Троян для для прослушки VoIP-разговоров
06.02.2020 14:04
Хакеры из Chaos Computer Club (CCC) тщательно разобрали по косточкам попавшую в их распоряжение троянскую программу, предназначенную для прослушки VoIP-разговоров подозреваемых правоохранительными органами Германии. Исследователи отмечают, что этот троянец не только превышает свои полномочия, но и практически не защищён от попыток несанкционированного доступа.
Речь идёт о так называемом "бундес-троянце" Quellen-TKÜ, функциональность которого, в соответствии с решением конституционного суда от 2008 года, должна была быть на техническом уровне ограничена исключительно прослушкой разговоров интернет-телефонии. В действительности же, как выяснилось, программа наделена способностью загружать на заражённый компьютер другие модули, расширяя, таким образом, свои шпионские навыки.
Впрочем, этот троянец и без апгрейда умеет больше, чем положено. Разработанная в CCC консоль для управления этой шпионской программой позволяет также получать с заражённого компьютера скриншоты открытых в браузере веб-страниц.
Хакеры-активисты также отмечают, что взаимодействие между бундес-троянцем и контролирующим центром производится в открытую (что, к слову, заметно облегчило им работу по созданию своей консоли управления). Как следствие, к этому шпионскому ПО может подключиться кто угодно, причём можно не только считывать конфиденциальные данные, но и, к примеру, фабриковать улики.
[habrahabr.ru, 10.10.2011, "Полицию Германии обвиняют в использовании шпионской программы": Bundestrojaner способен удалённо активировать микрофон и камеру на компьютере пользователя, что допускает возможность прослушивания разговоров в комнате. Он также отправляет скриншоты экрана, то есть даёт доступ к приватной информации пользователя. Как уже было упомянуто, в программу заложена функциональность бэкдора — то есть она может выполнять любые функции: например, по этому каналу можно загрузить на компьютер жертвы фальшивые «улики», удалить файлы и т.д.
Хуже того, представители Chaos Computer Club отмечают, что из-за значительных изъянов в архитектуре и реализации программы управление заражённым ПК фактически доступно не только для представителей полиции, но и для постороннего злоумышленника. Скриншоты и аудиофайлы, отправляемые с ПК, слабо зашифрованы, а управляющие команды вовсе никак не шифруются. В качестве доказательства они написали собственную командную программу, которая позволяет управлять инфицированным ПК и получать с него данные. Наконец, даже низкоквалифицированный хакер способен сделать фальшивый инстанс и отправлять в полицию поддельные данные.
Программа была прислана в CCC анонимно. Её аутентичность не доказана стопроцентно, потому что командный центр вычислить не удалось, команды поступают через анонимные прокси (среди прочих, используются IP-адреса 83.236.140.90 и 207.158.22.134). — Врезка К.ру]
Исследователи не исключают даже возможности того, что через установленный между контролирующим центром и ботами Quellen-TKÜ канал может быть произведена атака на компьютерные сети правоохранительных органов.
Пикантности ситуации добавляет тот факт, что для управления бундес-троянцем власти, в частности, воспользовались анонимным прокси, который принадлежит американской компании. Иначе говоря, конфиденциальные данные граждан Германии автоматически утекают "за бугор".
Единственное, что бундес-троянец шифрует, это передаваемые в "центр" скриншоты и аудиофайлы. Однако делает он это довольно топорно, при помощи жёстко прописанного в коде ключа. Исследователи сравнивают используемые (или, точнее, неиспользуемые) в Quellen-TKÜ методы защиты с установкой всех паролей в "1234".
[Deutsche Welle, 09.10.2011, "Хакеры обвиняют уголовную полицию ФРГ в нарушении закона": Авторы программы, используемой немецкой уголовной полицией для проведения онлайн-обысков, по всей видимости, были фанатами "Звездных войн". Пароль, необходимый для передачи полученных данных на сервер в США, повторяет имена персонажей знаменитой киноэпопеи Джорджа Лукаса: C3PO-r2d2-POE. — Врезка К.ру]
Хактивисты уверяют, что, в соответствии со своей "хакерской этикой", предоставили властям время на то, чтобы дать всем шпионским ботам команду на самоуничтожение (чего, очевидно, не было сделано). Это дало им моральное право опубликовать развёрнутое исследование Quellen-TKÜ, а также сами исполняемые модули троянца.
Примечательно, что бундес-троянец до недавнего времени был практически неизвестен антивирусному ПО подавляющего большинства производителей. Например, в базах "Лаборатории Касперского" его сигнатуры появились только вчера — на следующий день после публикации исследования CCC.
[Deutsche Welle, 10.10.2011, "Фатальный "бундестроянец", или Как немецкие власти подорвали к себе доверие": Реакция из Берлина последовала незамедлительно: в министерстве внутренних дел заявили, что Федеральное ведомство по уголовным делам подобную программу не применяет. Было указано и на то, что земельная полиция, которая в Германии не подчиняется федеральной, могла использовать троянца на свой страх и риск.
Министр юстиции ФРГ Сабине Лойтхойссер-Шнарренбергер (Sabine Leutheusser-Schnarrenberger) потребовала начать расследование случившегося на земельном уровне. И первые следы привели в Баварию. Оказалось, что еще в 2008 году сайт WikiLeaks опубликовал предложение, сделанное компьютерной фирмой DigiTask баварским следственным органам. DigiTask предложила сотрудникам уголовной полиции приобрести специальную программу под названием Skype Capture Unit, которая по своим возможностям во многом сопоставима с "бундестроянцем". — Врезка К.ру]
Игорь Крейн
Речь идёт о так называемом "бундес-троянце" Quellen-TKÜ, функциональность которого, в соответствии с решением конституционного суда от 2008 года, должна была быть на техническом уровне ограничена исключительно прослушкой разговоров интернет-телефонии. В действительности же, как выяснилось, программа наделена способностью загружать на заражённый компьютер другие модули, расширяя, таким образом, свои шпионские навыки.
Впрочем, этот троянец и без апгрейда умеет больше, чем положено. Разработанная в CCC консоль для управления этой шпионской программой позволяет также получать с заражённого компьютера скриншоты открытых в браузере веб-страниц.
Хакеры-активисты также отмечают, что взаимодействие между бундес-троянцем и контролирующим центром производится в открытую (что, к слову, заметно облегчило им работу по созданию своей консоли управления). Как следствие, к этому шпионскому ПО может подключиться кто угодно, причём можно не только считывать конфиденциальные данные, но и, к примеру, фабриковать улики.
[habrahabr.ru, 10.10.2011, "Полицию Германии обвиняют в использовании шпионской программы": Bundestrojaner способен удалённо активировать микрофон и камеру на компьютере пользователя, что допускает возможность прослушивания разговоров в комнате. Он также отправляет скриншоты экрана, то есть даёт доступ к приватной информации пользователя. Как уже было упомянуто, в программу заложена функциональность бэкдора — то есть она может выполнять любые функции: например, по этому каналу можно загрузить на компьютер жертвы фальшивые «улики», удалить файлы и т.д.
Хуже того, представители Chaos Computer Club отмечают, что из-за значительных изъянов в архитектуре и реализации программы управление заражённым ПК фактически доступно не только для представителей полиции, но и для постороннего злоумышленника. Скриншоты и аудиофайлы, отправляемые с ПК, слабо зашифрованы, а управляющие команды вовсе никак не шифруются. В качестве доказательства они написали собственную командную программу, которая позволяет управлять инфицированным ПК и получать с него данные. Наконец, даже низкоквалифицированный хакер способен сделать фальшивый инстанс и отправлять в полицию поддельные данные.
Программа была прислана в CCC анонимно. Её аутентичность не доказана стопроцентно, потому что командный центр вычислить не удалось, команды поступают через анонимные прокси (среди прочих, используются IP-адреса 83.236.140.90 и 207.158.22.134). — Врезка К.ру]
Исследователи не исключают даже возможности того, что через установленный между контролирующим центром и ботами Quellen-TKÜ канал может быть произведена атака на компьютерные сети правоохранительных органов.
Пикантности ситуации добавляет тот факт, что для управления бундес-троянцем власти, в частности, воспользовались анонимным прокси, который принадлежит американской компании. Иначе говоря, конфиденциальные данные граждан Германии автоматически утекают "за бугор".
Единственное, что бундес-троянец шифрует, это передаваемые в "центр" скриншоты и аудиофайлы. Однако делает он это довольно топорно, при помощи жёстко прописанного в коде ключа. Исследователи сравнивают используемые (или, точнее, неиспользуемые) в Quellen-TKÜ методы защиты с установкой всех паролей в "1234".
[Deutsche Welle, 09.10.2011, "Хакеры обвиняют уголовную полицию ФРГ в нарушении закона": Авторы программы, используемой немецкой уголовной полицией для проведения онлайн-обысков, по всей видимости, были фанатами "Звездных войн". Пароль, необходимый для передачи полученных данных на сервер в США, повторяет имена персонажей знаменитой киноэпопеи Джорджа Лукаса: C3PO-r2d2-POE. — Врезка К.ру]
Хактивисты уверяют, что, в соответствии со своей "хакерской этикой", предоставили властям время на то, чтобы дать всем шпионским ботам команду на самоуничтожение (чего, очевидно, не было сделано). Это дало им моральное право опубликовать развёрнутое исследование Quellen-TKÜ, а также сами исполняемые модули троянца.
Примечательно, что бундес-троянец до недавнего времени был практически неизвестен антивирусному ПО подавляющего большинства производителей. Например, в базах "Лаборатории Касперского" его сигнатуры появились только вчера — на следующий день после публикации исследования CCC.
[Deutsche Welle, 10.10.2011, "Фатальный "бундестроянец", или Как немецкие власти подорвали к себе доверие": Реакция из Берлина последовала незамедлительно: в министерстве внутренних дел заявили, что Федеральное ведомство по уголовным делам подобную программу не применяет. Было указано и на то, что земельная полиция, которая в Германии не подчиняется федеральной, могла использовать троянца на свой страх и риск.
Министр юстиции ФРГ Сабине Лойтхойссер-Шнарренбергер (Sabine Leutheusser-Schnarrenberger) потребовала начать расследование случившегося на земельном уровне. И первые следы привели в Баварию. Оказалось, что еще в 2008 году сайт WikiLeaks опубликовал предложение, сделанное компьютерной фирмой DigiTask баварским следственным органам. DigiTask предложила сотрудникам уголовной полиции приобрести специальную программу под названием Skype Capture Unit, которая по своим возможностям во многом сопоставима с "бундестроянцем". — Врезка К.ру]
Игорь Крейн