9:12
3/2/2015

Walka z opozycjonistami nie zawsze wymaga użycia skomplikowanego malware’u. Czasem wystarczy numer znany od wieków: piękna niewiasta …i odrobinę socjotechniki. Niewiasta nie musi nawet ruszać się z domu… ba! nie musi nawet być prawdziwą niewiastą. W rozmowach na Skype każdy przecież może przyjąć dowolną tożsamość… (“Cześć Aniu, tu Wojtek, i też mam 12 lat“)

Cześć Aniu, mam na imię Wojtek i też mam 14 lat

Cześć Aniu, mam na imię Wojtek i też mam 12 lat

Przypadkowe odkrycie operacji wojskowej w internecie

Raport opublikowany przez FireEye opisuje ciekawą operację, której ofiarą byli m.in. Syryjscy “żołnierze opozycji”, buntujący się przeciw reżimowi prezydenta Bashara Al-Assada.

Na ślady operacji badacze trafili przypadkiem. Analizując próbkę złośliwego oprogramowania dotarli do niemieckiego serwera, na którym składowane były wykradzione dane. Wśród 7GB archiwum znajdowały się nie tylko prywatne informacje na temat “wytypowanych do inwigilacji opozycjonistów”, ale również plany bitew, strategie polityczne, raporty o rannych, listy nazwisk żołnierzy opozycji, numery telefonów, rodzaje posiadanej broni, a nawet grupę krwi oraz …logi z rozmów na Skype pochodzące z 64 kont opozycjonistów.

Tu warto nadmienić, że w każdym konflikcie bardzo ważnym jest, aby dokładnie wiedzieć jaki kolejny ruch wykona nasz przeciwnik. Jeśli przeciwnikiem jest opozycjonista, który dodatkowo działa w konspiracji, nie jest to łatwe. Ciężko się do niego zbliżyć w rzeczywistym świecie. Na szczęście dziś każdy ma smartphona i dostęp do internetu, a ponieważ prawdziwe życie to nie film i nie każdy wojak obwieszony granatami od razu jest oblegany przez panienki, to może się zdarzyć, że nawet najmężniejszy z bohaterów od czasu do czasu poczuje się samotny…

Sex chat na Skype lepszy niż tortury?

Historia jednego z ataków zaczyna się od rozmowy, którą z opozycjonistą nawiązała niejaka “Iman“, ze zdjęcia profilowego na Skype wyglądająca na atrakcyjną kobietę.
Jak to zwykle bywa, rozmowa najpierw była grzecznościowa; “kim jesteś i skąd klikasz“. Później jednak wyobraźni trzeba pomóc i przechodzi się do wymiany zdjęć… Imam poprosiła o zdjęcie opozycjonisty. Ten je wysłał (w zasadzie już to powinno skreślić go z szeregów “tajnej” organizacji) i poprosił o zdjęcie Iman.

Co dostał w odpowiedzi? Najpierw pytanie — czy zdjęcie będzie oglądał na telefonie komórkowym czy komputerze? A potem, jak się zapewne domyślacie, odpowiednio dopasowany do urządzenia exploit pod postacią pliku .pif…

Zapis rozmowy z atakującą

Zapis rozmowy z atakującą

Czy to fala endorfin napływająca do mózgu sprawiła, że opozycjonista nie zauważył podejrzanego rozszerzenia?

Warto zwrócić uwagę na 2 rzeczy. Iman pyta o platformę sprzętową (aby odpowiednio dobrać exploita; dostępne były wersje na Windows i Androida) oraz podaje datę urodzenia wskazującą na ten sam dzień co ofiara (data jest odczytana z informacji profilowych ofiary i zapewne ma na celu pomóc w spoufaleniu się z ofiarą)

A może wideo?

W innych przypadkach, fałszywe niewiasty z prorządowej grupy “hackerów” oprócz zdjęć oferowały także dostęp do swojej sylwetki “na żywo”. Ale nie przez Skype’a, a dedykowane oprogramowanie do videochatów (“ooVoo”). Zapewne nie jeden z wojaków je zainstalował — a wraz z nim złośliwe oprogramowanie dające grupie wgląd do zwartości dysku twardego.

Co ciekawe, ponieważ elektronika nie jest powszechnie dostępna w szeregach opozycjonistów (jak na ironię, m.in. ze względów bezpieczeństwa), to z jednego smartphona lub komputera potrafi korzystać kilku z nich. Z tego powodu udany atak na jedną osobę dawał atakującym dostęp do kilku kont Skype i wielu list kontaktowych.
Wizualizacja wykradzionych planów

Wizualizacja wykradzionych planów, fot. FireEye

Infrastruktura pod ataki była przygotowana całkiem nieźle. Niekiedy fałszywi rozmówcy wklejali linki do stworzonych przez siebie antyrządowych stron internetowych, które …zawierały coś na zasadzie “kącika randkowego”. Kącik był pełen fałszywych profili atrakcyjnych opozycjonistek na Facebooku (a dokładnie na fałszywej stronie Facebooka).

Randkowy kącik :)

Randkowy kącik pełen zdjęć atrakcyjnych opozycjonistek :)

Tu wykorzystywano chęć ofiary do zobaczenia szczegółowych informacji na temat kobiety, a to już wymagało zalogowania się na podstawionej stronie logowania, czyli przekazania swoich danych dostępowych atakującym. Jak widać, nawet nie silono się na zakup zbliżonej do Facebooka w nazwie domeny:

fakefb

Wbrew pozorom, to nie były amatorskie działania

Prezydent Syrii, Bashar Al-Assad ma w internecie wielu zwolenników. Od dawna działa Syryjska Armia Elektroniczna — czasem w oparciu o te same techniki. Efektem ich działań są jednak działania bardziej propagandowe, takie jak przejęcia kont znanych organizacji m.in. na Twitterze. Straty nie są tylko wizerunkowe — jedna z fałszywych wiadomości spowodowała 136 milionowy spadek na giełdzie.

I choć to, że prorządowi “hackerzy” korzystają z tak podstawowych technik powinno być śmieszne, to jest raczej przerażające. Przerażające z tego powodu, że ich ofiary ciągle łapią się na podstawowe triki. Być może żołnierze i działacze opozycji (ale także dziennikarze i inni mimowolni uczestnicy konfliktów) powinni być trenowani nie tylko na poligonach, ale również przed komputerem? Elektronika powoli staje sięjuż dawno stała się nieodłączym elementem życia (por. Lokalizacja wojsk rosyjskich zdekonspirowana przez fotkę wrzuconą na Instagram) i prawie każdy ma swoje alter-ego w wirtualnym świecie. W rzeczywistym świecie żołnierz jest przynajmniej chroniony przez kamizelkę kuloodporną i hełm…

PS. Jak widać, coraz częściej działania ofensywne (czyli klasyczne ataki sieciowe i przełamywanie zabezpieczeń) oraz socjotechniczne (patrz wyżej) są coraz częściej uzupełniane działaniami miękkimi — np. propagandą, polegającą na zalewaniu internetu zmodyfikowanymi w odpowiedni sposób treściami — wczoraj opisaliśmy kulisy pracy prorosyjskich trolli oraz dowiedzieliśmy się, że Brytyjczycy szkolą “facebookowych wojowników“. Sprawdzajcie więc to co czytacie w wielu miejscach i uważajcie na nieznajomych na Skype ;)

Przeczytaj także:

11 komentarzy

Dodaj komentarz
  1. Niebezpiecznik, tak bardzo przerażony…
    Wciąż większość ludzi jest podatna na takie “lamerskie” ataki, łączące w sobie nie do końca dopracowaną stronę techniczną i najprostszą (a czasem wręcz prymitywną) socjotechnikę. Ludzie nie spodziewają się i nie przeczuwają, że ktoś ich może “zhackować”. Nawet jeżeli mają ogólny pogląd na sprawę, zakładają, że ataki w sieci dzieją się gdzieś indziej, z dala od nich.
    Syryjscy rebelianci nie świecą tu po prostu przykładem :)

  2. Zabezpieczenia Skype są szeroko kwestionowane, więc w zasadzie jeśli ktoś chce dbać o bezpieczeństwo informacji to w ogóle nie powinien korzystać z tego produktu.

  3. Ponad 70% ludzi to Gamonie.
    reszta uważa sie za elitę i zna sie na wszystkim o it juz nie wspomnę.
    ludzki umysl jest tak skonstruowany, ze nie sa potrzebne żadne backdoory do komputerów, skoro odpowiednio dobrana socjotechnika (przedszkolna dla 70% peopel) zalatwia wszystko.
    każdego da sie zmęczyć i wjechac w jego naiwnosc.

    Ide o zakład, ze szewc bez butów chodzi :) a to najbardziej boli :)

    Ps. Opozycjonista z artykułu to z pewnością reprezentant 70 procentowej rzeszy użytkowników gotowych produktów komputerowych… srednue wyzwanie.

    Swoja drogą, jestem ciekaw czy ktoś poszedł E. Snowdena (jesli faktycznie on istnieje)

    • i jaki z tego wniosek ?
      Pytam bo zadziwia mnie czasem w jaki sposób ludzie starają się usprawiedliwiać swój brak wiedzy technicznej. Powiedzmy sobie jasno socjotechnika nie ma nic wspólnego z hackingiem i z bezpieczeństwem tele-inf stricte.
      To w gruncie rzeczy zwykłe oszustwo, takich hakerów pełno jest w więzieniach co to np hakowali babcie na wnuczka albo coś w tym stylu

  4. Trzeba walczyć z prorządowymi hakerami

  5. Ziew. Każdy z nas dałby się na to nabrać, kaaaaaażdy. Kwestia dobrego przygotowania przez atakującego.

  6. No to trochę na temat :D Tylko takie dwie uwagi:

    1.Czym się różnią “syryjscy rebelanci” od terrorystów ISIL ? Bo wiecie,mnie się wydaje,że cały zachód i USA mają z odróżnieniem jednych od drugich jakiś problem.

    2.Serio w plikach .pif można choćby na Androida przesyłać zdjęcia ?
    http://www.wisegeek.com/what-is-a-pif-file.htm
    https://en.wikipedia.org/wiki/Program_information_file
    Gdzieś indziej jeszcze widziałem w opisach coś o grafice,ale czy rastrowa ?

    Trochę mnie to dziwi,bo w końcu “p” a “g”…
    Fakt,że w dokumencie nazwa wspomniana 2 razy,ale tak się człowiek zastanawia: jak to działało…

  7. no dobra, ale ja tez bym się chciał dowiedzieć jak wygląda Iman?

    ;)

  8. Jak mogli stwierdzić, czy są atrakcyjne, skoro wszystkie mają te prześcieradła na głowach? :D

  9. Po atrakcyjnosci przescieradla rzecz jasna!

  10. rozumiem, ze to blog technologiczny, ale to “opozycjonosci” naprawde razi. najczesciej uzywanym terminem w mediach sa rebelianci, niektorzy uzywaja okreslenia islamisci lub nawet umiarkowani islamisci (zeby odroznic ich od ISIS – chociaz dla mnie to oksymoron), ale opozycjonisci? litosci…

Odpowiadasz na komentarz Delloue

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.