انتشار شده در تاریخ 1403/09/22 - 09:11

استفاده تیم‌های امنیتی استانی چین از جاسوس‌افزارها

چندین دفتر امنیتی در سطح استانی چین از ابزاری قدرتمند به نام ایگل مسیج اسپای برای سرقت داده‌های گسترده از اهداف خود استفاده می‌کنند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این داده‌ها شامل پیام‌های متنی، ضبط‌های صوتی و اطلاعات مکان جغرافیایی است.

به گفته محققان شرکت امنیت سایبری لوک اوت (Lookout)، این ابزار از سال ۲۰۱۷ توسط دفاتر امنیت عمومی چین مورد استفاده قرار گرفته است.

توسعه این ابزار تا سال ۲۰۲۴ ادامه داشته و قابلیت‌ها و ویژگی‌های جدیدی برای پنهان‌کاری به آن افزوده شده است.

کریستینا بالام، محقق ارشد اطلاعات امنیتی در شرکت لوک اوت، به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) گفت:

آنچه در این کشف خاص برجسته بود، مقدار گسترده داده‌های حساس جمع‌آوری‌شده توسط این بدافزار است، از جمله پیام‌های رمزگذاری‌شده در اپلیکیشن‌هایی مانند تلگرام و واتساپ. همچنین ارتباطات گسترده این ابزار با دفاتر امنیت عمومی نگرانی‌های زیادی ایجاد کرده است. نگران‌کننده‌ترین موضوع این است که با توجه به تعداد درخواست‌های مشابهی که برای محصولات مشابه دیده‌ایم، به نظر می‌رسد این فقط یک نمونه از نرم‌افزارهای نظارتی گسترده‌ای است که توسط مجریان قانون استفاده می‌شود.

شرکت لوک اوت برای سال‌ها ایگل مسیج اسپای (EagleMsgSpy) را ردیابی کرده و اولین بار در ژانویه ۲۰۲۳ آن را شناسایی کرده است.

این ابزار نظارتی شامل یک نصب‌کننده و یک اپلیکیشن است که بر روی دستگاه‌های اندرویدی اجرا می‌شود.

این ابزار توسط شرکت فناوری اطلاعات ووهان چاینا سافت توکن (Wuhan Chinasoft Token Information Technology) توسعه داده شده و امکان جمع‌آوری پیام‌های چت، اسکرین‌شات‌ها، ضبط صفحه، ضبط‌های صوتی، گزارش تماس‌ها، مخاطبین، پیامک‌ها، داده‌های مکان و فعالیت شبکه را فراهم می‌کند.

پیام‌ها از اپلیکیشن‌هایی مانند کیوکیو (QQ)، وایبر، واتساپ، وی‌چت و تلگرام جمع‌آوری شده و پس از فشرده‌سازی به سروری خارجی ارسال می‌شوند.

گزارش محققان نشان می‌دهد که نسخه‌ای از این ابزار ممکن است برای دستگاه‌های اپل نیز وجود داشته باشد.

این ابزار به‌طور مستقیم از فروشگاه‌هایی مانند گوگل‌پلی در دسترس نیست و نصب آن احتمالاً به دسترسی فیزیکی به دستگاه نیاز دارد.

به گفته محققان، این نرم‌افزار از طریق اتصال USB یا یک کد QR نصب می‌شود و فایل‌های مربوط به آن نام‌های ساده‌ای دارند تا ظن برانگیخته نشود.

پنل مدیریت ارائه‌شده برای مشتریان شامل نقشه‌های جغرافیایی مرتبط با موقعیت دستگاه و لیست‌های ۱۰ فرد برتر که با دستگاه تماس داشته‌اند، است.

مدیران می‌توانند جمع‌آوری عکس، اسکرین‌شات و ضبط صدا را در زمان واقعی فعال کرده و تماس‌ها و پیامک‌های ورودی و خروجی به شماره‌های خاص را مسدود کنند.

زیرساخت‌های مرتبط با این ابزار نشان می‌دهند که توسط دفاتر امنیت عمومی متعددی استفاده می‌شود که در چین به‌عنوان اداراتی عمل می‌کنند که اساساً نقش ایستگاه‌های پلیس محلی را دارند.

محققان همچنین شواهدی از استفاده این ابزار همراه با بدافزارهای دیگر مانند پلاگین فانتوم (PluginPhantom) و کربن استیل (CarbonSteal) یافتند.

ابزار کربن استیل در کمپین‌هایی برای هدف قرار دادن اقلیت‌هایی مانند اویغورها و تبت‌ها استفاده شده است.

این گزارش به ارتباط احتمالی بین توسعه‌دهندگان این بدافزار و شرکت تاپ سک (Topsec)، یکی از بزرگ‌ترین شرکت‌های امنیت شبکه در چین، اشاره دارد.

روز سه‌شنبه، یکی از زیرمجموعه‌های سابق تاپ سک توسط مقامات ایالات متحده به دلیل نقش آن در نفوذ به هزاران فایروال در سراسر جهان تحریم و متهم شد.