Hacking Team踪迹再现，又要有大动静？

从Hacking Team 到Hacked Team ，到…?

自2003年成立以来，意大利间谍软件供应商Hacking Team因向世界各地政府及其机构出售监控工具而声名狼借。

其旗舰产品远控系统（RCS）的功能包括从目标设备提取文件，拦截电子邮件和即时消息，以及远程激活设备的网络摄像头和麦克风。该公司一直因为向独裁政府出售这些功能而受到批评—这一指责一直被拒绝。

时间定格在2015年7月，Hacking Team本身遭受了破坏性攻击，并被证实了专制政权使用RCS的情况。随着400GB的内部数据—包括一度秘密的客户名单、内部通信和间谍软件源代码—在线泄露，Hacking Team被迫要求其客户暂停使用所有RCS，并面临着不确定的未来。

在黑客攻击之后，安全界一直密切关注该公司努力恢复原状。第一份报告暗示Hacking Team恢复操作是在六个月后推出的，Hacking Team的Mac间谍软件的新样本很疯狂。在被黑之后一年，一家名为Tablem Limited的公司投资带来了对Hacking Team股东结构的变更，而Tablem有限公司占据了Hacking Team 20％的股份。 Tablem Limited在塞浦路斯正式成立。然而，最近的消息表明它与沙特阿拉伯有联系。

在刚刚完成对另一种商业间谍软件产品FinFisher的研究之后，两个涉及Hacking Team的有趣事件紧密相继发生。Hacking Team显著的财务恢复报告以及我们发现的带有有效数字证书的全新RCS变体。
间谍软件依然活跃

在调查的早期阶段，来自the Citizen Lab 的朋友—他们长久以来一直跟踪Hacking Team—为我们提供了宝贵意见，从而导致发现了当前在野使用的间谍软件版本，使用了之前没有见到过的有效数字证书签名。

进一步研究之后发现了2015年被黑之后创建的更多Hacking Team间谍软件样本，与源代码泄露之前发布的变体相比，这些样本都略有修改。

这些样本是在2015年9月至2017年10月期间编译的。根据ESET遥测数据，我们认为这些日期是真实的。数据表明在这些日期的附近几天内出现了野外样本。

进一步的分析让我们得出结论：所有的样本都可以追溯到一个单一的团队，而不是孤立的不同的攻击者从Hacking Team泄漏的源代码中构建的版本。

支持这一点的是用于签名样本的数字证书序列—我们发现了相继发布的六个不同的证书。其中四个由Thawte颁发给四家不同的公司，另外两个是颁发给Valeriano Bedeschi（Hacking Team联合创始人）和一个名为Raffaele Carnacina的个人证书，如下表所示：

这些样本还伪造了Manifest元数据—用于伪装成合法应用程序，共同出现的有“Advanced SystemCare 9（9.3.0.1121）”，“Toolwiz Care 3.1.0.0”和“SlimDrivers（2.3.1.10）”。

我们的分析进一步表明，样本的作者一直在使用VMProtect，显然是为了使样本不易被发现。这在被黑前Hacking Team的间谍软件中也很常见。

单单这些样本之间的联系，只能说明几乎任何组织重新利用泄露的Hacking Team源代码或安装程序—就像Callisto Group在2016年初的情况一样。但是，我们已收集到了更多的证据，指向Hacking Team的开发者们。

在分析的样本中看到的版本（我们在攻克VMProtect保护后访问），延续了Hacking Team在被黑时所停下的，且遵循相同模式。Hacking Team习惯于连续并经常在同一天编译他们的payload—命名为Scout和Soldier，这也可以在新的样本中看到。

下表显示了2014年至2017年间Hacking Team Windows间谍软件样本的编译日期，版本和证书颁发机构。Callisto Group泄露的源代码被重新标记为红色。

此外，我们的研究已经证实，泄漏后更新中引入的更改是根据Hacking Team自己的编码风格制定的，并且常常在对代码深高熟悉的地方发生。当从泄漏的Hacking Team源代码创建新版本时，其他一些攻击者（即原始Hacking Team开发人员以外的人员）在这些地方进行更改是非常不可能的。

我们在泄漏前后样本之间发现的细微差异之一是启动文件的大小。泄漏之前，复制文件的大小以4MB填充。在泄漏后的样本中，该值为6MB——最有可能作为原始的检测规避技术。

我们发现了更多的差异，由此我们深信Hacking Team一定参与其中。但是，披露这些细节可能会干扰未来对该组织的追踪，这就是我们选择不发布它们的原因。不过，我们愿意与其他研究人员分享这些细节（如有任何疑问，请联系我们：threatintel@eset.com）。

间谍软件的功能与泄露的源代码中的功能大部分重叠。到目前为止，我们的分析还没有证实发布任何重大更新，正如其在被黑之后所承诺的那样。

至于我们所分析的泄漏后样本的分布向量，至少在两起中，我们检测到伪装成PDF文档的间谍软件程序（使用多个文件扩展名）作为一个鱼叉邮件的附件。附件文件名中包含意在减少外交官收到后减少怀疑的字符串。

结论

我们的研究让我们高度自信，除了一个明显的例外，我们所分析的泄漏后样本确实是Hacking Team开发人员何为，而不是无关的参与者重用源代码的结果，比如2016年Callisto组织的案例。

截至撰写本文时，我们的系统已经在14个国家发现了这些新的Hacking Team间谍软件样本。我们没有指出这些国家以防止基于这些检测所引发的错误归因，因为检测的地理位置不一定能揭示攻击来源。

IoCs