Kaspersky Lab avalikustas aruande, mis on pühendatud Itaalia ettevõtte HackingTeami loodud nn legaalse jälitusvahendi Remote Control Systemsi (RCS) koosseisu kuuluvate pahavaramoodulite kontrollimiseks kasutatava mastaapse ülemaailmse infrastruktuuri analüüsimisele.

Aruanne sisaldab infot esmakordselt tuvastatud mobiilsete troojalaste näidiste kohta, mis töötavad nii Androidil kui ka iOSil. Need moodulid on RCSi infrastruktuuri osa, mida tuntakse Galileo nime all.

Kaspersky Labi ja Citizen Labi koostöös läbiviidud uurimise käigus selgus, et ohvrite nimekirjas on ühiskonna aktivistid, inimõiguste eest võitlejad, ajakirjanikud ning poliitikud.

Galileo juhtserverite asukoha kindlakstegemiseks kasutasid Kaspersky Labi eksperdid mitmesuguseid meetmeid. Näiteks tuginesid spetsialistid pöördprojekteerimise (ingl reverse-engineering) abil saadud spetsiifilistele näitajatele ja andmetele, mida tarkvara serveritega vahetab.

Selle tulemusel osutus võimalikuks tuvastada enam kui 320 RCSi infrastruktuuri juhtiva serveri asukohad, mis paiknevad enam kui 40 riigis. Suurem osa servereid asuvad USAs, Kasahstanis, Ecuadoris, Ühendkuningriikides ja Kanadas.

Kaspersky Labi viirustõrje juhteksperdi Sergei Golovanovi sõnul ei tähenda RCSi infrastruktuuri serverite paiknemine ühes või teises riigis veel seda, et kohalikud eriteenistused on Galileo kasutamisega seotud. Kuid mõistlik on järeldada, et RCSiga töötavad organisatsioonid on huvitatud sellest, et nende serverid paikneksid kohtades, kus organisatsioonidel oleks serverite üle täielik kontroll, mis aitab maandada teiste riikide õiguskaitseorganite sekkumise ja serverite konfiskeerimise riski.

Androidi ja iOSi platvormidele suunatud mobiilsete troojalaste kuulumine HackingTeami vahendite hulka oli varemgi teada, kuid siiani polnud võimalik neid rünnakute toimumise ajal täpselt identifitseerida või märgata. Viimase kahe aasta jooksul on Kaspersky Labi eksperdid uurinud RCSi tarkvara komponente ning lõpuks õnnestus neil tuvastada ka rida mobiilsete moodulite näidiseid, mis vastasid RCSi konfiguratsiooni profiilile pahavara kollektsioonis. Uued näidiste variandid saadi rünnatavatelt kätte Kaspersky Security Networki pilvetaristu abil. HackingTeami pahavaravahendite valimi uurimine osutus võimalikuks muuseas ka tänu tihedale koostööle Morgan Marki-Buriga Citizen Labist.

RCSi operaatorid loovad iga valitud sihi jaoks individuaalsed pahavaramoodulid. Pärast näidise valmimist toimetatakse see ohvri arvutisse – mõnikord sotsiaalse manipulatsiooni erivõtete abil koos vallutustega, mis kasutavad muuhulgas ka nullpäeva turvaauke, või siis telefoni ja arvuti USB kaudu sünkroniseerimise käigus nakatamise teel.

Eraldi märkimist väärib see, kuidas mobiilitroojalane Galileo suudab iPhone’i nakatada. Et sissetung oleks edukas, peab telefon olema n-ö lahti muugitud ehk tootja piirangutest vabastatud (ingl jailbreak). Isegi iOSi telefonid on lahtimuukimise suhtes haavatavad – USB kaudu ühendamisel saab telefoni lahti muukida kaugteel juba nakatatud arvutist muukimisprogrammi Evasi0n abil. Seejärel mobiilseade nakatatakse.

RCSi mobiilmoodulid on arendatud nõnda, et ohver ei märkaks nende olemasolu – nt on eritähelepanu pööratud aku energia kulutamisele. Seda saab saavutada nii, et nuhkfunktsioonid käivitatakse ainult teatud, eelnevalt kindlaks määratud sündmuste saabumisel. Näiteks hakatakse heli salvestama alles siis, kui ohver loob ühenduse teatud WiFi võrguga või vahetab SIM kaarti või paneb seadme laadima. Tervikuna on mobiilitroojalastel laiad võimalused seirefunktsioonide täitmiseks, muuhulgas ohvri asukoha andmete edastamine, piltide tegemine, kalendri kohtumiste info kopeerimine, telefoni paigaldatava uue SIM-kaardi registreerimine, kõnede ja sõnumite, sealhulgas ka kiirsuhtlusrakenduste Viber, WhatsApp ja Skype sõnumite kinnipüüdmine.

Praegu avastavad kõik Kaspersky Labi kaitsetooted RCSi/Galileo nuhkmoodulite modifikatsioone. Rohkem informatsiooni RCSi vahendite uurimise kohta Kaspersky Labi spetsialistide poolt saab alloleva lingi alt: