Окт
12
2011

Бундес-троянец для прослушки Skype

Хакеры из Chaos Computer Club (CCC) тщательно разобрали по косточкам попавшую в их распоряжение троянскую программу, предназначенную для прослушки VoIP-разговоров подозреваемых правоохранительными органами Германии. Исследователи отмечают, что этот троянец не только превышает свои полномочия, но и практически не защищён от попыток несанкционированного доступа.

Речь идёт о так называемом "бундес-троянце" Quellen-TKÜ, функциональность которого, в соответствии с решением конституционного суда от 2008 года, должна была быть на техническом уровне ограничена исключительно прослушкой разговоров интернет-телефонии. В действительности же, как выяснилось, программа наделена способностью загружать на заражённый компьютер другие модули, расширяя, таким образом, свои шпионские навыки.

Впрочем, этот троянец и без апгрейда умеет больше, чем положено. Разработанная в CCC консоль для управления этой шпионской программой позволяет также получать с заражённого компьютера скриншоты открытых в браузере веб-страниц.

Хакеры-активисты также отмечают, что взаимодействие между бундес-троянцем и контролирующим центром производится в открытую (что, к слову, заметно облегчило им работу по созданию своей консоли управления). Как следствие, к этому шпионскому ПО может подключиться кто угодно, причём можно не только считывать конфиденциальные данные, но и, к примеру, фабриковать улики. Исследователи не исключают даже возможности того, что через установленный между контролирующим центром и ботами Quellen-TKÜ канал может быть произведена атака на компьютерные сети правоохранительных органов.

Пикантности ситуации добавляет тот факт, что для управления бундес-троянцем власти, в частности, воспользовались анонимным прокси, который принадлежит американской компании. Иначе говоря, конфиденциальные данные граждан Германии автоматически утекают "за бугор".

Единственное, что бундес-троянец шифрует, это передаваемые в "центр" скриншоты и аудиофайлы. Однако делает он это довольно топорно, при помощи жёстко прописанного в коде ключа. Исследователи сравнивают используемые (или, точнее, неиспользуемые) в Quellen-TKÜ методы защиты с установкой всех паролей в "1234".

Хактивисты уверяют, что, в соответствии со своей "хакерской этикой", предоставили властям время на то, чтобы дать всем шпионским ботам команду на самоуничтожение (чего, очевидно, не было сделано). Это дало им моральное право опубликовать развёрнутое исследование Quellen-TKÜ, а также сами исполняемые модули троянца.

Примечательно, что бундес-троянец до недавнего времени был практически неизвестен антивирусному ПО подавляющего большинства производителей. Например, в базах "Лаборатории Касперского" его сигнатуры появились только вчера — на следующий день после публикации исследования CCC.

Все права защищены и охраняются законом. © 2009-2012 "QSec. Вопросы безопасности", © 2010 "ООО "ИД "Янтарный терем". Почтовый адрес: 236006  г. Калиниград, ул. Геологическая д.1
; тел/факс (4012) 960305; тел. (4012) 779-600
; е-mail - vb.kaliningrad@mail.ru

При поддержке Информационно-Аналитического Центра (ИАЦ) Национальной ассоциации телохранителей (НАСТ) России
Автоматизированное извлечение информации без согласования с редакцией ресурса запрещено. При использовании материалов гиперссылка обязательна.
Для замечаний и предложений используйте контактную форму для зарегистрированных пользователей.
Правила использования материалов, опубликованных на сайте ИАП "Вопросы безопасности" и Соглашение о конфиденциальности.
О портале   О журнале "Вопросы Безопасности"