最近揭露的一款情报监测工具被全球超过60多个国家政府部门和情报机构,通过各种手段暗中使用,记录和盗取手机数据信息。这一工具来自意大利的黑客团队(Hacking Team)。这一发现也揭示了这组黑客工具模块背后的真正意图。
公开的秘密
该监测工具能用在Android、iOS、Windows Mobile和黑莓手机上,也能监测个人电脑和笔记本电脑。但是在Android和iOS上的模块能让人完全掌控被锁定手机的数据信息。隐私邮件、短信、通话记录以及通讯簿等数据将会处于监测范围之内。它还能控制手机摄像功能,拍下周围环境的照片,从而锁定用户的地理位置。Android模块会通过无线网络而不是移动网络传输数据,因为后者会引起数据流量变化。
全球的执法部门和情报部门利用黑客团队的工具来窃取政界人士、人权主义者和个人设备数据已经是众所周知的事。但是,这也是首次该模块技术被逆向工程揭露。
卡巴斯基和Citizen 实验室通过新的搜索方法发现了黑客团队工具的密码信息和电子证书后,一举揭露了此行为。在以“达芬奇”与“伽利略”命名的公司旗下,该组模块与名为远程控制系统的核心检测工具一同运作。在“伽利略”的营销宣传视频中,监测工具能够神将境外各种数据窃取过来,“当对方在浏览网页时,该工具就能完成截获数据工作”。黑客团队的检测工具通过政府和情报机构设立的监控服务器进行远程控制,能同时监控多个单位。
卡巴斯基在40多个国家跟踪了超过350个监控服务器,发现美国本土有64个监控服务器,数量最多;哈萨克斯坦次之,有49个;英国有32个。目前,执法部门和情报机构是否使用了该工具还不得而知,也不清楚这些服务器是否被其他政府机构使用。不过在境外设置服务器毫无意义,因为一旦失去控制,后果将难以设想。
工作方式
除了被揭露的工具模块以外,Citizen实验室还获得了一本黑客团队操作手册复印本。该手册详细地介绍了使用方法,包括如何建立监测基础设施,如何对目标设备进行植入,如何截获数据。目前这款工具的动作方式已经得到破解。
该组模块以及使用手册表明黑客团队在尽量避免监测工具工作原理的曝光。比如,该安卓间谍模块就通过复杂技术让软件还原工程难上加难,此外工具上有专门反侦察功能。iPhone 模块采用先进技术来避免工具将电池电量耗尽,比如,仅在特定情况下才会打开麦克风。
监视工具只需打开麦克风就能记录目标周围的一切事情,但是电池寿命是有限的,受害目标可能会察觉到异常,因此他们采用了特殊的触发器。其中一个触发器是受害者手机连接到某个特定的无线网络,比如工作网络,一旦连接上就表示受害者已经处在一个重要场所。不少技术人员表示:“我还从未在其它手机恶意软件上见过这样的高科技。
黑客团队的移动设备工具也有应急模块,当它感应到目标设备上有某个侦测活动程序运行时,比如数据包扫描,黑客工具就会自动停止活动,避免被侦测到。还有一个“清除”功能,能从被入侵系统中进行自我删除。不过,在某些手机上启动清除程序后,也会留下痕迹。比如,在一款黑莓设备上会引起自动重启。在安卓设备上,某种情况下清除程序会触发一个提示,屏幕上会显示请求访问“设备信息”。
除了伪装隐藏手段,黑客团队还建议客户建立几个匿名的代理服务器,按指定线路传输数据。
防不胜防
在2001年,黑客团队首次开发了远程遥控间谍系统。开发者们制作了一款免费、开放源代码的工具来进行偷听,不少黑客与安全研究人员都曾使用过这款工具。不久,米兰警方联系上了该工具的两位制作人,Alberto Ornaghi 和Marco Valleri,来帮助警方开发某种网络电话监听技术。从此,双方开始了为执法效力的合作了。
黑客团队一直辩称,他们的工具只是为了政府的合法介入,不会将间谍技术卖给任何反对派组织以及被北大西洋公约组织列入黑名单的国家。但根据报道,间谍工具曾被用来监控公民记者组织Mamfakinch。
如果警方能够接触到某款移动设备,那么就可以直接在该设备上启动手机植入程序。 但是,如果一名用户将移动设备与电脑连接起来,进行充电,而电脑已经感染“达芬奇”或“伽利略”病毒,他们同样能够启动植入程序。
iOS 间谍模块仅能在越狱的iPhone手机中发挥作用,但入侵者可以先运行一个越狱工作,然后启动间谍程序即可。唯一能保护用户免于被监控的途径就是在自己的设备上设置进入密码。但是如果该设备与中毒电脑连接,该用户用密码打开设备后,电脑上的恶意软件依然能够破解手机并植入间谍工具。目前,研究人员们还未发现任何对策来拯救被远程感染的手机。
Citizen实验室在关于恶意软件的报导中指出,弄清楚黑客团队工具的工作原理非常重要,因为这种工具过于强大。许多来自政府的客户采用这些工具来对付平民百姓,而不是其它政府机构。
这种特殊的入侵工具,曾经只被情报机构和军方所掌握,如今,已经遍布全球市场了。有假设称,能够买得起这样的工具的集团会用在正途上,并主要是为执法效力。但是,我们的研究表明,这种入侵和难以被监测到的监控技术变得越来越普及,使制造政治威胁的成本越来越低。
本文作者:章远岸
本文转自雷锋网禁止二次转载,原文链接