Google:有義大利和哈薩克斯坦網路服務商參與了 Hermit 間諜軟體的分發

Hermit 能下載額外模組以達成數據竊取、遠端拍攝甚至 root 裝置等目的。

A logo is seen on the New York Google offices after they announced they will postpone their reopening in response to updated CDC guidelines during the outbreak of the coronavirus disease (COVID-19) in Manhattan, New York City, U.S., July 29, 2021. REUTERS/Andrew Kelly - RC2CUO95L0CI
A logo is seen on the New York Google offices after they announced they will postpone their reopening in response to updated CDC guidelines during the outbreak of the coronavirus disease (COVID-19) in Manhattan, New York City, U.S., July 29, 2021. REUTERS/Andrew Kelly - RC2CUO95L0CI

日前 Google 的威脅分析部門(Threat Analysis Group)在對位於義大利的商業間諜軟體供應商 RC Labs 調查後對外發出警告,稱其在義大利和哈薩克斯坦兩國發現了相關的間諜軟體活動。其針對的對象是 Android 及 iOS 用戶,目的是竊取敏感資訊。在 6 月 16 日時 Lookout 公司的安全研究員稱自己找到了 RC Labs 與間諜程式 Hermit 之間的聯繫,後者據信是由義大利政府在 2019 年首次部署,最初是反腐行動中採取的手段之一。

按照 Lookout 的說法,RCS Labs 是以一個類似 NSO 團體的形式存在。該公司會把間諜行為包裝成「合法攔截」業務,並聲稱其只跟政府機構合作。據 Google 分析,在某些情況下 Hermit 背後的惡意攻擊者會與目標所選擇的網路服務商合作。供應商會先禁用目標的數據連線,然後向其發送簡訊並提示下載相關軟體以恢復連結。即便是不透過網路服務商的管道,攻擊者也會嘗試將軟體偽裝成 WhatsApp、Instagram 等常見的 IM 應用。

Hermit 的危險之處在於,它可以基於指令或伺服器控制透過下載額外模組的方式來增加攻擊手段。Lookout 發現有的附加組件能幫助 Hermit 從目標的行事曆及通訊錄中竊取數據,還可操控相機遠端拍攝,甚至還有一個模組具備對 Android 裝置 root 的能力。

到目前為止,Google 相信 Hermit 還沒有滲透進 Play 或其它應用商店。但有證據表明攻擊者可能會加入 Apple 的開發者企業計畫,然後透過 iOS 分發間諜軟體。在接受 The Verge 採訪時,Apple 表示自己已封鎖了相關的帳戶及證書。同時 Google 這邊也通知了受影響的用戶,並會推出相應的保護更新。「這些間諜軟體供應商正在促成危險駭客工具的擴散,並為那些不具備內部開發能力的政府提供武器。」Google 在官方部落格中這麽寫道,「雖然根據國家或國際法律,部分監控技術的使用行為可能是合法的,但它們經常會被政府用於和民主價值觀相悖的目的。」