Mens NSO Groups Pegasus-spyware måske er det højest profilerede overvågningsvåben, der bruges af undertrykkende regeringer mod civilsamfundet, er en nyligt opdaget, kraftfuld mobil rekognoscerings-malware, kaldet Hermit, kommet frem i lyset, som er blevet udråbt af en italiensk udvikler som et "lovligt aflytning"-værktøj.
På den kommende Sektor 2022 konference i Toronto vil Christoph Hebeisen, direktør for sikkerhedsefterretningsforskning hos Lookout, og Paul Shunk, sikkerhedsforsker i firmaet, opstille Hermits overvågningskapacitet på baggrund af det voksende nationalstatsmarked og brugen af disse skyggefulde applikationer.
Hidtil har Lookout observeret Eremit-spywaren, der blev brugt af regeringen i Kasakhstan efter den voldelige undertrykkelse af protester med hjælp fra russiske væbnede styrker; anvendes af italiensk retshåndhævelse; og blive udsendt mod det kurdiske mindretal i den konfliktplagede nordøstlige syriske region Rojava.
Eremit: Gemmer sig 1 niveau under Pegasus
Forskerne starter deres session den 5. oktober med titlen "En eremit ud af sin skal,” med en diskussion af, hvor Hermit passer ind i det mobile spyware-billede. Det blev udviklet af en italiensk-baseret leverandør kaldet RCS Lab og et relateret firma kaldet Tykelab Srl, ifølge Hebeisen, og distribueres normalt på både Android- og iOS-platforme ved at udgive sig som legitime mobilapps i stedet for i angreb, der udnytter softwaresårbarheder.
“Der er et varieret marked for disse; NSO Group er helt sikkert placeret i toppen af feltet, og alle genkender navnet, fordi de bruger nul-klik udnyttelser at få deres overvågnings-malware ind på enheden, uden at brugeren overhovedet bemærker noget,” siger Hebeisen til Dark Reading. "Men så er der en række af disse våben lige under det, som distribueres som apps, og de er meget effektive, selvom de kræver en lille smule social engineering for at komme ind på et måls enhed. Det er der Hermit spiller.”
Med hensyn til dens muligheder tilføjer han, at Hermit pakker en info-støvsugende punch. Ud over "standard" spyware-priser som at spore brugernes placering, få adgang til enhedens mikrofoner og kameraer, aflytte opkald og sms'er og stjæle mediefiler, tilbyder det også muligheden for at opsnuse hver eneste rest af indhold og data, der er placeret i nogen af apps, som brugerne har installeret, herunder krypterede beskedapps.
"Dette er et meget sofistikeret overvågningsværktøj," siger Hebeisen. "Det overtager styresystemet fuldstændigt og kan spionere på bogstaveligt talt alt. I betragtning af hvor dybt forankret i vores liv telefoner er i disse dage og især alle vores private aktiviteter, er dette praktisk talt et perfekt værktøj til at finde ud af alt, hvad en angriber nogensinde har ønsket at vide om nogen."
Han tilføjer, at under motorhjelmen er malwaren designet til at være smidig og fleksibel.
"Hermit er bygget på en meget forretningsmæssig måde, idet den er modulær," forklarer Hebeisen. "Så vi formoder, at det faktisk kan være en del af forretningsmodellen, hvor de kan sælge forskellige niveauer af dette overvågningssæt ved at inkludere eller udelukke visse moduler."
Fra et bredere perspektiv fremviser Hermit en ubehagelig virkelighed, når det kommer til næste generation af mobil malware: "På trods af at mobile operativsystemer er meget mere moderne end mange af desktopsystemerne og har mange flere sikkerhedskontroller allerede på plads, er det stadig muligt for angribere at komme forbi dem og så rent faktisk bruge operativsystemets legitime funktionalitet mod mål,” siger Hebeisen.
National-statens spyware: en voksende trussel
Det skal bemærkes, at virksomheder, der opererer i dette grå område, herunder RCS Labs, NSO Group, FinFisher skaberen Gamma Group, det israelske firma Candiru og Ruslands Positive Technologies hævder, at de kun sælger til legitime efterretnings- og håndhævelsesorganer. Det er imidlertid en påstand, som mange afviser, inklusive den amerikanske regering, som for nylig sanktioneret flere af disse organisationer for at bidrage til menneskerettighedskrænkelser og målretning af journalister, menneskerettighedsforkæmpere, dissidenter, oppositionspolitikere, erhvervsledere og andre.
Ikke desto mindre bemærker Hebeisen, at der udvikles flere og flere mobile spywareværktøjer til det blomstrende såkaldte "lovlige aflytning"-marked, hvilket indikerer en vedvarende efterspørgsel. Når man bliver ramt, "er der masser af andre virksomheder, der står i kulissen og bare venter på at tage over," siger han.
Kravet giver mening ud fra et geopolitisk perspektiv, efterhånden som nationer bevæger sig væk fra kinetisk konflikt.
"I modsætning til fysiske våben, som du skal håndtere alle former for eksportkontrol for, hvis du vil sælge dem til regimer, der er kendt for menneskerettighedskrænkelser, virker det meget nemmere at komme uden om det, når du har at gøre med overvågning værktøjer, som i bund og grund blot er et andet sæt våben i kampen,” forklarer Hebeisen.
