questo post è la continuazione del setup di Galileo/RCS, un captatore informatico, un trojan utilizzato da governi e agenzie governative, un programma che ha la possibilità di controllare un computer o un telefono da remoto.

se non avete idea di quello di cui stiamo parlando, ecco un paio di link di contesto.

noi vogliamo riportare l'attenzione sul tema mostrando l'oggetto della questione e lo facciamo pubblicando il setup dell'infrastruttura e una panoramica delle funzionalità.

L'indagine

un piccolo disclaimer: vi potete fare male, noi non abbiamo mai fatto uscire nessuna delle installazioni su internet liberamente, suggeriamo di fare lo stesso.

dopo aver installato e letto i manuali d'uso di RCS, abbiamo voluto provare effettivamente cosa è in grado di fare questo captatore informatico.

abbiamo quindi volontariamente infettato una nostra macchina linux e testato il funzionamento del tutto.

per prima cosa apriamo un'indagine (Operations->New Operation) a cui aggiungiamo un indagato sul cui ipotetico computer d'ufficio vogliamo installare un agente:

L'agente

ora con una facile interfaccia punta e clicca possiamo selezionare le funzionalità del trojan da attivare

se invece vogliamo una configurazione particolare, come ad esempio limitare l'uso della batteria dell'agente possiamo utilizzare la modalità avanzata:

qui sopra un esempio di come è possibile attivare determinati moduli solamente quando il dispositivo è in carica. per completezza ecco l'elenco dei possibili eventi, delle possibili azioni e di tutti i moduli. se volete studiare tutte le funzionalità, rimandiamo alla documentazione ufficiale.
ovviamente non tutte le funzionalità sono compatibili con tutti i sistemi operativi, per avere una lista delle compatibilità vi rimandiamo anche in questo caso alla documentazione ufficiale e a quella non ufficiale.

quando la configurazione ci soddisfa, procediamo con la creazione del vero e proprio agente premendo in alto a sinistra su Build.
ora manca solo di scegliere come infettare la vittima:

I vettori

i vettori di infezione sono tanti, anche in questo caso la documentazione ufficiale ci viene in aiuto. purtroppo non abbiamo la possibilità di provare direttamente da un ISP l'installazione del Network Injector e siccome abbiamo accesso fisico al dispositivo del fittizio indagato, ci infettiamo volontariamente con un Silent Installer per linux.

pubblichiamo l'agente venuto fuori dalla build per chi volesse sporcarsi le mani, SE NON SAPETE COSA STATE FACENDO, NON FATELO, SUL SERIO

NON SCARICARMI SE NON DEVI.zip

ovviamente non ci sarebbe bisogno di fare reverse engineering visto che abbiamo i sorgenti, ma siccome se non vediamo non crediamo, lo faremo ugualmente, non prima di vederlo in azione però. se avete paura di essere infetti da un paio d'anni e non potete aspettare, date un'occhio dentro ~/.config/autostart/.*, /var/crash/.report* e /var/tmp/.report* ma non sperate di trovare qualcosa perchè nelle licenze italiane le funzionalità per infettare linux non sono state comprate.
ps. abbiamo ascoltato il traffico con wireshark ma sembra che non cerchi di andare altrove.

Abbiamo le prove

attendiamo 5 minuti che l'agente raccolga le prove e ce le invii ed ecco i primi risultati in una comoda dashboard:

vediamo ora una carrellata delle possibilità, possiamo navigare il file system della vittima

possiamo inserire file, eseguirli e ovviamente scaricarli

possiamo inviare comandi e riceverne i risultati

e poi ovviamente guardare tutte le prove, quindi screenshoot

un simpatico keylogger e tutti gli eventi del mouse

le foto dalla webcam con la frequenza scelta

la lista dei siti visitati

le password salvate da firefox e chrome

ovviamente con la possibilità di filtrare il materiale con filtri di tutto rispetto

ci fermiamo qui anche se ci sarebbero tanti altri moduli da provare, i messaggi, i contatti, i wallet bitcoin, l'infezione di un'android, il network tactical injector, gli exploits, insomma il materiale è tantissimo.

fate a modino

--
_TO* hacklab