V oblasti kybernetické bezpečnosti byl odhalen nový špionážní software s názvem Hermit. Stejně jako špionážní software Pegasus od izraelské firmy NSO je i Hermit využívaný vládami, které prostřednictvím SMS cílí na vysoce postavené nebo ve svém oboru důležité osoby, jako například vedoucí pracovníky podniků, aktivisty za lidská práva, novináře, akademiky či vládní úředníky.
Tým společnosti Lookout Threat Lab, zabývající se kybernetickou bezpečností, letos na jaře odhalil „sledovací software“, jenž byl v dubnu používán vládou Kazachstánu během násilného potlačení protivládních celonárodních protestů. „Na základě naší analýzy je pravděpodobné, že spyware, který jsme pojmenovali ‚Hermit‘, vyvinul italský dodavatel spywaru RCS Lab a společnost Tykelab Srl, která se zabývá telekomunikačními řešeními. Společnost Tykelab Srl přitom podezříváme, že funguje jako krycí společnost,“ uvedli výzkumníci ve svém příspěvku na blogu minulý týden.
Podle jejich názoru to však není poprvé, co byl software Hermit nasazen do akce. Pracovníci Lookout Threat Lab totiž odhalili, že tento software použily při protikorupční operaci v roce 2019 rovněž italské orgány. Mimo to se objevily důkazy, že neznámý aktér použil Hermit i v převážně kurdském regionu severovýchodní Sýrie, dějišti mnoha tamních konfliktů.
RCS Lab, jejich spyware a kontroverzní konexe
Italská společnost RCS Lab působí v oboru špionážních technologií již více než tři desetiletí. Své výrobky nabízí stejným trhům jako společnost NSO Group Technologies, jež vyvinula spyware Pegasus. Obě firmy se oficiálně zabývají „zákonným odposlechem“ a tvrdí, že svou technologii prodávají pouze zákazníkům, kteří mají k využití špionážních softwarů legitimní oprávnění, tedy zpravodajským službám a orgánům činným v trestním řízení. „Ve skutečnosti jsou tyto nástroje často pod záminkou národní bezpečnosti zneužívány ke špehování vedoucích pracovníků podniků, aktivistů za lidská práva, novinářů, akademiků a vládních úředníků,“ varovali výzkumníci.
Podle týmu z Lookout Threat Lab napadá spyware Hermit konkrétní mobil prostřednictvím SMS zpráv, jež předstírají, že mají původ u legitimního zdroje. Analyzované vzorky se vydávaly za aplikace telekomunikačních společností nebo výrobců chytrých telefonů. Hermit klame uživatele tím, že při spuštění škodlivých aktivit zobrazuje na pozadí legitimní webové stránky značek, za něž se vydává.
Známá je také verze Hermitu pro operační systém Apple iOS, Lookout Thread Lab se ale zatím nepodařilo získat její vzorek k analýze.
Stejně jako o dalších dodavatelích špionážních softwarů není o společnosti RCS Lab a jejích klientech mnoho známo. Z dostupných informací přesto vyplývá, že má značnou mezinárodní působnost.
Podle uniklých dokumentů zveřejněných ve WikiLeaks v roce 2015 byla společnost RCS Lab prodejcem spywaru HackingTeam, nyní známého jako Memento Labs, a to již v roce 2012. Korespondence odhalila, že RCS Lab spolupracovala s vojenskými a zpravodajskými agenturami v Pákistánu, Chile, Mongolsku, Bangladéši, Vietnamu, Myanmaru a Turkmenistánu – poslední tři jmenované země jsou přitom běžně řazeny k autoritářským režimům.
Společnost RCS Lab v minulosti jednala i se Sýrií, a to v rámci spolupráce s berlínskou společností Advanced German Technology (AGT) při prodeji sledovacích řešení.
Americká obranná skupina jedná o koupi špionážního softwaru Pegasus
Tykelab a jeho propojení s RCS Lab
Co se týče společnosti Tykelab, podle webových stránek poskytuje neškodná technologická řešení. Pracovníci Lookout Threat Lab ale objevili různé veřejně dostupné indicie, jež naznačují opak, a také propojení firmy se společností RCS Lab.
Například profil jednoho ze současných zaměstnanců Tykelabu na síti LinkedIn vypovídá o tom, že pracuje i ve společnosti RCS Lab.
Kromě toho Tykelab nabízí služby, které vyžadují dovednosti, jež mohou být užitečné při vývoji a poskytování surveillancewaru (typ softwaru umožňující zachytit soukromou online aktivitu oběti). Jde například o znalosti nebo interakce s telekomunikačními sítěmi, analýzu sociálních médií, SMS služby a vývoj mobilních aplikací. V jedné z nalezených pracovních nabídek společnosti Tykelab na pozici bezpečnostního inženýra jsou vypsány požadované dovednosti, které by se přímo uplatnily při dohledu nad mobilními sítěmi a zařízeními.
Mimo to se Lookout Thread Lab také podařilo objevit spojení mezi Tykelab a RCS Lab na základě IP adres.
Jak Hermit klame oběti a vyhýbá se odhalení
Jak už bylo zmíněno, Hermit předstírá, že pochází z normálních telekomunikačních společností nebo výrobců chytrých telefonů. Aby si malware tuto falešnou masku udržel, načítá a zobrazuje webové stránky těchto firem a současně spouští své škodlivé aktivity.
Než však k této činnosti dojde, provede Hermit řadu kontrol, aby se ujistil, že není analyzován. Což zahrnuje hledání přítomnosti emulátoru a známek toho, že samotná aplikace byla upravena tak, aby usnadnila analýzu.
Rizikoví klienti, těšte se
Prodejci takzvaného „legálního odposlechu“, jako jsou společnosti RCS Lab nebo NSO Group, obvykle tvrdí, že své výrobky prodávají pouze subjektům, které je využívají k legitimní špionáži, například tedy policejním složkám bojujícím proti organizovanému zločinu nebo terorismu. Zejména v posledních letech se však objevilo mnoho zpráv o protizákonném zneužívání těchto spywarů. Podle všeho a navzdory aférám typu Pegasus bude tento trend nadále pokračovat.
Právě tento měsíc totiž generální ředitel skupiny NSO Shalev Hulio otevřel možnost prodeje špionážní technologie i „rizikovým“ klientům. Údajně kvůli finančním tlakům, jež firma zažívá.