Uygurları izlemek için casus yazılım

22. 2022. Dezember XNUMX Aralık XNUMX
| Yorum yok
Uygurlara karşı gözetleme kampanyaları için casus yazılım

Gönderiyi paylaş

BT güvenlik analistleri, anakara Çin'de ve yurt dışında Uygurları hedef alan iki yeni gözetleme casus yazılım programını ortaya çıkardı.

Bir kampanya, daha önce keşfedilen diğer Uygur hedefli araçlarla altyapıyı paylaşan, Lookout'un BadBazaar adını verdiği yeni bir Android izleme aracını tanıttı. Diğer araç, 2019'da Tibetli aktivistleri hedef alan Citizen Lab tarafından keşfedilen ve önceden duyurulan MOONSHINE adlı aracın güncellenmiş varyantlarını kullanıyor.

Uygurlara ve diğer Türk etnik azınlıklara karşı yıllardır gözetim ve gözaltı kampanyaları yürütülüyor olsa da, bu konu, Ağustos 2022'de BM İnsan Hakları Komiseri Michelle Bachelet'nin eleştirel bir raporunun ardından uluslararası ilgiyi artırdı. Raporda, Çin'in Sincan bölgesindeki Uygurlara yönelik muamelesinde insanlığa karşı suçlar işlemiş olabileceğine dikkat çekildi. 31 Ekim 2022'de 50 ülke, "Çin'deki Uygurlar ve çoğunluğu Müslüman olan diğer azınlıklara karşı devam eden insan hakları ihlalleri" konusundaki endişelerini dile getiren ortak bir bildiriyi BM Genel Kurulu'na sundu.

Mobil izleme araçları

BadBazaar ve MOONSHINE gibi mobil gözetleme araçları, Sincan yetkililerinin dini aşırılık veya ayrılıkçılığı gösterdiğini düşündüğü eylemler olan "suç öncesi" faaliyetlerin birçoğunun izini sürmek için kullanılabilir. Bir kullanıcının hapse atılmasıyla sonuçlanabilecek faaliyetler arasında VPN kullanmak, yurtdışındaki inançlı Müslümanlarla iletişim kurmak, dini uygulamaları kullanmak ve Çin dışında popüler olan WhatsApp gibi belirli mesajlaşma uygulamalarını kullanmak yer alır.

BadBazaar ve MOONSHINE'ın bu yeni varyantları, Çin'deki insanları izlemek ve ardından tutuklamak için yürütülen kampanyalarda kullanılan halihazırda kapsamlı benzersiz gözetleme programları koleksiyonuna katkıda bulunuyor. Uygur dili sosyal medya platformlarında devam eden geliştirmeleri ve çoğalmaları, bu kampanyaların devam ettiğini ve saldırganların kötü amaçlı yazılımlarını yaymak için çevrimiçi Uygur topluluklarına başarılı bir şekilde sızdığını gösteriyor.

BadBazaar

2021'in sonlarında Lookout araştırmacıları, @MalwareHunterTeam Twitter tanıtıcısından VirusTotal çalışanlarının kötü amaçlı yazılım olarak işaretlediği bir İngilizce-Uygurca sözlük uygulamasına atıfta bulunan bir tweet ile karşılaştı. Bu, ağırlıklı olarak Orta Doğu'da aktif olan bir oyuncu olan Bahamut ile bağlantılı.

Bu örnek incelendiğinde, bu kötü amaçlı yazılımın bunun yerine Çin'de ve yurt dışında Uygurları ve diğer Türk etnik azınlıkları hedef alan gözetleme kampanyalarıyla ilişkili olduğu ortaya çıktı. Çakışan altyapılar ve TTP'ler, bu kampanyaların VIXEN PANDA ve NICKEL olarak da bilinen Çin destekli bir bilgisayar korsanlığı grubu olan APT15 ile bağlantılı olduğunu gösteriyor. Lookout, "APK Bazar" adlı bir üçüncü taraf uygulama mağazası gibi görünen eski bir değişkene yanıt olarak bu kötü amaçlı yazılım ailesine BadBazaar adını verdi. Bazar, Bazaar'ın daha az bilinen bir yazılışıdır.

Kötü amaçlı yazılım, kendisini Android uygulamaları olarak gizler

Lookout, o zamandan beri 111'in sonlarına kadar uzanan 2018 benzersiz BadBazaar izleme yazılımı örneği topladı. 70'nin ikinci yarısında bu uygulamaların yüzde 2022'inden fazlası Uygurca iletişim kanallarında bulundu. Kötü amaçlı yazılım, kendisini öncelikle aşağıdakiler gibi çeşitli Android uygulamaları olarak gizler: B. Pil yöneticileri, video oynatıcılar, radyo uygulamaları, mesajlaşma uygulamaları, sözlükler ve dini uygulamalar. Araştırmacılar ayrıca Uygurlar için zararsız bir üçüncü taraf uygulama mağazası gibi davranan uygulamalara da rastladılar.

Kampanya, öncelikle Çin'deki Uygurları hedefliyor gibi görünüyor. Ancak araştırmacılar, Sincan dışındaki Müslümanları ve Uygurları daha geniş bir şekilde hedef aldığına dair kanıtlar buldu. Örneğin, analiz ettiğimiz örneklerin birçoğu, Türkiye veya Afganistan gibi büyük Müslüman nüfusa sahip diğer ülkeler için harita uygulamaları olarak maskelendi. Ayrıca, Google Play Store'a küçük bir uygulama alt kümesinin gönderildiğini de tespit ettiler, bu da saldırganın mümkünse Çin dışındaki Android cihaz kullanıcılarına ulaşmakla ilgilendiğini düşündürdü. Görünüşe göre, bu makalede tartışılan uygulamalar hiçbir zaman Google Play üzerinden dağıtılmadı.

gözetim kapsamı

BadBazaar yinelemeli bir süreçte geliştirilmiş gibi görünüyor. İlk varyantlar, Android APK dosyasının içinde update.jar adlı bir yükü bir araya getirdi ve uygulama başlatılır başlatılmaz onu yükledi. Bu süreç daha sonra APK'nın kendi içinde sınırlı izleme özelliklerine sahip örnekler üretecek şekilde güncellendi. Kötü amaçlı yazılım bunun yerine uygulamanın C2 sunucusunu çağırarak kendini güncelleme yeteneğine güvenir. Bununla birlikte, en son sürümünde BadBazaar, yükünü yalnızca 2 bağlantı noktasındaki C20121 sunucusundan bir dosya indirerek ve uygulamanın önbellek dizininde depolayarak alır. Android izleme aracı, kapsamlı cihaz verilerini toplayabilir:

  • Konum (enlem ve boylam)
  • Kurulu paketlerin listesi
  • Arama günlükleri ve aramayla ilişkili coğrafi kodlu konum
  • İletişim bilgileri
  • Yüklü Android uygulamaları
  • SMS bilgisi
  • Model, dil, IMEI, IMSI, ICCID (SIM seri numarası), telefon numarası, saat dilimi ve kullanıcının çevrimiçi hesaplarının merkezi kaydı dahil olmak üzere kapsamlı cihaz bilgisi
  • WiFi Bilgileri (bağlı olup olmadığı ve bağlıysa IP, SSID, BSSID, MAC, Ağ Maskesi, Ağ Geçidi, DNS1, DNS2)
  • telefon görüşmelerini kaydetmek
  • fotoğraf çek
  • Truva atı uygulanan uygulamanın SharedPreferences dizinindeki veri ve veritabanı dosyaları
  • Cihazda .ppt, .pptx, .docx, .xls, .xlsx, .doc veya .pdf ile biten dosyaların listesini alın
  • Kameradan görüntüler ve ekran görüntüleri, Telegram, Whatsapp, GBWhatsapp, TalkBox, Zello'dan ekler, günlükler ve sohbet geçmişleri dahil olmak üzere C2 sunucusu tarafından dinamik olarak belirtilen ilgilenilen klasörler

Kötü amaçlı yazılım istemcisi

MOONSHINE istemcisinin önceki türevleri, yerel kitaplıklarını değiştirerek diğer uygulamalardan yararlanarak kalıcılık ve tam izinlere erişim kazanmaya çalışırken, en son örnekler kurulum sırasında kullanıcıdan tam izin talep etmez veya yerel kitaplık dosyalarını mesajlaşma -Uygulamalar'da kullanmaya çalışmaz. değiştirmek. "Puan" parametresi, saldırganın hedef cihazda nasıl ilerleyeceğine karar vermesini sağlayan bir tür gösterge gibi görünüyor.

C2'ye bağlandıktan sonra istemci, aygıt için oluşturulan puana bağlı olarak çeşitli işlevleri gerçekleştirmek için sunucudan komutlar alabilir. Kötü amaçlı yazılım istemcisi şunları yapabilir:

  • aramaların kaydedilmesi
  • kişileri toplama
  • Dosyaları C2 tarafından belirtilen bir konumdan alın
  • Cihaz Konum Verilerini Toplama
  • SMS mesajı hırsızlığı
  • kamera çekimi
  • mikrofonlardan kayıt
  • SOCKS proxy'si kurma
  • Tencent wcdb veritabanı dosyalarından WeChat verilerini toplama

İletişim, güvenli bir websocket üzerinden gönderilir ve ayrıca, SharedPreferences yapılandırma dosyasını şifrelemek için kullanılana benzer serialize() adlı özel bir yöntem kullanılarak iletimden önce şifrelenir.

Uygur nüfusunun gözetimi

Artan uluslararası baskıya rağmen, Çin devleti adına hareket eden Çinli aktörlerin Uygurca iletişim platformları aracılığıyla Uygur ve Müslüman mobil cihaz kullanıcılarını hedef alan gözetleme programları yaymaya devam etmesi muhtemeldir. BadBazaar ve MOONSHINE'ın yaygın olarak benimsenmesi ve yeni özelliklerin sunulma hızı, bu ailelerin gelişiminin devam edeceğini ve bu araçlara olan talebin devam edeceğini gösteriyor.

Bu topluluklardaki mobil cihaz kullanıcılarının, uygulamaları sosyal medya aracılığıyla dağıtırken ekstra dikkatli olmaları gerekir. Çin dışındaki mobil cihaz kullanıcıları, uygulamaları yalnızca Google Play veya Apple App Store gibi resmi uygulama mağazalarından indirmelidir. Lookout güvenlik uygulaması kullanıcıları bu tehditlere karşı korunur. Kullanıcılar, mobil gözetlemenin hedefi olduklarına inanırlarsa veya bu kampanyalar hakkında daha fazla bilgiye ihtiyaç duyarlarsa, Lookout Tehdit İstihbarat hizmetlerini görüntüleyebilir veya Lookout araştırmacılarıyla iletişime geçebilirler.

Daha fazlası Lookout.com'da

www.lookout.com

Lookout Hakkında

Lookout'un kurucu ortakları John Hering, Kevin Mahaffey ve James Burgess, 2007 yılında insanları giderek birbirine bağlanan bir dünyanın ortaya çıkardığı güvenlik ve gizlilik risklerinden korumak amacıyla bir araya geldi. Akıllı telefonlar herkesin cebine girmeden önce bile mobilitenin çalışma ve yaşama şeklimiz üzerinde derin bir etkisi olacağını anladılar.

Konuyla ilgili makaleler

5G ortamları için koruma sağlayan siber güvenlik platformu

Siber güvenlik uzmanı Trend Micro, kuruluşların sürekli genişleyen saldırı yüzeyini korumaya yönelik platform tabanlı yaklaşımını açıklıyor. ➡ Devamını oku

Veri manipülasyonu, hafife alınan tehlike

Her yıl 31 Mart Dünya Yedekleme Günü, güncel ve kolay erişilebilir yedeklemelerin öneminin bir hatırlatıcısıdır ➡ Devamını oku

Güvenlik riski olarak yazıcılar

Kurumsal yazıcı filoları giderek kör nokta haline geliyor ve verimlilikleri ve güvenlikleri açısından çok büyük sorunlar yaratıyor. ➡ Devamını oku

Yapay Zeka Yasası ve veri korumasına ilişkin sonuçları

Yapay Zeka Yasası ile yapay zekaya yönelik ilk yasa onaylandı ve yapay zeka uygulamaları üreticilerine altı ay ila ➡ Devamını oku

Windows işletim sistemleri: Neredeyse iki milyon bilgisayar risk altında

Windows 7 ve 8 işletim sistemleri için artık herhangi bir güncelleme bulunmamaktadır. Bu, açık güvenlik boşlukları anlamına gelir ve bu nedenle değerli ve ➡ Devamını oku

Kurumsal Depolamadaki yapay zeka, fidye yazılımlarıyla gerçek zamanlı olarak savaşır

NetApp, fidye yazılımlarıyla mücadele etmek için yapay zekayı (AI) ve makine öğrenimini (ML) doğrudan birincil depolamaya entegre eden ilk şirketlerden biridir ➡ Devamını oku

Sıfır Güven Veri Güvenliği için DSPM ürün paketi

Veri Güvenliği Duruş Yönetimi - kısaca DSPM - şirketlerin çokluğa karşı siber dayanıklılık sağlamaları açısından çok önemlidir ➡ Devamını oku

Veri şifreleme: Bulut platformlarında daha fazla güvenlik

Son zamanlarda Trello gibi çevrimiçi platformlar sıklıkla siber saldırıların hedefi oluyor. Bulutta daha etkili veri şifrelemeyi sağlayan 5 ipucu ➡ Devamını oku

 

Halkla İlişkiler Mesajları
, , , ,