MILANO oraz DETEKT, narzędzia do skanowania krytycznych systemów pod kątem złośliwców od Hacking Team

23 lipca, 2015
hacking_team

Firma Hacking Team zajmująca się cyberbezpieczeństwem i tworzeniem narzędzi do inwigilowania i hackowania na zlecenie, sama padła ofiarą ataku, na skutek którego do sieci dostało się aż 400GB danych kompromitujących rządy i służby specjalne wielu państw, w tym także ABW, SKW i CBŚ oraz funkcjonariusza Komendy Głównej Policji, którego korespondencja z Hacking Team’em urwała się w pewnym momencie. Wśród danych, które ujrzały światło dzienne znalazły się faktury, umowy, kody źródłowe wykorzystywanych narzędzi, malware, exploitów i archiwum korespondencyjne skrzynek pocztowych.

Historia firmy Hacking Team zaczęła się od stworzenia w roku 2001 przez dwóch włoskich informatyków pakietu Ettercap, służącego do przeprowadzania ataków MiTM. Wkrótce zgłosiły się do nich włoskie służby specjalne, które szukały metody podsłuchiwania komputerów podejrzanych. Dzisiaj Hacking Team oferuje rządom całego świata komercyjne konie trojańskie, wykorzystywane do podsłuchiwania obywateli. Niedawno odkryto także, że niektóre serwery firmy mogły być zlokalizowane w Polsce. – Zaufana Trzecia Strona.

Hacking Team udostępniał zainteresowanym stworzone przez siebie autorskie narzędzie Remote Control System, które służy do zbierania danych i informacji z zainfekowanych urządzeń. Umożliwia ono także:

  • zachować anonimowość podczas zbierania danych,
  • monitorowanie ruchu sieciowego,
  • aktualizację produktu,
  • oraz wiele więcej

GAL28

Oprogramowanie z zainfekowanych urządzeń ofiary przekazuje do serwera RCS informacje i dane takie jak: pliki, które ofiara otworzyła, dane z portali społecznościowych, książkę adresową, kontakty, kalendarz, połączenia (GSM, Skype, VoIP), czaty (WhatsApp, Viber, Skype, BBM), informacje skopiowane do schowka, dane o urządzeniu (w tym system plików), wiadomości e-mail, dane z serwisów Dropbox i Google Drive, odwiedzane strony www, nagrania z mikrofonu, zdjęcia z kamery, kliknięcia myszką, wprowadzane za pomocą klawiatury informacje (keylogger), informacje odnośnie portfela kryptowaluty, np. Bitcoin, loginy i hasła, pozycję geograficzną ofiary (za pomocą GPS, Cell-ID lub WiFi), wydrukowane przez nią strony oraz zrzuty ekranowe. – zawszeczujni.blogspot.com

GAL7

Remote Control System może zaatakować następujące platformy: 

GAL19

Więcej szczegółów o systemie RCA na zawszeczujni.blogspot.com – GALILEO Remote Control System – analiza narzędzi z wycieku Hacking Team

W marcu 2014 roku Helsińska Fundacja Praw Człowieka poprosiła o udostępnienie informacji, czy CBA i ABW posługują się oprogramowaniem RCS. CBA odmówiło udzielenia odpowiedzi, zasłaniając się ustawą o ochronie informacji niejawnych; z kolei ABW zaprzeczyła, jakoby używało RCS. – Check Point

Narzędzia do wykrywania trojanów opracowanych przez Hacking Team

W odpowiedzi na Remote Control System powstało darmowe narzędzie MILANO, którego zadaniem jest wykrycie złośliwego oprogramowania tworzonego przez firmę Hacking Team. Eksperci z Rook Security przenalizowali dane umieszczone na Githubie, z których ponad 312 plików jest podejrzewanych o szkodliwą działalność w systemie.
  
Najnowsza wersja narzędzia MILANO 1.1 pozwala przeskanować cały dysk twardy w poszukiwaniu poznanych podczas analizy przez Rook Security plików lub bibliotek DLL, które są częścią szkodliwego oprogramowania wstrzykniętego na komputer ofiary za pomocą Remote Control System. Rook Security obiecuje, że pojawią się kolejne wersje narzędzia MILANO uzupełnione o kolejne hashe plików.

Specjaliści z Rook Security oczekują także, że producenci antywirusów oznaczą przeanalizowane przez nich pliki jako niebezpieczne i dodadzą ich sumy kontrolne lub metadane do bazy wirusów.

Narzędzie dostępne jest do pobrania pod linkiem: https://www.rooksecurity.com/wp-content/uploads/2015/07/Package_1.1.zip – w archiwum znajduje się plik PDF z przeprowadzonej analizy plików.

Aby przeskanować system w poszukiwaniu szkodliwego oprogramowania Hacking Team wystarczy uruchomić plik wykonywalny milano.exe.

0

W kolejny kroku wybrać skanowanie pełne lub szybkie Q/D i domyślną ścieżkę systemy Windows.

milano 3

Poczekać na wynik skanowania.

milano 1

Prewencyjnie warto też przeskanować system narzędziem DETEKT, które zostało opracowane przez Amnesty International, Digitale Gesellschaft, Electronic Frontier Foundation oraz Privacy International. Podstawowym zamierzeniem twórców było zwiększenie świadomości cyberszpiegowania ze strony instytucji państwowych w szczególności wśród dziennikarzy, działaczy organizacji pozarządowych ale także zwykłych użytkowników. Narzędzie o bardzo ograniczonych możliwościach przeznaczone jest do wykrywania jedynie kilku rodzin złośliwych programów szpiegujących o rządowym rodowodzie i pochodzeniu. Mimo wszystko warto go uruchomić.

DETEKT dostępny jest do pobrania na stronie: https://resistsurveillance.org/index.html

Z kolei więcej informacji o tym narzędziu w artykule pt. ”DETEKT – narzędzie do wykrywania rządowych Trojanów”.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]