Hacking Team蹤跡再現，又要有大動靜？

從Hacking Team 到Hacked Team ，到…?

自2003年成立以來，義大利間諜軟體供應商Hacking Team因向世界各地政府及其機構出售監控工具而聲名狼借。

其旗艦產品遠控系統（RCS）的功能包括從目標設備提取文件，攔截電子郵件和即時消息，以及遠程激活設備的網路攝像頭和麥克風。該公司一直因為向獨裁政府出售這些功能而受到批評—這一指責一直被拒絕。

時間定格在2015年7月，Hacking Team本身遭受了破壞性攻擊，並被證實了專制政權使用RCS的情況。隨著400GB的內部數據—包括一度秘密的客戶名單、內部通信和間諜軟體源代碼—在線泄露，Hacking Team被迫要求其客戶暫停使用所有RCS，並面臨著不確定的未來。

在黑客攻擊之後，安全界一直密切關注該公司努力恢復原狀。第一份報告暗示Hacking Team恢復操作是在六個月後推出的，Hacking Team的Mac間諜軟體的新樣本很瘋狂。在被黑之後一年，一家名為Tablem Limited的公司投資帶來了對Hacking Team股東結構的變更，而Tablem有限公司佔據了Hacking Team 20％的股份。 Tablem Limited在塞普勒斯正式成立。然而，最近的消息表明它與沙烏地阿拉伯有聯繫。

在剛剛完成對另一種商業間諜軟體產品FinFisher的研究之後，兩個涉及Hacking Team的有趣事件緊密相繼發生。Hacking Team顯著的財務恢復報告以及我們發現的帶有有效數字證書的全新RCS變體。

間諜軟體依然活躍

在調查的早期階段，來自the Citizen Lab 的朋友—他們長久以來一直跟蹤Hacking Team—為我們提供了寶貴意見，從而導致發現了當前在野使用的間諜軟體版本，使用了之前沒有見到過的有效數字證書籤名。

進一步研究之後發現了2015年被黑之後創建的更多Hacking Team間諜軟體樣本，與源代碼泄露之前發布的變體相比，這些樣本都略有修改。

這些樣本是在2015年9月至2017年10月期間編譯的。根據ESET遙測數據，我們認為這些日期是真實的。數據表明在這些日期的附近幾天內出現了野外樣本。

進一步的分析讓我們得出結論：所有的樣本都可以追溯到一個單一的團隊，而不是孤立的不同的攻擊者從Hacking Team泄漏的源代碼中構建的版本。

支持這一點的是用於簽名樣本的數字證書序列—我們發現了相繼發布的六個不同的證書。其中四個由Thawte頒發給四家不同的公司，另外兩個是頒發給Valeriano Bedeschi（Hacking Team聯合創始人）和一個名為Raffaele Carnacina的個人證書，如下表所示：

這些樣本還偽造了Manifest元數據—用於偽裝成合法應用程序，共同出現的有「Advanced SystemCare 9（9.3.0.1121）」，「Toolwiz Care 3.1.0.0」和「SlimDrivers（2.3.1.10）」。

我們的分析進一步表明，樣本的作者一直在使用VMProtect，顯然是為了使樣本不易被發現。這在被黑前Hacking Team的間諜軟體中也很常見。

單單這些樣本之間的聯繫，只能說明幾乎任何組織重新利用泄露的Hacking Team源代碼或安裝程序—就像Callisto Group在2016年初的情況一樣。但是，我們已收集到了更多的證據，指向Hacking Team的開發者們。

在分析的樣本中看到的版本（我們在攻克VMProtect保護後訪問），延續了Hacking Team在被黑時所停下的，且遵循相同模式。Hacking Team習慣於連續並經常在同一天編譯他們的payload—命名為Scout和Soldier，這也可以在新的樣本中看到。

下表顯示了2014年至2017年間Hacking Team Windows間諜軟體樣本的編譯日期，版本和證書頒發機構。Callisto Group泄露的源代碼被重新標記為紅色。

此外，我們的研究已經證實，泄漏後更新中引入的更改是根據Hacking Team自己的編碼風格制定的，並且常常在對代碼深高熟悉的地方發生。當從泄漏的Hacking Team源代碼創建新版本時，其他一些攻擊者（即原始Hacking Team開發人員以外的人員）在這些地方進行更改是非常不可能的。

我們在泄漏前後樣本之間發現的細微差異之一是啟動文件的大小。泄漏之前，複製文件的大小以4MB填充。在泄漏後的樣本中，該值為6MB------最有可能作為原始的檢測規避技術。

間諜軟體的功能與泄露的源代碼中的功能大部分重疊。到目前為止，我們的分析還沒有證實發布任何重大更新，正如其在被黑之後所承諾的那樣。

至於我們所分析的泄漏後樣本的分布向量，至少在兩起中，我們檢測到偽裝成PDF文檔的間諜軟體程序（使用多個文件擴展名）作為一個魚叉郵件的附件。附件文件名中包含意在減少外交官收到後減少懷疑的字元串。

結論

我們的研究讓我們高度自信，除了一個明顯的例外，我們所分析的泄漏後樣本確實是Hacking Team開發人員何為，而不是無關的參與者重用源代碼的結果，比如2016年Callisto組織的案例。

截至撰寫本文時，我們的系統已經在14個國家發現了這些新的Hacking Team間諜軟體樣本。我們沒有指出這些國家以防止基於這些檢測所引發的錯誤歸因，因為檢測的地理位置不一定能揭示攻擊來源。

IoCs

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！