Hoewel de Pegasus-spyware van de NSO Group misschien wel het meest opvallende bewakingswapen is dat door repressieve regeringen tegen het maatschappelijk middenveld wordt gebruikt, is een recent ontdekte, krachtige mobiele verkenningsmalware genaamd Hermit aan het licht gekomen, die door een Italiaanse ontwikkelaar wordt aangeprezen als een "wettig onderscheppingsinstrument".
Op de komende SecTor 2022 conferentie in Toronto zullen Christoph Hebeisen, directeur van security intelligence research bij Lookout, en Paul Shunk, security researcher bij het bedrijf, de bewakingscapaciteiten van Hermit uiteenzetten, tegen de achtergrond van de groeiende nationale markt en het gebruik van deze schimmige toepassingen.
Tot nu toe heeft Lookout de Hermit-spyware waargenomen die door de regering van Kazachstan wordt gebruikt na de gewelddadige onderdrukking van protesten met de hulp van Russische strijdkrachten; wordt toegepast door de Italiaanse wetshandhaving; en wordt ingezet tegen de Koerdische minderheid in de door conflicten geteisterde noordoostelijke Syrische regio Rojava.
Kluizenaar: 1 niveau onder Pegasus verbergen
De onderzoekers trappen hun sessie van 5 oktober af, getiteld “Een kluizenaar uit zijn schulp”, met een bespreking van waar Hermit past in het plaatje van mobiele spyware. Het is ontwikkeld door een in Italië gevestigde leverancier genaamd RCS Lab en een gerelateerd bedrijf genaamd Tykelab Srl, volgens Hebeisen, en wordt meestal gedistribueerd op zowel Android- als iOS-platforms door zich voor te doen als legitieme mobiele apps in plaats van in aanvallen die misbruik maken van softwarekwetsbaarheden.
“Er is een gevarieerde markt voor; NSO Group staat zeker aan de top van het veld, en iedereen herkent de naam, want ze gebruiken zero-click-exploits om hun bewakingsmalware op het apparaat te krijgen zonder dat de gebruiker er iets van merkt”, vertelt Hebeisen aan Dark Reading. “Maar er is een laag van deze wapens net daaronder, die als apps worden verspreid, en ze zijn zeer effectief, ook al vereisen ze een beetje social engineering om op het apparaat van een doelwit te komen. Daar speelt Kluizenaar.”
In termen van zijn mogelijkheden, voegt hij eraan toe dat Hermit een info-vacuümstoot heeft. Naast "standaard" spyware, zoals het volgen van de locaties van gebruikers, toegang krijgen tot microfoons en camera's van apparaten, afluisteren van oproepen en sms-berichten en het stelen van mediabestanden, biedt het ook de mogelijkheid om elk stukje inhoud en gegevens op te sporen in een van de apps die gebruikers hebben geïnstalleerd, inclusief versleutelde berichten-apps.
"Dit is een zeer geavanceerde bewakingstool", zegt Hebeisen. “Het neemt het besturingssysteem volledig over en kan letterlijk alles bespioneren. Gezien hoe diep geworteld in onze levens telefoons tegenwoordig zijn en vooral al onze privé-activiteiten, is dit praktisch een perfect hulpmiddel om alles te weten te komen wat een aanvaller ooit over iemand wilde weten."
Hij voegt eraan toe dat de malware onder de motorkap is ontworpen om wendbaar en flexibel te zijn.
"Hermit is op een zeer zakelijke manier gebouwd, omdat het modulair is", legt Hebeisen uit. "Dus we vermoeden dat dat misschien deel uitmaakt van het bedrijfsmodel, waar ze verschillende niveaus van deze bewakingskit kunnen verkopen door bepaalde modules op te nemen of uit te sluiten."
Vanuit een breder perspectief toont Hermit een ongemakkelijke realiteit als het gaat om de volgende generatie mobiele malware: "Ondanks dat mobiele besturingssystemen veel moderner zijn dan veel van de desktopsystemen en er al veel meer beveiligingscontroles zijn, is het nog steeds mogelijk voor aanvallers om ze te omzeilen en vervolgens de legitieme functionaliteit van het besturingssysteem te gebruiken tegen doelen”, zegt Hebeisen.
Nation-state Spyware: een groeiende bedreiging
Opgemerkt moet worden dat bedrijven die in deze grijze ruimte actief zijn, waaronder RCS Labs, NSO Group, FinFisher-maker Gamma Group, het Israëlische bedrijf Candiru en het Russische Positive Technologies beweren dat ze alleen verkopen aan legitieme inlichtingen- en handhavingsinstanties. Dat is echter een bewering die velen verwerpen, waaronder de Amerikaanse regering, die onlangs gesanctioneerd verschillende van deze organisaties voor hun bijdrage aan mensenrechtenschendingen en het aanvallen van journalisten, mensenrechtenverdedigers, dissidenten, politici van de oppositie, bedrijfsleiders en anderen.
Desalniettemin merkt Hebeisen op dat er steeds meer mobiele spyware-tools worden ontwikkeld voor de bloeiende zogenaamde "legale intercept"-markt, wat wijst op een aanhoudende vraag. Als er een wordt neergehaald, "zijn er tal van andere bedrijven in de coulissen die wachten om het over te nemen", zegt hij.
De vraag is logisch vanuit geopolitiek perspectief naarmate naties afstand nemen van kinetische conflicten.
“In tegenstelling tot fysieke wapens, waarvoor je met allerlei exportcontroles te maken wilt hebben als je die wilt verkopen aan regimes die bekend staan om mensenrechtenschendingen, lijkt het veel makkelijker om daar omheen te komen als je met surveillance te maken hebt. gereedschappen, die in wezen gewoon een andere set wapens zijn in de strijd”, legt Hebeisen uit.
