。对此,研究人员建议系统管理员启用全方位检测与预防系统,禁用过时的协议与端口、主动监控网络流量与部署安全机制。 相关链接: ○ ESET 研究报告《Gazing at Gazer : Turla’s new second stage backdoor》 ○ 卡巴斯基有关 Gazer 后门的细节报告 历史资讯: ○ 俄间谍组织 Turla 持续开发 Carbon 后门新变种 ○ 俄网络间谍组织 Turla 使用新 JavaScript 恶意软件针对欧洲外交部 原作者:Danny Palmer,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

流行开源项目被企业接手,插入广告和间谍软件

创业公司 Kite 悄悄接手多个流行开源项目,然后在代码中插入广告和间谍软件。据悉,这家创业公司由 Adam Smith 创办,其雇佣了流行 Atom 编辑器扩展 Minimap 的作者 @abe33(真名叫 Cédric Néhémie)。 Minimap 的下载量超过 350 万,在被 Kite 雇佣后,@abe33 更新程序并添加了新功能,通过观察用户代码然后插入 Kite 的网页链接。Kite 声称这是一项有用的功能,但程序员认为这是不相关服务的广告。Minimap 的情况并非唯一。 此外,Kite 还被发现接管并更新了另一个下载量接近一百万的开源项目 autocomplete-python,社区开发者仔细检查了新版 autocomplete-python 的源代码,发现它默认启用了 Kite 的引擎,Kite 的引擎要求代码使用 Kite 的云服务处理,这意味着需要将数据发送给 Kite。 稿源:solidot奇客,封面源自网络

Google 揭安卓间谍软件 Chrysaor 隐藏三年终被发现

安全公司 Lookout 与 Google 专家 4 日透露,安卓间谍软件 Chrysaor 感染移动设备逾三年终被发现。专家表示,Chrysaor 主要通过著名的安卓生根漏洞(称为 Framaroot) 感染移动设备并全面控制系统应用。 据悉,Chrysaor 是最为复杂的移动间谍软件之一,由以色列监视公司 NSO Group Technologies 开发。目前,安全专家已确定不到三十台安卓设备受到该间谍软件的攻击。调查表明,尽管间谍软件 Chrysaor 将以色列锁定为主要攻击目标,但格鲁吉亚、土耳其、墨西哥、阿联酋等国家也纷纷受到影响。 间谍软件 Chrysaor 主要实现功能: 从 Gmail、WhatsApp、Facebook、Twitter 等流行应用中窃取数据 基于 SMS 的命令远程控制设备 录制直播音频和视频 键盘记录和捕获截图 禁用系统更新以防止漏洞修补 监视联系人、短信、电子邮件和浏览器历史记录 自毁逃避检测 安全专家表示,虽然这些应用程序从未在 Google Play 中使用,但他们已经联系潜在受影响的用户禁用感染设备中的应用程序,并及时更改验证应用程序以确保用户系统的安全。 该间谍软件具有明显的自我毁灭能力,因此无法分析其攻击性能。事实上,早在 2014 年 NSO 科技公司就已在安卓操作系统中发现这一零日漏洞,并实施利用最新版本的恶意软件 Chrysaor 代码感染移动设备。 原作者:Pierluigi Paganini, 译者:青楚,审核:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

以色列国防军遭“色诱”感染间谍软件 ViperRAT,泄露敏感信息

据 Lookout 和 卡巴斯基报道,一群高度复杂的由国家支持的黑客正在使用 Android 恶意软件 ViperRAT 对以色列军队进行间谍攻击,窃取士兵手机资料并监控日常活动。 目前已知 100 多名使用三星、HTC、LG 和华为等品牌手机的以色列国防军士兵设备感染了间谍软件,并远程泄漏了高价值的数据,包括照片和音频录音。 攻击策略:美人计 间谍组织冒充来自加拿大、德国和瑞士等不同国家且具有魅力的女性与士兵进行 Facebook 通信。之后,美女以各种手段诱骗士兵下载恶意软件,如 SR Chat 和 YeeCall Pro 此类的聊天软件,以及台球游戏、歌曲播放器等娱乐软件。恶意软件会扫描士兵的智能手机并下载另一个恶意应用程序 ViperRAT ,并伪装成 WhatsApp 更新、要求各种权限。 窃取、收集信息 恶意软件 ViperRAT 可控制电话的麦克风和相机,窃听士兵的对话并进行实况拍照,近 9000 张摄像头拍摄的照片已被加密传输给攻击者。收集的数据还包括地理位置,通话记录,个人照片,短信,基站信息,网络和设备数据,互联网浏览和应用下载历史记录。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

墨西哥苏打税支持者成为政府间谍软件 Pegasus 监控目标

据外媒报道,墨西哥的科学家和支持苏打税的活动家,成为了以色列公司 NSO Group 间谍软件 “Pegasus” 目标,而此前墨西哥政府曾是 NSO 公司网络武器的客户。 目标包括墨西哥国家公共健康研究院的 Simón Barquera 博士、墨西哥 Mídete 基金会主席 Luis ManuelEncarnación 、非政府组织 Power of the Consumer 的创始人 Alejandro Calvillo 。受害者都收到一系列引诱他们点击恶意链接的消息。短信的内容声称他们女儿发生了事故、父亲去世等等悲伤的内容,旨在创造恐慌氛围诱使点击链接,下载间谍软件 Pegasus 。 这三个目标都是 2014 “苏打税”的支持者,旨在通过对苏打水提高价格来限制国内含糖饮料的消费,同时公众对含糖饮料引起的健康问题越发重视。然而迫于饮料行业巨大的压力,墨西哥立法议员在 2015 年尝试将苏打税减半,但遭到公众的阻止,最终没有成功。此后,这些人员成为政府间谍软件的攻击目标。 以色列公司公司 NSO Group 自称只向政府执法机构出售间谍软件用于调查和取证。该公司补充说,它不知道其产品被用于跟踪墨西哥活动家和研究人员。但是, NSO 的间谍软件在过去几年间多次被发现针对了记者、非政府组织成员,而不是用于反恐和打击罪犯。 墨西哥数字权利非营利组织 Luis FernandoGarcía 称,这表明墨西哥政府滥用监控权利,让人们对政府产生信任危机。 对此,墨西哥驻华盛顿大使馆发言人 Ricardo Alday 在一份声明中说“墨西哥的情报系统受联邦相关立法的制约,并得到法律授权”“监控软件不是用来对付记者或活动家,联邦政府所有的采购合同都是依照法律执行的。” 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

研究发现众多 Android VPN 应用含有恶意间谍软件

越来越多的国家开始屏蔽盗版网站,也促使越来越多的人寻找 VPN 之类的工具绕过屏蔽。然而对 Android 用户而言,使用 VPN 应用需要谨慎,来自澳大利亚和美国的研究人员发现有大量的Android VPN 应用含有间谍软件、病毒和其它恶意的广告软件。 在他们分析的 283 款 VPN 应用中有 38% 含有恶意代码,这些应用的下载量有的多达上百万。研究人员发现,超过 80% 的应用会访问用户的敏感信息,如用户数据和短信;五分之一的 VPN 应用提供商没有加密流量;名叫 sFly Network Booster 的应用含有间谍软件,能访问甚至转发短信;OkVpn 和 EasyVPN 会在其它应用上展示广告;许多不安全的 VPN 应用已经从商店下架,但还有很多仍然留在应用商店内。 稿源:solidot奇客;封面:百度搜索

新 Mac 恶意软件使用“古老”代码针对研究机构进行间谍活动

安全公司 Malwarebytes 发现一个罕见的基于 Mac 的间谍软件,被用于生物医学研究机构进行间谍活动中心的计算机且隐藏多年未被发现。 Malwarebytes 将该恶意软件命名为“ OSX.Backdoor.Quimitchin ”,苹果公司则将其命名为“ Fruitfly ”。该恶意软件可以截取屏幕截图、访问并使用计算机的网络摄像头,能够远程控制鼠标移动、模拟鼠标点击。它还可以从 C&C 服务器下载其他脚本文件,其中一个脚本“ macsvc ”可使用 mDNS 在本地网络上构建所有设备的映射,提供设备的详细信息:IPv6 和 IPv4 地址、网络名称、使用的端口等,“ afpscan ”脚本还试图连接其他设备。 有趣的是,恶意软件使用了很多“古老”的代码来执行这些命令。比如,恶意软件使用了 libjpeg 开源代码,该代码最后一次更新是在 1998 年。 古老的系统调用函数: SGGetChannelDeviceList SGSetChannelDevice SGSetChannelDeviceInput SGInitialize SGSetDataRef SGNewChannel QTNewGWorld SGSetGWorld SGSetChannelBounds SGSetChannelUsage SGSetDataProc SGStartRecord SGGetChannelSampleDescription 尽管恶意软件使用了很多老式且不复杂的技术,但是却实现了现代间谍软件的常用功能。该恶意软件的代码最新可追溯到 2015 年 1 月,但直达今年才被发现。 在过去几年中,有许多关于国外黑客入侵、窃取美国和欧洲科学研究的报道。虽然该恶意软件明确针对生物科技研究机构从事间谍活动,但就从 C&C 服务器 IP 地址:99.153.29.240 、动态 DNS 地址 eidk.hopto.org 以及代码上来看,还没有证据表明恶意软件与特定的黑客组织有关联。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。