2015/07/28

Galileo RCS буюу Алсаас удирдах систем

2015.07.06-нд тагнуулын програм хангамж үйлдвэрлэгч Италийн Hacking Team компани цахим халдлагад өртөж 400GB гаруй байгууллагын маш нууц мэдээллээ алдсан билээ.
Уг алдагдсан мэдээлэлд ажилчдын цахим шуудан, үндсэн бүтээгдэхүүн болох Galileo RCS (Remote Control System) -ийн эх код, RCS системийн үйлчилгээнд буюу цахим халдлагад ашиглаж байсан zero-day exploit-ууд, хөнөөлт програм, байгууллагын санхүү төлбөр тооцооны мэдээлэл, хэрэглэгчдийн мэдээлэл гэх мэт маш олон нууц мэдээллүүд байв.

Galileo RCS сурталчилгаа

Hacking Team-ээс улс орнуудын засгийн газруудад нийлүүлж үйлчилгээ үзүүлж байсан Galileo RCS гэх энэ систем чухам ямар систем болох, түүн дээрх боломжууд, хэрхэн ажилладаг болон цаашид алдагдсан мэдээллээс улбаалан бидэнд ямар эрсдэл бий болж болох талаар тодорхой ойлголт авах үүднээс бид нийтэд ил болоод байгаа Galileo RCS системийг туршилтын орчинд ажиллуулж сонирхлоо.

Galileo RCS системийн зохион байгуулалт
Galileo RCS-ийн гарын авлагаас

  • Agent: Target буюу бай болж байгаа этгээдийн систем дээр суух хөнөөлт програм. Энэ програм нь тухайн систем дээрээс бүхий л шаардлагатай мэдээллийг хулгайлж anonymizer-руу илгээнэ.
  • Anonymizer: Зорилго нь RCS Collector серверийг нуух, олж авсан мэдээллийг collector эсвэл дараагийн anonymizer-руу дамжуулах.
  • Collector: Anonymizer-аас дамжин ирсэн мэдээллийг хүлээн авч цааш main node-руу дамжуулах.
  • Main node: Galileo-ийн үндсэн сервер ба уг серверийг ашиглан хөнөөлт програм боловсруулах, бусад дэд системүүдийг хянах удирдан тохируулах, collector-т цугласан мэдээллийг боловсруулан agent-үүдэд бэлдэж хадгалах.
  • RCS ConsoleMain node-ийг удирдах график дүрслэл бүхий удирдлагын програм.
  • Network injector: MiTM буюу дундын халдлагын үед ашиглах дэд систем.




Бэлтгэл ажил
Galileo RCS-ийн туршилтын орчинд зориулан доорх виртуал машинуудыг бэлдэв.
  1. Main node - Windows 7
  2. Collector - Windows 7
  3. Anonymizer - CentOS 6
  4. Target Desktop - Windows 7
  5. Target Server - Linux Kali



Galileo RCS суулгах
Main node суулгахад лиценз файл болон давхар нууцлал бүхий USB dongle шаарддаг байна. Бидний хувьд алдагдсан мэдээлэл дээрх тодорхой бус нэг хэрэглэгчийн лицензийг сонгон авч Galileo RCS 9.2.0 эх кодыг ашиглан USB dongle-ийг бяцхан засвар буюу patch хийж Galileo RCS 9.6.0-г амжилттай суулгав.

Main node суулгасан байдал


Үүний дараа бусад дэд хэсэг болох Collector, Anonymizer-ийг тус тус амжилттай суулгав.
Collector болон Anonymizer амжилттай холбогдсон байдал


Ингээд бэлэн болсон Galileo RCS системийг ашиглан цааш туршилтын ажиллагааг явуулах гэсэн боловч бидний сонгон авсан лиценз нь туршилтийн хувилбар байсан нь асуудал болж лицензийг дахин засварлаж сая нэг Galileo RCS-ийг ашиглахад бэлэн болгов.
Лицензийг засварлан RMI-аас бусад бүх боломжуудыг хязгааргүй байдлаар нээв.



Eagle Eye ажиллагаа
Бид Galileo RCS-ийг ашиглан хийх туршилтаа Eagle Eye хэмээн үзэх дуртай нэгэн киноны нэрээр нэрлэв.
/Хэрэв та Eagle Eye киног үзэж амжаагүй бол цаг гарган үзэх хэрэгтэй шүү!/
Galileo-ийн хувьд олон жил хөгжүүлэн ирсэн систем болоод ч тэрүү бүх зүйл нь маш энгийн ямар ч хүн хялбархан ашиглах боломжтой хийгджээ.
Eagle Eye ажиллагааны хавтас нээсэн байдал

Eagle Eye ажиллагааг бүртгэсний дараагаар бидэнд тагнах үйл ажиллагааны гол зорилго болох target буюу бай хэрэгтэй болов. Иймд бид туршилтын орчинд тагнах байг Super Baldan гэж нэрийдэж, түүнийг томоохон компанид маш чухал систем хариуцан ажилладаг систем админ хэмээн төсөөлж, мөн түүнийг ширээний компьютер, сервер болон гар утастай гэж тус тус бүртгэлд оруулав.
Eagle Eye ажиллагааны бай систем админ Super Baldan-г бүртгэсэн байдал
Super Baldan-гийн ашиглаж байгаа төхөөрөмжүүдийг бүртгэсэн байдал



Халдлага зохион байгуулах
Халдлага, энэ бол Galileo RCS-ийн хамгийн сонирхолтой хэсэг юм. Учир нь бид бай болсон Super Baldan-гийн бүхий л төхөөрөмжүүд дээр тухайн системийн онцлогт таарсан цахим зэвсэг буюу хөнөөлт програмыг бэлдэж мөн тэдгээрийг хэрхэн Super Baldan-гийн системүүд дээр суулгахыг боловсруулсан юм.
Хөнөөлт програм боловсруулах тохиргоо.

Galileo agent буюу хөнөөлт програмын боломжууд

  • Calls (Phone, Skype, MSN): Гар утас болон Skype, MSN дээрх орсон гарсан дуудлагын бүртгэл хулгайлах. 
  • Messages (Mail, SMS, Chat): Mail, SMS, Chat-аар илгээсэн мэдээлэл хулгайлах
  • Files and Photos: Тухайн төхөөрөмж дээрх файл болон зураг хулгайлах
  • Screenshots: Тухайн төхөөрөмжийн дэлгэцийн агшинг тодорхой давтамжтайгаар авах 
  • Position: Хэрэв тухайн төхөөрөмж GPS буюу байршил тогтоох системтэй бол байршлын мэдээллийг авах
  • Contacts & Calendar: Дугаарын бүртгэл болон хуанлийн тэмдэглэлийг хулгайлах
  • Visited Websites: Интернэт хөтчийн орсон бүхий л вэб хаяг
  • Keylog, Mouse&Password: Гарын хөтөч, курсорын байршил болон зааж байсан элементийн зураг болон нууц үг хулгайлах
  • Camera: вэб камер болон утасны камер ашиглан нууцаар дүрс буулгах
  • Online Synchronization: Хулгайлсан мэдээллийг дамжуулах горим
  • Дээрхээс гадна Galileo-д өөр бусад боломжууд байдаг нь тодорхой болоод байгаа. Үүнд төхөөрөмжүүдийн микрофон ашиглан яриа чагнах, бичих,... гэх мэт 

Хөнөөлт програм илгээх арга замыг /дайралтыг/ тохируулах.
Galileo-ийн халдлага хийх боломжууд
  • Silent installer: Ерөнхийдөө тохиргоонд заагдсан функц бүхий хөнөөлт програмыг үндсэн Galileo-ийн зохион байгуулалтад тохируулан хязгаарлагдмал байдлаар үүсгэнэ. 
  • Melted application: Хөнөөлт програмыг энгийн програм дээр нэгтгэж дайвар байдлаар систем дээр суулгах.
  • Offline installation: USB, SD card болон CD ашиглан систем дээр хөнөөлт програм суулгах.
  • Persistent installation: Доод түвшинд суух хөнөөлт програм. Дискийг формат хийх болон сольсон ч ажиллах боломжтой! 
  • U3 installation: U3 USB ашиглан автомаатаар хөнөөлт програм суулгах.
  • Exploit: Тодорхойгүй, туршилтын үед энэ хэсэг хоосон байсан болно.
  • Network injection: Сүлжээний орчинд MiTM байдлаар хөнөөлт програм дамжуулах


Eagle Eye халдлагын үр дүн
Бид Galileo дээр үүсгэсэн хөнөөлт програмыг Super Baldan-гийн компьютер болон сервер дээр шууд ажиллуулан туршив. Хэсэг хугацааны дараа Super Baldan Server дээрээс анхны баримтууд илгээгдэж эхлэв. Харин Super Baldan Desktop-оос ямар ч хариу өгсөнгүй. Учир шалтгааныг тодруулбал Galileo дээр үүсгэсэн windows-ийн хөнөөлт програм нь виртуал орчинд байгаа эсэхээ шалгаад хэрэв виртуал орчинд ажиллаж байгаа бол цааш гүйцэд ажиллахгүй зогсдог байна.
Анхны дохио өгч мэдээлэл хүлээн авсан байдал.
Super Baldan-гийн серверээс ирсэн мэдээлэл
Super Baldan-гийн серверийн нэвтрэх эрх болон цахим шуудангийн
нэвтрэх эрхийг олж авсан байдал 
Хэрэв Super Baldan-гаас байршил болон ярианы мэдээлэл ирсэн бол
энэ хэсэг харагдах байв.
Дээрх туршилтаар Galileo RCS-ийн боломжуудаас цөөн хэсгийг нь харуулсан болно.


Galileo системээс үүдэн гарах эрсдлүүд
Туршилтын үр дүнгээс харахад Galileo RCS нь өндөр түвшинд боловсруулагдсан тагнуулын програм хангамж болох нь харагдаж байна. Энэхүү систем нийтэд ил болсноор уг системийг технологийн мэдлэгтэй дурын этгээд шууд ашиглан цахим гэмт хэрэг үйлдэх эрсдэл бий болоод байна!!!