Блогът на bojo12345 :: Набъркани в кибершпионаж

Постинг

Обратно към блога | Предишен постинг | Следващ постинг

27.12.2020 07:00 - Набъркани в кибершпионаж

Автор: bojo12345 Категория: Новини

Прочетен: 426 Коментари: 0 Гласове:

И БЪЛГАРИЯ Е ТОЧКА В ОБРЪЧИТЕ НА CIRCLES
CITIZEN: КРЪГОВ МАРАТОН С ДЪРЖАВНИ КЛИЕНТИ НА ФИРМА ЗА КИБЕРШПИОНАЖ

Екип На Биволъ 12 декември 2020

Преди 5 години Биволъ осветли фирмата за кибершпионаж Circles, която е базирана в България чрез “Съркълс България”. Тя се е регистрирала у нас като виртуален телеком оператор, за да получи достъп до сигналната системи на телекомите SS7. През SS7 софтуерът на Circles може да проследява местоположението на телефоните дори в роуминг и да прихваща незащитени SMS съобщения и обаждания.

През последните години бизнесът на “Съркълс България” просперира. Дружеството е собственост на кипърската компания “СС – Съркълс Солюшънс” Лимитед. През 2017 тя получава кредит от 275 милиона долара от две офшорки и швейцарска банка регистрирана на Кайманските острови. От 2015 до 2020 г. персоналът на българската фирма нараства двойно и в момента достига 150 души.

Договорът за заем на Circles с офшорни фирми.
Преди няколко дни излезе ново проучване на авторитетната лаборатория CitizenLab, в което се разкрива, че Circles е продавала шпионския си софтуер на държави с диктаторски режими. В много случаи те го използват, за да следят и репресират дисиденти.

Citizen Lab предупреждават правителството на САЩ, че дейностите на Circles представляват заплаха за националната сигурност. Експертите отправят предупреждение и към високорисковите потребители – правозащитници, граждански активисти, журналисти и правителствени агенти трябва да дезактивират всички услуги, използващи двуфакторна идентификация през SMS и да въведат допълнителни кодове за защита на приложенията Signal и WhatsApp.

Биволъ преведе статията на CitizenLab с незначителни съкращения.

Резюме и ключови констатации от доклада на Citizen Lab
Circles е компания за наблюдение, която съобщава, че се възползва от слабостите в глобалната система за мобилни телефони, за да подслушва разговори, проследява текстове и местоположението на телефоните по целия свят. Circles е свързана с NSO Group, която разработва най-често злонамерено употребявания шпионски софтуер Pegasus.

Circles, чиито продукти работят без да се хакне телефонът, твърдят, че продават само на държавно ниво. Според изтекли документи, клиентите на Circles могат да закупят система, която да свързват с инфраструктурата на местните телекомуникационни компании, или да използват отделна система, наречена “Circles Cloud”, която се свързва с телекомуникационните компании по целия свят.

Според Министерството на вътрешната сигурност на САЩ всички безжични мрежи в страната са уязвими към видовете слабости, за които се твърди, че се използват от Circles. По-голямата част от мрежите по света са също уязвими.

Използвайки интернет сканиране, намерихме уникален подпис, свързан с имената на хостовете на защитните стени (firewalls), използвани в разположенията на Circles. Това сканиране ни позволи да идентифицираме наличието на Circles в поне 25 държави.

Стигнахме до заключението, че правителствата на следните страни са вероятни клиенти: Австралия, Белгия, Ботсвана, Чили, Дания, Еквадор, Естония, Екваториална Гвинея, Гватемала, Хондурас, Индонезия, Израел, Кения, Малайзия, Мексико, Мароко, Нигерия, Перу, Сърбия, Тайланд, Обединените арабски емирства (ОАЕ), Виетнам, Замбия и Зимбабве.

Някои от конкретните правителствени клонове, които идентифицираме с различна степен на категоричност като клиенти на компанията, имат история, която използва дигиталната технология за нарушения на правата на човека. В няколко конкретни случая успяхме да посочим местоположението на определен клиент – като командването на операциите по сигурността (ISOC) на Кралската армия на Тайланд, за която се твърди, че е измъчвала задържани.

1. Обща информация
Обществената дискусия около наблюдението и проследяването до голяма степен е съсредоточена върху добре познати технически средства, като например целенасочено хакерство и прихващане в мрежата. Въпреки това други форми на проследяване се използват редовно и широко от правителствата и третите страни за осъществяване на трансгранично наблюдение и мониторинг.

Една от най-широко използваните (и недооценени) възможности е установяването на слабости в глобалната инфраструктура на мобилните телекомуникации, за да се следят и прихващат телефонните обаждания и трафика.
Макар, че добре обезпечените правителства отдавна имат възможност да извършват такава дейност, през последните години се появиха компании за продажба на тези екстри. Например, Guardian съобщи през март 2020 г., че Саудитска Арабия вероятно “експлоатира слабости в глобалната мобилна телекомуникационна мрежа за проследяване на гражданите, докато пътуват из САЩ”. Други разследващи доклади сочат, че журналисти, дисиденти и опозиционни политици в Нигерия и Гватемала са били обект на подобна цел.

Злоупотребата с глобалната телефонна система за проследяване и мониторинг се смята за широко разпространена, но е трудно да се разследва. Когато дадено устройство се проследява или са прихванати съобщения, не е задължително да останат следи по въпросното устройство, за да могат да се открият проследяващите. Междувременно при клетъчните оператори са налице много технически трудности да идентифицират и блокират злоупотребите с тяхната инфраструктура.

SS7 атаки
Системата за сигнализация 7 (SS7) е протоколен пакет, разработен през 1975 г. за обмен на информация и маршрутизиране на телефонни разговори между различните телекомуникационни компании. По време на развитието на SS7 глобалната телефонна мрежа се състои от малък клуб от монополисти телекомуникационни оператори. Тъй като тези компании обикновено се доверяват една на друга, дизайнерите на SS7 не са счели за нужно удостоверяването или контрола на достъпа. Въпреки това, с появата на телекомуникационното дерегулиране и мобилните технологии скоро започнаха спорове около предположението за доверие. Обаче SS7 издържа, благодарение на желанието да се поддържа оперативна съвместимост с по-старо оборудване.

Поради липсата на удостоверяване на SS7, всеки нападател, който свързва мрежата на SS7 (като разузнавателна агенция, кибер-престъпник или фирма за наблюдение, която управлява фалшива телефонна компания) може да изпраща команди до абонатната “домашна мрежа” и да показва, че абонатът е роуминг. Тези команди позволяват на нападателя да следи местоположението на жертвата и да прихваща гласови повиквания и SMS текстови съобщения.

Тези възможности могат да се използват и за прихващане на кодове, използвани за двуфакторно удостоверяване, изпратени чрез SMS. За телекомуникационните оператори е трудно и скъпо да различават злонамерения трафик от доброкачественото поведение, което прави тези атаки трудни за блокиране.

Днес SS7 се използва предимно в 2G и 3G мобилните мрежи (4G мрежите използват по-новия протокол Diameter). Една от основните функции на SS7 в тези мрежи е обработката на роуминг, където абонат на “домашна мрежа” може да се свърже с различна “посетена мрежа”, като например при пътуване в чужбина. В този случай SS7 се използва за обработка на пренасочване на телефонни обаждания и SMS текстови съобщения до “посетена мрежа”. Въпреки че протоколът Diameter на 4G включва функции за удостоверяване и контрол на достъпа, те са по избор. Освен това необходимостта от Diameter мрежи за свързване с SS7 мрежите също предизвиква и проблеми със сигурността. Налице е широко разпространената загриженост, че 5G технологиите и други постижения ще наследят рисковете от тези по-стари системи.

Circles
Докато компаниите, които продават системи за експлоатация на глобалната клетъчна система са склонни да работят в тайна, една компания се очертава като известен играч: Circles. Компанията е създадена през 2008 г., придобита през 2014 г. от Francisco Partners, след което се слива с NSO Group. Circles е известна с продажбата на системи за използване на SS7 уязвимости и твърди, че продава тази технология изключително на национални държави.

За разлика от Pegasus spyware на NSO Group, механизмът SS7, чрез който се твърди, че работи продуктът на Circles, няма очевиден подпис на целевия телефон, като например насочването на SMS с цел да се нанесе злонамерен линк, който понякога се намира на телефон, насочен към Pegasus.

Повечето проучвания на Circles разчитат на вътрешна информация и разузнаване с отворен код, а не на технически анализ. Например разследване от 2016 г. на нигерийския вестник Premium Times разкри, че двама държавни лидери в Нигерия са придобили системите на Circles и ги използват, за да шпионират политически опоненти. В единия случай системата е инсталирана в резиденцията на един от въпросните властници. Нашето проучване откри две системи на Circles в Нигерия.

Документи, подадени като част от съдебно дело срещу NSO Group в Израел показват имейли, разменени между Circles и няколко клиенти в ОАЕ. Те показват изпращане на местоположение на обекти и телефонни записи (Call Detail Records или CDRs) от Circles до Върховния съвет на ОАЕ за национална сигурност (SCNS), очевидно като част от демонстрация на продукта. Имейлите показват и, че прихващането на телефонни разговори на чужда цел има по-голям шанс за успех, когато целта е роуминг.

Същите документи обясняват някои аспекти на работата на системата Circles. SCNS е с нагласата да получи две отделни системи: самостоятелна, която може да се използва за местни прихващания и друга отделна система, свързана със “Circles Cloud” ( с договори за роуминг по света), която може да се използва за прихващания извън ОАЕ, ако желае.

През 2015 г. Intelligence Online предлага на Circles да стартира фалшива телефонна компания, наречена “Circles България”, за да улесни прихващането на хора по целия свят. Неотдавна докладът на Forensic News от 2020 г. повдигна въпроси за истинския бизнес на FloLive, за която се предполага, че е компания за връзка с интернет. Forensic News откри, че FloLive се е свързала със Circles и предлага компанията да бъде “лице за хакерите и частните шпиони зад Circles”.

Има и ограничена информация за това как системата Circles се интегрира с водещия шпионски софтуер Pegasus spyware на NSO Group, въпреки, че бивш служител на NSO Group посочил, че дънната платка на Pegasus има “ужасна интеграция с Circles и че Circles “преувеличават способностите на тяхната система”.

2. Снемане на дигитални отпечатъци и сканиране за Circles

Докато търсихме с Shodan (първата в света търсачка за свързани с интернет устройства, бел.ред.), се натъкнахме на интересни резултати в AS200068, блок от IP адреси, регистрирани в Circles Bulgaria. (Снимка 2). Тези резултати показват имена на хостове на защитните стени, произведени от Check Point, както и имена на хостове на SmartCenter екземпляра на защитната стена. SmartCenter може да се използва за централизирано управление на множество защитни стени с Check Point.

Резултати от Shodan за защитните стени на контролния център на AS200068 (Circles България Ltd).
Сред регистрираните хостове в SmartCenter в Circles, AS200068 съдържа домейна с име tracksystem.info. Изглежда ясно, че tracksystem.info е свързан със Circles, тъй като изтекли документи разкриват служителите на Circle, комуникиращи от @tracksystem.info имейл-адреси. Освен това, за RiskIQ, 17 от 37-те IP адреса, посочени от tracksystem.info или неговите поддомейни, са в AS200068, както и AS60097, също регистрирани в Circles Bulgaria.

Търсихме Check Point защитни стени с хост в SmartCenter, съдържащи tracksystem.info в Shodan, Censys, Fofa, и sonar-ssl данни в Rapid7. Търсихме и IP адреси, които връщат особено “случайни” TLS сертификати, съвпадащи със следвания регулярен израз, като видяхме тези сертификати върнати от Check Point защитната стена с tracksystem.info в техните имена на хостовете в SmartCenter:

Като цяло идентифицирахме 252 IP адреса в 50 ASN, съответстващи на нашите цифрови отпечатъци. Много от тях имат поле “Firewall Host”, привидно показващо, че системите са били клиентски, например client-circles-thailand-nsb-node-2, въпреки, че някои използват думата telco на мястото на клиента, а някои са по-скоро родово име, отколкото име на клиент, например, cf-00-182-1. В случаите, когато идентифицирахме Check Point защитни стени в Circles на доставчик на Transit/Access ISP (т.е. интернет доставчик на не-център за данни ISP), допуснахме, че някои агенции на правителството на съответната държава са били клиент на Circles.

Някои от клиентите, които идентифицирахме, имат никнейм с две думи, като първата е марка на автомобил, която почти винаги съвпада с първата буква на държавата на очевидния клиент. Например, защитните стени на Circles, чиито IP адреси са с геолокации в Мексико, се наричат “Mercedes”, тези в Тайланд са “Toyota”, други с геолокации до Абу Даби се наричат “Aston”, а в Дубай са “Dutton”.

Използването на марки на автомобили за обозначаване на клиенти е съобщено за първи път от израелския в. „Haaretz“, макар, че в доклада се посочва, че това е практика на NSO Group, а не на “Circles”. „Haaretz“ съобщава следните кодови имена: Саудитска Арабия е “Subaru”, Бахрейн е “BMW”, а Йордания е “Jaguar”. Нашите проучвания не разкриха никакви Check Point защитни стени, свързани със Circles под имената Subaru или Jaguar, въпреки че ние идентифицирахме защитни стени с името “BMW” с локация в Белгия.

прочети всичко тук: https://bivol.bg/circles-citizen-lab.html

Нагоре