Lookout обнаружил новый китайский инструмент слежки, используемый бюро общественной безопасности

[Man]

• EagleMsgSpy — это законный инструмент для перехвата и наблюдения, разработанный китайской компанией-разработчиком программного обеспечения и используемый бюро общественной безопасности материкового Китая.
• Первые образцы указывают на то, что инструмент наблюдения функционирует по крайней мере с 2017 года, а его разработка продолжалась до конца 2024 года.
• Программа наблюдения состоит из двух частей: установочного APK-файла и клиента наблюдения, который запускается на устройстве без помощи пользователя после установки.
• EagleMsgSpy собирает обширные данные о пользователе: сообщения чата третьих лиц, записи экрана и снимки экрана, аудиозаписи, журналы вызовов, контакты устройства, SMS-сообщения, данные о местоположении, сетевую активность.
• Перекрытие инфраструктуры и артефакты из открытых каталогов управления и контроля позволяют нам с высокой степенью уверенности отнести программное обеспечение наблюдения к компании Wuhan Chinasoft Token Information Technology Co., Ltd. (武汉中软通证信息技术有限公司).

Исследователи из Lookout Threat Lab обнаружили семейство программ-наблюдателей, получившее название EagleMsgSpy, которое правоохранительные органы Китая используют для сбора обширной информации с мобильных устройств. Lookout приобрел несколько вариантов инструмента, нацеленного на Android; внутренние документы, полученные из открытых каталогов инфраструктуры злоумышленников, также намекают на существование компонента iOS, который пока не был обнаружен.

EagleMsgSpy​

Семейство наблюдения функционирует по крайней мере с 2017 года и, по-видимому, требует физического доступа к устройству для инициирования операций наблюдения. Компонент установщика, который, предположительно, будет использоваться сотрудниками правоохранительных органов, получившими доступ к разблокированному устройству, отвечает за доставку безголового модуля наблюдения, который остается на устройстве и собирает обширные конфиденциальные данные. Мы считаем, что это единственный механизм распространения, и ни установщик, ни полезная нагрузка не были замечены в Google Play или других магазинах приложений.

При запуске установщик предоставляет пользователю несколько вариантов установки, запуска и предоставления дополнительных разрешений модулю наблюдения.
‍
Это приложение-установщик также предполагает, что этот инструмент наблюдения, вероятно, используется несколькими клиентами поставщика программного обеспечения, поскольку он требует от пользователя ввода «канала», который, согласно документации, к которой смогли получить доступ исследователи Lookout, соответствует «учетной записи».
Исследователи Lookout наблюдали эволюцию в сложности использования обфускации и хранения зашифрованных ключей с течением времени. Это указывает на то, что это программное обеспечение для слежки является активно поддерживаемым продуктом, создатели которого прилагают постоянные усилия для его защиты от обнаружения и анализа.

Полезная нагрузка наблюдения собирает большой объем данных об устройстве-жертве:

• Прослушиватель уведомлений и службы доступности отслеживают использование устройства и перехватывают входящие сообщения
• Собирает все сообщения из QQ, Telegram, Viber, WhatsApp и WeChat
• Инициирует запись экрана устройства через службу Media Projection
• Делает снимки экрана
• Записывает аудиосигналы устройства во время его использования.
• Собирает журналы вызовов
• Собирает контакты устройства
• Собирает SMS-сообщения
• Составляет список установленных приложений на устройстве
• Получает координаты GPS
• Подробная информация о Wi-Fi и сетевых соединениях
• Составляет список файлов во внешнем хранилище
• Собирает закладки из браузера устройства

После сбора данных они сохраняются в промежуточной области в скрытом каталоге файловой системы устройства для возможной эксфильтрации. Затем файлы данных сжимаются и защищаются паролем перед отправкой на сервер управления и контроля (C2).

На серверах EagleMsgSpy C2 размещена административная панель, требующая аутентификации пользователя, с целевыми страницами, на которых написано «维稳研判系统» («Система оценки поддержания стабильности»). Эта административная панель реализована с использованием фреймворка AngularJS с соответствующим образом настроенной маршрутизацией и аутентификацией, предотвращающими несанкционированный доступ к обширному API администратора. Однако исследователи Lookout смогли получить доступ к большим частям исходного кода панели.
Исходный код выявил несколько функций, различающих платформы устройств (Android и iOS). Это подразумевает существование версии этого инструмента наблюдения для iOS, хотя исследователи Lookout не смогли ее обнаружить до сих пор.
‍

Функция getListIOS() из /assets/js/controller/device/im.js вызывается отдельно для устройств, идентифицированных с платформой iOS.

Исследователи Lookout также смогли обнаружить два документа, которые направляют пользователя к двум файлам справки: один под названием «EAGLE 系统用户说明书» (Руководство пользователя системы Eagle) для использования панели администратора «Eagle», а другой для установки и настройки клиента наблюдения «MM» EagleMsgSpy.
‍

На вводной странице обобщены возможности и варианты использования клиента EagleMsgSpy.
‍
Введение к руководству «EAGLE 系统用户说明书» называет программное обеспечение для слежки EagleMsgSpy «手机临侦» («Временное расследование мобильных телефонов») и описывает его как «комплексный продукт для судебного мониторинга мобильных телефонов», который может получать «в режиме реального времени информацию о мобильных телефонах подозреваемых посредством сетевого управления без ведома подозреваемого, отслеживать все действия преступников на мобильных телефонах и суммировать их».

В документе далее описываются различные методы получения клиента видеонаблюдения и его установки на устройство: через QR-код или через физическое устройство, способное установить клиент при подключении к USB.
‍

В руководстве по системе Eagle этот вид описывается как график «Географическое распределение контактов» и поясняется, что он «показывает географическое распределение контактов в адресной книге телефона, текстовых сообщениях и записях вызовов».

В руководстве пользователя Eagle System также документируются многие представления, доступные администраторам через веб-панель Eagle. К ним относятся графики распределения и тепловые карты для географических данных, привязанных к контактам целевого устройства, список «Топ-10» наиболее часто контактирующих лиц, а также многочисленные представления, посвященные просмотру данных, собранных с скомпрометированного устройства. Администратор также может запустить сбор фотографий в реальном времени с устройства, сбор снимков экрана в реальном времени, блокировать входящие и исходящие вызовы и SMS-сообщения на определенные телефонные номера и инициировать запись звука в реальном времени с устройства.
‍

Панель администратора позволяет пользователям запускать запись звука в реальном времени на устройстве, как показано на этом снимке экрана из руководства.
‍

Атрибуция EagleMsgSpy​

IP-адрес одного из серверов C2, обнаруженных в ходе расследования, ранее указывался несколькими поддоменами, связанными с частной китайской технологической компанией Wuhan Chinasoft Token Information Technology Co., Ltd. (武汉中软通证信息技术有限公司). Корневой домен tzsafe[.]com встречался в рекламных материалах, найденных в ходе расследования OSINT этой технологической компании из Уханя. Строка tzsafe также появляется во всех известных версиях модуля наблюдения MM как часть пароля, используемого для шифрования.
‍

На снимке экрана панели анализа GPS показаны два набора GPS-координат для мест рядом с офисом 武汉中软通证信息技术有限公司.

В вышеупомянутом руководстве администратора EagleMsgSpy снимок экрана, отображающий местоположение целевых устройств (предположительно тестовых устройств), показывает два набора координат, расположенных примерно в 1,5 км от зарегистрированного официального адреса компании Wuhan Chinasoft Token Information Technology Co., Ltd.
В документах о регистрации бизнеса компании указана дата открытия 14 июля 2016 года, а численность персонала составляет менее 50 человек. Ее указанное «английское название компании» — Wuhan Zhongruan Tongzheng Information Technology Co., Ltd с зарегистрированным адресом в Wuhan East Lake New Technology Development Zone (武汉市东湖新技术开发区). В рекламных документах, полученных Lookout, компания называет себя «Wuhan ZRTZ Information Technology Co, Ltd.», при этом ZRTZ предположительно ссылается на аббревиатуру пиньиньского «zhōngruǎn tōng zhèng» (中软通证).
На основании этого пересечения инфраструктур, информации из открытых источников и ссылок в исходном коде на часть коммерческого домена компании исследователи Lookout с высокой степенью уверенности полагают, что EagleMsgSpy был разработан (и продолжает поддерживаться) компанией Wuhan Chinasoft Token Information Technology Co., Ltd.

Связи с бюро общественной безопасности​

Перекрытие инфраструктуры EagleMsgSpy C2 и доменов, используемых бюро общественной безопасности (公安局) в материковом Китае, указывает на то, что инструмент наблюдения, вероятно, использовался несколькими организациями по всему региону. Бюро общественной безопасности — это правительственные учреждения, которые по сути действуют как местные полицейские участки, отвечающие за общественный порядок и местную полицию.
‍

У органов общественной безопасности материкового Китая обнаружены связи с инфраструктурой EagleMsgSpy.

Ранний вариант EagleMsgSpy от 2017 года указывает жестко закодированный адрес C2, который был разрешающим IP для двух китайских правительственных веб-сайтов в то время, когда был упакован этот вариант EagleMsgSpy. Домены zfga.gov[.]cn и ytga.gov[.]cn используются для общедоступных веб-сайтов Бюро общественной безопасности Яньтая и связанных с ним отделений. Домен zfga.gov[.]cn относится к отделению Zhifu Бюро общественной безопасности Яньтая (烟台市公安局芝罘分局 ), а ytga.gov[.]cn относится к главному Бюро общественной безопасности Яньтая (烟台市公安局 ). Ранее домены, разрешающие этот IP-адрес, gyga.gov[.]cn и ykga.gov[.]cn, использовались веб-сайтами Бюро общественной безопасности Гуй Ян (贵阳市公安局) и Бюро общественной безопасности зоны развития Яньтай (烟台开发区公安局). Кроме того, сертификат SSL, используемый тремя C2, жестко запрограммированными в вариантах EagleMsgSpy, также использовался IP-адресом, который раньше был разрешающим IP-адресом для веб-сайта Бюро общественной безопасности Дэнфэн (登封市公安局).

Документ, объявляющий о просьбе Бюро общественной безопасности округа Шилоу о разработке Системы оценки поддержания стабильности.

CFP для государственных контрактов в Китае часто доступны публично, и исследователи Lookout смогли обнаружить несколько контрактов на тендеры для аналогичных систем с идентичными общими названиями панелей, используемых на серверах EagleMsgSpy C2 из других бюро безопасности. Это говорит о том, что EagleMsgSpy — это всего лишь один из многих контрактных мобильных инструментов наблюдения, используемых правоохранительными органами по всему материковому Китаю.

Подключения к другим китайским приложениям для слежки​

Инфраструктура, совместно использующая SSL-сертификаты с серверами EagleMsgSpy C2, также использовалась известными китайскими инструментами слежки в более ранних кампаниях. IP-адрес 202.107.80[.]34 использовался 15 образцами PluginPhantom с начала 2017 года по конец 2020 года. PluginPhantom использовался в кампаниях китайскими APT-группами.

Образец CarbonSteal — инструмента слежки, обнаруженного Lookout и приписываемого китайским APT, — был замечен при взаимодействии с другим IP, привязанным к SSL-сертификату EagleMsgSpy, 119.36.193[.]210. Этот образец, созданный в июле 2016 года, маскируется под системное приложение под названием «AutoUpdate».
В рекомендациях по угрозам 2020 года исследователи Lookout подробно описали деятельность CarbonSteal в кампаниях, нацеленных на меньшинства в Китае, включая уйгуров и тибетцев. Значительное совпадение в сертификатах подписи, инфраструктуре и коде было обнаружено между CarbonSteal и другими известными китайскими системами слежки, включая Silkbean, HenBox, DarthPusher, DoubleAgent и PluginPhantom.

Заключение​

EagleMsgSpy — это законный инструмент наблюдения и перехвата, разработанный Wuhan Chinasoft Token Information Technology Co., Ltd. (武汉中软通证信息技术有限公司), используемый бюро общественной безопасности в материковом Китае. Вредоносное ПО размещается на устройствах жертв и настраивается посредством доступа к разблокированному устройству жертвы. После установки безголовая полезная нагрузка работает в фоновом режиме, скрывая свою деятельность от пользователя устройства и собирая обширные данные от пользователя. Публичные CFP для подобных систем указывают, что этот инструмент наблюдения или аналогичные системы используются многими бюро общественной безопасности в Китае.

Индикаторы компрометации​

SHA1
dab40467824ff3960476d924ada91997ddfce0b0
fef7ad2b74db3e42909c04816c66c61c61b7a8c4
ddc729ecf21dd74e51e1a2f5c8b1d2d06ed4a559
f092dfab5b1fbff38361077f87805403318badfa
d4e943ba47f762194bcf3c07be25a9f6ea5a36b0
cea796beb252d1ab7db01d8a0103f7cca5d0955d
5208039ef9efb317cc2ed7085ca98386ec31b0b4
5d935d5ab7b7c6b301a4c79807c33e0bee23e3ff
5e282b0395093c478c36eda9b4ee50c92d8cf6eb
ec580142c0dff25b43f8525f9078dd3d6a99361c
87d925a95d584e4c46545579b01713f6d74eee00
880c46bf7e65e3f9a081f42582af1f072e22cf1a
0b1d3d87a453f63129e73b2a32d95ef3eea94b4e
8ee651a90c36a98b2ab240efb64c597c21fb6f1e
f0f3e8f01a17c7d5be440dfa7ef7e5ac1f068fe5
9557eebe4ee2dc602750365e722002d9f686b7fb
29bbb04c0180e78bd6bad49719ce92ae17081a3b
01003f047caa05873ee420e29ee54d6cc8203ca6
64aca40e982836b72f156fb66b6383a0634d12cc
e6b270be7a6c3cca16ae7268f3a93c74c14b0510
caa93aa37353cab26a30e291c41fe579d3304e1a
d6d706b23caefb2822914e294452ada77710eff3
4dfcc0b99f81b66c56059a72d4e149bc5d728b87
81c572580d09231fbdc3cf4fedb2aa07be3b7769
59987ceadbd899314ffcf77958faf3b35aa064cd
89642d092adaea7ad1e5ae77dea97bbdef5839d1
6d043b4d7bc513cc6d3e308a84ed8b63e3bab4f6
‍
IP
61.136.71[.]171
149.28.21[.]203
47.112.137[.]199
59.48.241[.]214
61.163.69[.]238
59.48.241[.]22
220.168.203[.]197
218.200.20[.]254
202.107.80[.]34
124.163.212[.]149
119.36.193[.]210
101.201.213[.]210
111.21.6[.]126
‍
Домены
xkong.tzsafe[.]com
www.tzsafe[.]com
qzapp.tzsafe[.]com
kong.tzsafe[.]com
i.tzsafe[.]com
git.tzsafe[.]com
es.ngrok.tzsafe[.]com
efence.demo.tzsafe[.]com
eagle.zrtsafe[.]com
орел.tzsafe.tk
eagle.tzsafe[.]com
eagle.demo.tzsafe[.]com
bug.tzsafe[.]com

Источник