- بواسطة x32x01 ||
تم العثور على برنامج تجسس صيني EagleMsgSpy يستغل الأجهزة المحمولة منذ عام 2017
أكتشف باحثو الأمن السيبراني برنامج مراقبة جديدًا يشتبه في أن أقسام الشرطة الصينية تستخدمه كأداة اعتراض قانونية لجمع مجموعة واسعة من المعلومات من الأجهزة المحمولة.
تعمل أداة Android، التي تحمل الاسم الرمزي EagleMsgSpy بواسطة Lookout، منذ عام 2017 على الأقل، وتم تحميل العناصر إلى منصة فحص البرامج الضارة VirusTotal مؤخرًا في 25 سبتمبر 2024.
وقالت كريستينا بالام، كبيرة الباحثين في استخبارات التهديدات في Lookout، في تقرير فني تمت مشاركته مع The Hacker News: "تتكون برامج المراقبة من جزأين: ملف APK المثبت، وعميل المراقبة الذي يعمل بدون رأس على الجهاز عند تثبيته".
"يقوم برنامج EagleMsgSpy بجمع بيانات واسعة النطاق من المستخدم: رسائل الدردشة الخارجية، وتسجيل الشاشة والتقاط لقطات الشاشة، والتسجيلات الصوتية، وسجلات المكالمات، وجهات اتصال الجهاز، والرسائل النصية القصيرة، وبيانات الموقع، ونشاط الشبكة."
تم وصف EagleMsgSpy من قبل مطوريه بأنه "منتج مراقبة قضائية شامل للهاتف المحمول" يمكنه الحصول على "معلومات الهاتف المحمول في الوقت الفعلي للمشتبه بهم من خلال التحكم في الشبكة دون علم المشتبه به، ومراقبة جميع أنشطة الهاتف المحمول للمجرمين، وتلخيصها."
نسبت شركة الأمن السيبراني برنامج المراقبة إلى شركة صينية تدعى Wuhan Chinasoft Token Information Technology Co., Ltd. (المعروفة أيضًا باسم Wuhan Zhongruan Tongzheng Information Technology Co., Ltd وWuhan ZRTZ Information Technology Co, Ltd.)، مستشهدة بتداخل البنية التحتية والمراجع داخل كود المصدر.
وقالت شركة Lookout إن المستندات الداخلية للشركة التي حصلت عليها من الأدلة المفتوحة على البنية التحتية التي يتحكم فيها المهاجم تشير إلى احتمال وجود مكون iOS، على الرغم من أن مثل هذه القطع الأثرية لم يتم اكتشافها بعد.
ما يميز برنامج EagleMsgSpy هو حقيقة أنه يبدو أنه يتطلب الوصول الفعلي إلى الجهاز المستهدف لتنشيط عملية جمع المعلومات. ويتم تحقيق ذلك عن طريق نشر وحدة التثبيت التي تكون مسؤولة بعد ذلك عن تسليم الحمولة الأساسية، والتي يشار إليها بخلاف ذلك باسم MM أو eagle_mm.
ومن جانبه، يمكن الحصول على عميل المراقبة من خلال طرق مختلفة، مثل رموز QR أو عبر جهاز فعلي يقوم بتثبيته على الهاتف عند توصيله بـ USB. من المعتقد أن الأداة التي تتم صيانتها بشكل نشط يتم استخدامها من قبل العديد من عملاء بائع البرنامج، نظرًا لأنها تتطلب منهم توفير "قناة" تتوافق مع الحساب كمدخل.
تم تصميم إصدار EagleMsgSpy لنظام التشغيل Android لاعتراض الرسائل الواردة، وجمع البيانات من QQ، وTelegram، وViber، وWhatsApp، وWeChat، وبدء تسجيل الشاشة باستخدام Media Projection API، والتقاط لقطات الشاشة والتسجيلات الصوتية.
وهو مجهز أيضًا لجمع سجلات المكالمات وقوائم جهات الاتصال وإحداثيات نظام تحديد المواقع العالمي (GPS) وتفاصيل حول اتصالات الشبكة وشبكة Wi-Fi والملفات الموجودة في وحدة التخزين الخارجية والإشارات المرجعية من متصفح الجهاز وقائمة التطبيقات المثبتة على الأجهزة. يتم بعد ذلك ضغط البيانات المجمعة في ملفات أرشيف محمية بكلمة مرور ويتم نقلها إلى خادم القيادة والتحكم (C2).
على عكس الإصدارات المبكرة من EagleMsgSpy التي استخدمت القليل من تقنيات التشويش، تستخدم الإصدارات الحديثة أداة حماية التطبيقات مفتوحة المصدر تسمى ApkToolPlus لإخفاء بعض التعليمات البرمجية. تتواصل وحدة المراقبة مع C2 من خلال WebSockets باستخدام بروتوكول STOMP لتوفير تحديثات الحالة وتلقي المزيد من التعليمات.
وقال بلعام: "تستضيف خوادم EagleMsgSpy C2 لوحة إدارية تتطلب مصادقة المستخدم". "يتم تنفيذ هذه اللوحة الإدارية باستخدام إطار عمل AngularJS، مع توجيه ومصادقة تم تكوينهما بشكل مناسب لمنع الوصول غير المصرح به إلى واجهة برمجة التطبيقات الإدارية الشاملة."
إنها شفرة مصدر اللوحة التي تحتوي على وظائف مثل "getListIOS()" للتمييز بين منصات الأجهزة، في إشارة إلى وجود إصدار iOS من أداة المراقبة.
وقد وجد تحقيق Lookout أن اللوحة تسمح للعملاء، ومن المحتمل أن يكونوا وكالات إنفاذ القانون الموجودة في البر الرئيسي للصين، ببدء جمع البيانات في الوقت الفعلي من الأجهزة المصابة. الرابط الآخر الذي يشير إلى الصين هو رقم هاتف مشفر في ووهان محدد في العديد من عينات EagleMsgSpy.
حددت Hacker News أيضًا العديد من طلبات براءات الاختراع المقدمة من شركة Wuhan ZRTZ Information Technology Co, Ltd. والتي تتعمق في الأساليب المختلفة التي يمكن استخدامها "لجمع وتحليل بيانات العميل مثل بيانات أنواع معينة مثل سجل المكالمات للهاتف المحمول للمشتبه به، رسائل قصيرة، ودفتر عناوين، وبرامج محادثة فورية (QQ، WeChat، Momo، وما إلى ذلك) وما إلى ذلك، وإنشاء مخطط علاقة بين المشتبه به والآخرين."
براءة اختراع أخرى توضح تفاصيل "طريقة ونظام تلقائي لجمع الأدلة"، مما يشير إلى أن الشركة التي تقف وراء EagleMsgSpy تركز في المقام الأول على تطوير المنتجات التي لها حالات استخدام لإنفاذ القانون.
وقال بلعام لصحيفة The Hacker News: "من الممكن أن تكون الشركة قد دمجت المنهجيات الموضحة في طلبات براءات الاختراع الخاصة بها - خاصة في الحالات التي تدعي فيها أنها طورت طرقًا فريدة لإنشاء مخططات العلاقات بين مجموعات بيانات الضحايا". "ومع ذلك، ليس لدينا نظرة ثاقبة حول كيفية معالجة الشركة للبيانات من جانب الخادم والتي تم تسريبها من الأجهزة الضحية."
علاوة على ذلك، قالت Lookout إنها حددت عنواني IP مرتبطين بشهادات EagleMsgSpy C2 SSL (202.107.80[.]34 و119.36.193[.]210) التي تم استخدامها من قبل أدوات المراقبة الأخرى المرتبطة بالصين مثل PluginPhantom وCarbonSteal. وقد تم استخدام كلاهما لاستهداف مجتمعات التبت والأويغور في الماضي.
وقالت الشركة: "يتم وضع البرامج الضارة على الأجهزة الضحية وتهيئتها من خلال الوصول إلى جهاز الضحية غير المؤمن". "بمجرد تثبيتها، تعمل الحمولة مقطوعة الرأس في الخلفية، لتخفي أنشطتها عن مستخدم الجهاز وتجمع بيانات واسعة النطاق من المستخدم. تشير [الدعوات العامة لتقديم عروض] لأنظمة مماثلة إلى أن أداة المراقبة هذه أو الأنظمة المماثلة قيد الاستخدام من قبل العديد من مكاتب الأمن العام في الصين.
أكتشف باحثو الأمن السيبراني برنامج مراقبة جديدًا يشتبه في أن أقسام الشرطة الصينية تستخدمه كأداة اعتراض قانونية لجمع مجموعة واسعة من المعلومات من الأجهزة المحمولة.
وقالت كريستينا بالام، كبيرة الباحثين في استخبارات التهديدات في Lookout، في تقرير فني تمت مشاركته مع The Hacker News: "تتكون برامج المراقبة من جزأين: ملف APK المثبت، وعميل المراقبة الذي يعمل بدون رأس على الجهاز عند تثبيته".
"يقوم برنامج EagleMsgSpy بجمع بيانات واسعة النطاق من المستخدم: رسائل الدردشة الخارجية، وتسجيل الشاشة والتقاط لقطات الشاشة، والتسجيلات الصوتية، وسجلات المكالمات، وجهات اتصال الجهاز، والرسائل النصية القصيرة، وبيانات الموقع، ونشاط الشبكة."
تم وصف EagleMsgSpy من قبل مطوريه بأنه "منتج مراقبة قضائية شامل للهاتف المحمول" يمكنه الحصول على "معلومات الهاتف المحمول في الوقت الفعلي للمشتبه بهم من خلال التحكم في الشبكة دون علم المشتبه به، ومراقبة جميع أنشطة الهاتف المحمول للمجرمين، وتلخيصها."
نسبت شركة الأمن السيبراني برنامج المراقبة إلى شركة صينية تدعى Wuhan Chinasoft Token Information Technology Co., Ltd. (المعروفة أيضًا باسم Wuhan Zhongruan Tongzheng Information Technology Co., Ltd وWuhan ZRTZ Information Technology Co, Ltd.)، مستشهدة بتداخل البنية التحتية والمراجع داخل كود المصدر.
وقالت شركة Lookout إن المستندات الداخلية للشركة التي حصلت عليها من الأدلة المفتوحة على البنية التحتية التي يتحكم فيها المهاجم تشير إلى احتمال وجود مكون iOS، على الرغم من أن مثل هذه القطع الأثرية لم يتم اكتشافها بعد.
ما يميز برنامج EagleMsgSpy هو حقيقة أنه يبدو أنه يتطلب الوصول الفعلي إلى الجهاز المستهدف لتنشيط عملية جمع المعلومات. ويتم تحقيق ذلك عن طريق نشر وحدة التثبيت التي تكون مسؤولة بعد ذلك عن تسليم الحمولة الأساسية، والتي يشار إليها بخلاف ذلك باسم MM أو eagle_mm.
ومن جانبه، يمكن الحصول على عميل المراقبة من خلال طرق مختلفة، مثل رموز QR أو عبر جهاز فعلي يقوم بتثبيته على الهاتف عند توصيله بـ USB. من المعتقد أن الأداة التي تتم صيانتها بشكل نشط يتم استخدامها من قبل العديد من عملاء بائع البرنامج، نظرًا لأنها تتطلب منهم توفير "قناة" تتوافق مع الحساب كمدخل.
تم تصميم إصدار EagleMsgSpy لنظام التشغيل Android لاعتراض الرسائل الواردة، وجمع البيانات من QQ، وTelegram، وViber، وWhatsApp، وWeChat، وبدء تسجيل الشاشة باستخدام Media Projection API، والتقاط لقطات الشاشة والتسجيلات الصوتية.
وهو مجهز أيضًا لجمع سجلات المكالمات وقوائم جهات الاتصال وإحداثيات نظام تحديد المواقع العالمي (GPS) وتفاصيل حول اتصالات الشبكة وشبكة Wi-Fi والملفات الموجودة في وحدة التخزين الخارجية والإشارات المرجعية من متصفح الجهاز وقائمة التطبيقات المثبتة على الأجهزة. يتم بعد ذلك ضغط البيانات المجمعة في ملفات أرشيف محمية بكلمة مرور ويتم نقلها إلى خادم القيادة والتحكم (C2).
على عكس الإصدارات المبكرة من EagleMsgSpy التي استخدمت القليل من تقنيات التشويش، تستخدم الإصدارات الحديثة أداة حماية التطبيقات مفتوحة المصدر تسمى ApkToolPlus لإخفاء بعض التعليمات البرمجية. تتواصل وحدة المراقبة مع C2 من خلال WebSockets باستخدام بروتوكول STOMP لتوفير تحديثات الحالة وتلقي المزيد من التعليمات.
وقال بلعام: "تستضيف خوادم EagleMsgSpy C2 لوحة إدارية تتطلب مصادقة المستخدم". "يتم تنفيذ هذه اللوحة الإدارية باستخدام إطار عمل AngularJS، مع توجيه ومصادقة تم تكوينهما بشكل مناسب لمنع الوصول غير المصرح به إلى واجهة برمجة التطبيقات الإدارية الشاملة."
إنها شفرة مصدر اللوحة التي تحتوي على وظائف مثل "getListIOS()" للتمييز بين منصات الأجهزة، في إشارة إلى وجود إصدار iOS من أداة المراقبة.
وقد وجد تحقيق Lookout أن اللوحة تسمح للعملاء، ومن المحتمل أن يكونوا وكالات إنفاذ القانون الموجودة في البر الرئيسي للصين، ببدء جمع البيانات في الوقت الفعلي من الأجهزة المصابة. الرابط الآخر الذي يشير إلى الصين هو رقم هاتف مشفر في ووهان محدد في العديد من عينات EagleMsgSpy.
حددت Hacker News أيضًا العديد من طلبات براءات الاختراع المقدمة من شركة Wuhan ZRTZ Information Technology Co, Ltd. والتي تتعمق في الأساليب المختلفة التي يمكن استخدامها "لجمع وتحليل بيانات العميل مثل بيانات أنواع معينة مثل سجل المكالمات للهاتف المحمول للمشتبه به، رسائل قصيرة، ودفتر عناوين، وبرامج محادثة فورية (QQ، WeChat، Momo، وما إلى ذلك) وما إلى ذلك، وإنشاء مخطط علاقة بين المشتبه به والآخرين."
براءة اختراع أخرى توضح تفاصيل "طريقة ونظام تلقائي لجمع الأدلة"، مما يشير إلى أن الشركة التي تقف وراء EagleMsgSpy تركز في المقام الأول على تطوير المنتجات التي لها حالات استخدام لإنفاذ القانون.
وقال بلعام لصحيفة The Hacker News: "من الممكن أن تكون الشركة قد دمجت المنهجيات الموضحة في طلبات براءات الاختراع الخاصة بها - خاصة في الحالات التي تدعي فيها أنها طورت طرقًا فريدة لإنشاء مخططات العلاقات بين مجموعات بيانات الضحايا". "ومع ذلك، ليس لدينا نظرة ثاقبة حول كيفية معالجة الشركة للبيانات من جانب الخادم والتي تم تسريبها من الأجهزة الضحية."
علاوة على ذلك، قالت Lookout إنها حددت عنواني IP مرتبطين بشهادات EagleMsgSpy C2 SSL (202.107.80[.]34 و119.36.193[.]210) التي تم استخدامها من قبل أدوات المراقبة الأخرى المرتبطة بالصين مثل PluginPhantom وCarbonSteal. وقد تم استخدام كلاهما لاستهداف مجتمعات التبت والأويغور في الماضي.
وقالت الشركة: "يتم وضع البرامج الضارة على الأجهزة الضحية وتهيئتها من خلال الوصول إلى جهاز الضحية غير المؤمن". "بمجرد تثبيتها، تعمل الحمولة مقطوعة الرأس في الخلفية، لتخفي أنشطتها عن مستخدم الجهاز وتجمع بيانات واسعة النطاق من المستخدم. تشير [الدعوات العامة لتقديم عروض] لأنظمة مماثلة إلى أن أداة المراقبة هذه أو الأنظمة المماثلة قيد الاستخدام من قبل العديد من مكاتب الأمن العام في الصين.