БЛОГ

 

Мы решили проверить, действительно ли нужно быть спецслужбой, чтобы получить доступ к чужому аккаунту Telegram. Для этого мы зарегистрировали тестовый аккаунт Telegram, обменялись несколькими тестовыми сообщениями:

 

А затем мы провели атаку через сеть SS7 на один из тестовых номеров.

 

И вот что у нас получилось:

Сначала узнаем IMSI…

 

 

 

Перерегистрируем абонента на наш терминал…

 

 

 

Получаем профиль абонента…

 

 

 

 

 

 

 

Завершаем процедуру перерегистрации абонента…

 

Теперь номер жертвы под полным нашим контролем. Инициируем на любом девайсе процедуру подключения к Telegram под аккаунтом жертвы (номер телефона) — и получаем заветную SMS…

 

После ввода кода мы получаем полноценный доступ к аккаунту Telegram. Теперь мы можем не только вести переписку от имени жертвы, но и прочитать всю переписку, которую клиент Telegram любезно подгружает (телефон справа имеет полную копию переписки телефона слева):

 

 

Можно создать новый чат — и переписываться от имени жертвы:

 

 

После этого мы провели атаку по той же схеме на WhatsApp. Доступ к аккаунту мы конечно же получили, но так как WhatsApp (якобы) не хранит историю переписки на сервере, получить доступ к переписке, которая была ранее, не удалось. WhatsApp хранит backup переписки в Google Drive, поэтому для получения доступа к ней необходимо ещё взломать аккаунт Google. Зато вести переписку от имени жертвы, так что она не будет об этом знать – вполне реально:

 

 

Выводы: уж сколько раз твердили миру, что передача одноразовых кодов посредством SMS — небезопасна, так как мобильная связь в целом небезопасна. Уязвимость подвержена не только технологическая сеть SS7, но и алгоритмы шифрование радиоинтерфейса. Атаки на сеть SS7 можно осуществлять из любой точки мира, а возможности злоумышленника не ограничиваются взломом менеджеров. И сейчас все эти атаки становятся доступны не только спецслужбам, но и многим другим. Стоит также отметить, что все тесты проводились с настройками по умолчанию, то есть в режиме, в котором работает большинство пользователей.

 

Независимый ИБ-специалист Майкл Минг (Michael Myng) сообщил, что обнаружил странную функциональность в файле SynTP.sys, который является частью драйвера Synaptics Touchpad, использующегося во многих моделях ноутбуков компании HP.

h well. Keylogger in HP's SynTP.sys. Off by default. Vendor contacted. Fix released and pushed. Blog post is on the way.
— ZwClose (@zwclose) December 6, 2017
Минг уже опубликовал подробный технический отчет, в котором объяснил, что функциональность, фиксирующая все нажатия клавиш, по умолчанию отключена, однако для ее включения понадобится лишь внести небольшие изменения в реестр.
Исследователь пишет, что этим встроенным в ноутбуки HP кейлоггером могут воспользоваться злоумышленники. Активировав это «штатное средство слежения», преступники получат немалое преимущество, ведь такой кейлоггер не вызовет никаких подозрений у антивирусных продуктов. По сути, хакерам понадобится только обойти UAC и внести коррективы в реестр (напомню, что способов обхода UAC насчитывается более десятка).

После того как специалист сообщил разработчикам HP о своей «находке», те признали, что данная функциональность была забыта в коде случайно, и исходно она предназначалась для отладки и тестирования.
На сайте HP можно найти список моделей ноутбуков, уязвимых перед данной проблемой. Как оказалось, «спящий» кейлоггер был представлен более чем в 450 устройствах, из которых 303 модели – это обычные потребительские лэптопы, а еще 172 модели ориентированы на коммерческий рынок. В списке числятся устройства из линеек mt**, 15*, OMEN, ENVY, Pavilion, Stream, ZBook, EliteBook, а также серии ProBook и Compaq.
Инженеры HP уже опубликовали патчи, удаляющие кейлоггер из кода, так что пользователям уязвимых ноутбуков рекомендуется обновиться.
Напомню, что это не первый случай, когда в устройствах HP обнаруживают шпионскую функциональность. Так, весной 2017 года, кейлоггер был найден в составе Conexant HD Audio Driver Package. Как оказалось, аудиодрайвер «запоминает» все нажатия клавиш и сохраняет информацию в локальный файл, доступный любому желающему.


Исследователи из швейцарской компании Modzero обнаружили неприятную проблему в ноутбуках HP. Как оказалось, Conexant HD Audio Driver Package версии 1.0.0.46 можно смело назвать кейлоггером, так как аудиодрайвер «запоминает» все нажатия клавиш и сохраняет информацию в локальный файл, доступный любому желающему.
Специалисты объясняют, что приложение MicTray64.exe, представленное на ноутбуках HP, отслеживает все нажатия на клавиши, которые пользователь совершает во время работы с устройством. Приложение делает это для того, чтобы обнаружить, если пользователь нажимает на клавиши управления звуком, к примеру, на кнопки mute или изменения громкости. Но проблема заключается не в самом факте мониторинга, а в том, что аудиодрайвер сохраняет все собранные данные в файле MicTray.log, расположенном в папке Users/Public. Файл перезаписывается каждый раз, когда пользователь входит в систему.
Прочитать или скопировать этот файл может кто угодно, начиная от людей, которые имеют физический доступ к машине, и заканчивая удаленными атакующими, которым удалось заразить устройство вредоносным ПО.
Ugh! Upgraded to latest HP / Conexant audio driver, and it started to log every key I pressed. Ping @samilaiho @AdaptivaAmi @mod0 pic.twitter.com/1q3eULocIO
— Johan Arwidmark (@jarwidmark) May 11, 2017
Если вышеуказанный файл не существует, или ключ реестра, отвечающий за путь к файлу, был поврежден, аудиодрайвер передает собранную информацию локальному API OutputDebugString. В теории это позволяет злоумышленникам и установленной ими малвари, следить за пользователем в режиме реального времени, не обращаясь к функциям Windows и не привлекая внимания антивирусного ПО.
Аналитики Modzero отмечают, что Conexant HD Audio Driver Package вряд ли задумывался как кейлоггер и устанавливался на устройства, чтобы шпионить за владельцами лэптопов. Аудиодрайвер можно обнаружить в 28 моделях ноутбуков:
* HP EliteBook 820 G3 Notebook PC
* HP EliteBook 828 G3 Notebook PC
* HP EliteBook 840 G3 Notebook PC
* HP EliteBook 848 G3 Notebook PC
* HP EliteBook 850 G3 Notebook PC
* HP ProBook 640 G2 Notebook PC
* HP ProBook 650 G2 Notebook PC
* HP ProBook 645 G2 Notebook PC
* HP ProBook 655 G2 Notebook PC
* HP ProBook 450 G3 Notebook PC
* HP ProBook 430 G3 Notebook PC
* HP ProBook 440 G3 Notebook PC
* HP ProBook 446 G3 Notebook PC
* HP ProBook 470 G3 Notebook PC
* HP ProBook 455 G3 Notebook PC
* HP EliteBook 725 G3 Notebook PC
* HP EliteBook 745 G3 Notebook PC
* HP EliteBook 755 G3 Notebook PC
* HP EliteBook 1030 G1 Notebook PC
* HP ZBook 15u G3 Mobile Workstation
* HP Elite x2 1012 G1 Tablet
* HP Elite x2 1012 G1 with Travel Keyboard
* HP Elite x2 1012 G1 Advanced Keyboard
* HP EliteBook Folio 1040 G3 Notebook PC
* HP ZBook 17 G3 Mobile Workstation
* HP ZBook 15 G3 Mobile Workstation
* HP ZBook Studio G3 Mobile Workstation
* HP EliteBook Folio G1 Notebook PC
Избавиться от MicTray64.exe достаточно просто. Для начала стоит запустить Task Manager и проверить, запущен ли процесс MicTray64.exe вообще. Если процесс наличествует, его следует завершить. После этого следует удалить само приложение, избавившись от C:\Windows\System32\MicTray64.exe и C:\Windows\System32\MicTray.exe. Перед этим специалисты также рекомендуют проверить содержимое файла C:\Users\Public\MicTray.log, а после удалить и его. Если в логе содержатся пароли, логины, данные банковских аккаунтов и так далее, следует немедленно сменить все учетные данные, которые могли подвергнуться компрометации.
Специалисты компании HP уже признали наличие проблемы и сообщают, что работают над ее устранением.  Также в компании подчеркнули, что HP не имеет доступа к личным данным своих пользователей, а функциональность кейлоггера была добавлена в Conexant HD Audio Driver Package по ошибке.

 

Компания Raytheon, которая является официальным подрядчиком Министерства Обороны Соединенных Штатов разработала шпионскую программу, назначением данного ПО является тотальный шпионаж за любым пользователем социальной сети.

Анализируются и скрупулёзно собираются следующие данные:

• Всевозможные данные, которые пользователь указал в своей учетной записи;
• Определение местоположения клиента;
• Контроль за перемещениями пользователя.

Сами разработчики из компании Raytheon назвали своё «произведение» Riot. Это сокращенная аббревиатура от английского «Rapid Information Overlay Technology» (т.е. рус. Технология быстрого получения информации). Как утверждается самой компанией, они никому не продавали этот программный продукт. Программа лишь была предоставлена представителям правительства США для проведения совместных исследований в рамках улучшения национальной системы безопасности. А также возможности проанализировать онлайн, действия сразу «триллионов пользователей».

Представленное здесь полученное издательством The Guardian видео очень наглядно демонстрирует то, что и как умеет делать программа Riot. Колоссальный объем собираемых данных поражает любое воображение. Пользователи самых популярных соцсетей Twitter, Facebook и Foursquare практически беззащитны перед этой программой шпионом. Даже смартфон пользователя помогает шпионить. Сделанные фотографии кроме того, что сохраняются в базе шпиона, так еще и «выдают» местоположение съемки, тем самым позволяя отслеживать передвижение клиента.

Пока эта «проблема» затрагивает только учетные записи социалок и записать iso образ на диск можете пока без оглядки. Но кто знает, может нам чего-то и не договорили.

Такие технологии как Riot являют собой наглядную демонстрацию того, что практически любые технологические новинки в сфере коммуникаций между людьми могут стать достоянием третьих лиц. Это не может не вызывать определенных тревог и волнений среди потребителей.

На этом фоне вполне логичным будет спрос на программы антишпионы. Может это и не панацея от всего арсенала Riot, но лучше так, чем ничего.

Телефонная, сигнальная и любая малоточная  линия – самый распространенный и самый незащищенный канал связи.

Наибольшее внимание нужно уделять электрическим цепям связи: проводным, кабельным. Получили распространение как контактные, так и бесконтактные способы подключения.Например, прослушивать телефонную ли­нию в наше время стало простым и дешевым способом. Если кто-то заинтересовался чужой информацией, то первое, что он скорее всего сделает – это начнет контролировать телефон­ные переговоры источника этой информации. Существуют два способа подключения к телефонной линии:

контактный

 и бесконтактный

1) телефонные аппараты (даже при положенной трубке) могут быть использованы для перехвата акустической речевой информации из помещений, в которых они установлены, то есть для подслушивания разговоров в этих помещениях;

2) телефонные линии, проходящие через помещения, могут использоваться в качестве источников питания акустических закладок, установленных в этих помещениях, а также для передачи перехваченной информации;

3) возможен перехват (подслушивание) телефонных разговоров путем гальванического или через индукционный датчик подключения к телефонной линии закладок (телефонных ретрансляторов), диктофонов и других средств несанкционированного съема информации.

Телефонный аппарат имеет несколько элементов, способных преобразовывать акустические колебания в электрические сигналы (микрофонный эффект). К ним относятся звонковая цепь, телефонный и, конечно, микрофонный капсюли. За счет электроакустических преобразований в этих элементах возникают информационные (опасные) сигналы. При положенной трубке телефонный и микрофонный капсюли гальванически отключены от телефонной линии и при подключении к ней специальных высокочувствительных низкочастотных усилителей возможен перехват опасных сигналов, возникающих в элементах только звонковой цепи. Амплитуда этих опасных сигналов, как правило, не превышает долей мВ.

При использовании для съема информации метода "высокочастотного навязывания", несмотря на гальваническое отключение микрофона от телефонной линии, сигнал навязывания благодаря высокой частоте проходит в микрофонную цепь и модулируется по амплитуде информационным сигналом.

С расцветом информационных технологий (ИТ) обеспечение информационной безопасности, как правило, ограничивается защитой корпоративной сети. В то же время защитой распространённого и уязвимого канала передачи информации - обыкновенного телефона - почему-то пренебрегают. Отметим, что телефонная система является самым распространённым средством связи. Её наличие на территории учреждения с «деликатными местами» укрытия средств несанкционированного съёма информации (НСИ) представляет собой большую угрозу для информационной безопасности, так как, во-первых, создаёт канал, по которому можно передавать с защищаемого объекта информацию; во-вторых, обеспечивает условия для подведения питания к средствам НСИ. Технологии прослушивания в этой области не претерпели за последнее время серьёзного изменения. Те методы, которые впервые использовались для съёма информации с телефонной линии в 1906 г, позволяют и спустя 100 лет проделать то же самое, а любой «продвинутый» радиолюбитель может на коленке смастерить хороший «жучок». Вспомним, что фраза «это не телефонный разговор» уже давно вошла в обиход.