ONE体育Persian Stalker攻击Instagram和Telegram的伊朗用户

　　那些具有国家背景的攻击者拥有许多不同的技术可以远程访问社交媒体和安全消息应用程序。从2017年开始到2018年，思科Talos已经观察到多种不同的技术被用来攻击用户并窃取私人信息。这些技术包括使用假登录页面、伪装成合法对手的恶意应用程序和BGP劫持，专门针对安全消息应用程序Telegram和社交媒体Instagram的伊朗用户。

　　Telegram在伊朗已经成为灰色软件的热门目标，该应用程序估计有4000万用户。虽然它主要用于日常交流，但抗议组织过去也曾用它来组织针对伊朗政府的活动，特别是在2017年12月。在少数情况下，伊朗政府要求Telegram关闭某些“促进暴力”的频道。自2017年以来，本文中概述的策略一直在使用，旨在收集有关Telegram和Instagram用户的信息。这些活动的复杂性、资源需求和方法各不相同。下面，我们概述网络攻击、应用程序克隆和经典网络钓鱼的示例。我们相信，这些活动被用于专门针对Telegram应用程序的伊朗用户，以窃取个人和登录信息。

　　安装后，即使用户在使用合法的Telegram应用程序，其中一些Telegram“克隆”也可以访问移动设备的完整联系人列表和消息。在安装虚假的Instagram应用程序的情况下，恶意软件将完整的会话数据发送回后端服务器，这允许攻击者完全控制正在使用的帐户。我们高度自信的将这些应用程序应归类为“灰色软件”。它不具有恶意目的，不能被归类为恶意软件，但可疑性足以被视为潜在有害程序（PUP）。这种软件很难检测，因为它通常满足用户期望的功能（例如发送消息）。这种软件唯一能够被安全研究人员检测到，如果它在其他地方产生恶劣影响。Talos最终发现了几款可能用于影响深远的攻击行动的软件。我们相信此灰色软件有可能降低使用这些应用程序的移动用户的隐私和安全性。我们的研究表明，其中一些应用程序将数据发送回主机服务器，或者被位于伊朗的IP地址以某种方式进行控制，即使这些设备位于国外也是如此。

　　我们在伊朗攻击中看到的另一种方法是创建虚假登录页面。尽管这不是一种先进的技术，但对于那些不了解网络安全的用户来说，它是有效的。像“Charming Kitten”这样的伊朗组织一直在使用这种技术，目标是安全消息应用程序。一些攻击者也在劫持设备的BGP协议。该技术重定向所有路由器的流量，而不考虑这些新路由的原始路由。为了劫持BGP，需要与互联网服务提供商（ISP）进行某种合作，并且很容易检测到，因此新的路由将不会在很长时间到位。

　　Talos没有在观察到的几次攻击之间找到一个牢固的联系，但所有这些攻击都针对伊朗及其国民和Telegram应用程序。虽然这篇文章的重点是伊朗，但全球的移动用户仍然需要意识到，这些技术可以被任何国家的威胁行为者使用，无论国家赞助与否。这在伊朗和俄罗斯等国家尤为普遍，在这些国家，Telegram等应用程序被禁止。开发人员创建的克隆版本出现在官方和非官方应用程序商店，克隆Telegram的服务。

　　普通用户无法对BGP劫持做任何事情，但使用官方应用程序商店中的合法应用程序可降低风险。同样的规则适用于克隆的应用程序，从不受信任的来源安装应用程序意味着用户必须意识到面临一定程度的风险。在这两种情况下，当应用程序是非官方的“增强功能”应用程序时，即使它们在官方Google Play商店中可用，这种风险也会大大增加。

　　1. andromedaa.irTalos确定了一家完全专注于伊朗市场的软件开发商。开发商在iOS和Android平台上都使用“andromedaa.ir”这个名称。它开发的软件旨在增加用户在Instagram等社交媒体网络上的曝光率，以及某些Telegram频道上的伊朗用户数量。

　　在查看网站，更具体地说是安装链接时，显然这些应用程序都没有在官方应用程序商店（谷歌或苹果）中发布，这可能是由于美国政府对伊朗实施的制裁。

　　andromedaa.ir域名已使用电子邮件进行注册。此电子邮件也用于为克隆的Instagram和Telegram应用程序注册其他域名（请参阅下面的其他部分）。

　　Talos在分析与域名andromedaa [.] com相关的whois信息后识别出多个域名，除了一个之外都使用相同的电话号码注册。

　　分析此SSL证书发现了另一个域名——flbgr [.] com ，其whois信息受隐私保护。根据SSL证书中这些值的低流行度，Talos将此域名与高可信度的同一威胁行为者相关联。域名flbgr [.] com于2018年8月6日注册，是最近注册的域名，IP地址解析为145.239.65 [.] 25。ONE体育 Cisco Farsight数据显示其他域名也解析为相同的IP地址。

　　之后，Talos发现了一个SSL证书，CN为followerbegir [.] ir，其中包含sha256指纹。我们还发现了另一个与之非常类似的证书。然而，似乎有两个拼写错误：一个在CN字段“followbeg.ir”中，另一个在OU字段中，它被标识为“andromeda”，而不是andromedaa。

　　2.剑桥环球学院有限公司Andromedaa.ir发布了iOS应用程序，但它是使用剑桥环球学院有限公司签发的开发者证书签署的。这是一家英国和威尔士注册的公司，提供iOS开发服务。该公司由一名伊朗公民拥有，他还至少拥有4家其他公司，分布在四个不同的国家：英国、美国、土耳其和爱沙尼亚。所有这些公司都共享相同的服务，提供类似内容的网页。

　　Google将网站uk标记为网络钓鱼，这可能与此网站与Mohajer.eu非常相似有关，Mohajer.eu为英国、美国、加拿大、澳大利亚和欧洲经济区其他国家/地区提供签证服务有关。

　　所有属于andromedaa.ir的应用程序都通过在特定Telegram频道中增加喜欢、评论、关注者甚至用户数量来增加用户在Instagram或Telegram上的曝光率。所有这些都保证了只有伊朗用户才能执行此类行动。同样的运营商也管理（见上一节）像样的网站，它们销售同样的曝光服务。

　　虽然这些服务并未违法，但它们肯定是“灰色”服务。ONE体育在同一网站上，我们可以看到营销策略强调使用此服务而非其他服务的好处。

　　值得注意的是，运营商表示他们永远不会要求Instagram客户提供密码，并且所有网站的用户都是真实的。实际情况是，运营商不需要Instagram的客户密码，因为Instagram用户不需要登录该用户的帐户来“喜欢”他们的帖子。

　　相反，运营商可以访问数千个用户会话。他们可以访问已安装“免费”应用程序的所有用户，这意味着他们可以在这些会话期间做任何想做的事情。虽然操作人员对Telegram应用程序使用了另一种不同的方法，但这些方法也可能导致完整的会话被接管。有关详细信息，请参阅“应用程序示例”部分。

　　此处的危险并不是该运营商可以赚钱，而是用户的隐私存在风险。应用于控制Instagram和Telegram帐户的相同方法使操作人员可以访问用户的完整联系人列表，Telegram上的未来消息以及Instagram用户的完整个人资料。伊朗禁止使用这些网站，特别是Telegram，因为它加密聊天信息，阻止政府访问。通过使用这些方法，运营商可以危及终端用户并访问所有未来的聊天。

　　虽然大部分后端都托管在欧洲，但所有经过测试的应用程序都会向位于伊朗的服务器执行更新检查。同样，这本身并不是恶意的，但考虑到禁用应用程序的背景，这可能导致政府可以访问数千个移动设备。但是，Talos未发现此运营商与任何政府、伊朗或其他方面建立直接关系。

　　该应用程序使用iOS WebKit框架来显示Web内容，在本例中即为Instagram页面。首次执行时，应用程序显示使用注入以下JavaScript代码段的Instagram登录页面。

　　在调查期间，我们发现密码并未直接发送到后端服务器（v1[.]flbgr[.]com）。下面是发送到ping.php网页的数据：

　　如果帐户是私人的，则后端服务器的运营商接收移动类型（iOS）、令牌和用户数据，比如用户名、个人资料图片和全名。

　　SESSIONID变量包含最敏感的信息：具有有效cookie的Instagram连接的header。服务器的所有者可以使用此字段中可用的信息劫持用户的Instagram会话。

　　该应用程序的更新机制基于伊朗，这与大多数基础设施不同。当应用程序启动时，它发送一个请求到ndrm [.] ir：

　　该商店包含新版本的应用程序和一个信任前面提到的开发人员证书的过程。这就允许开发人员在任何时间点更新证书信任和应用程序。2.Ozvbegir(ozvdarozv)Ozvbegir应用程序的目的是增加用户Telegram频道的成员数量。该程序保证这些用户只会是伊朗用户。

　　我们分析了Android版本的应用程序。ONE体育程序包由自签名证书签署，证书有效期至3014年。

　　同一应用程序的早期版本也使用自签名证书，但发行者和主题信息都显然是错误的。

　　和之前的应用程序一样，Ozvbegir被重新打包，并包含来自Telegram的原始类。

　　事实上，我们在程序包清单中发现的标志实际上是最初的Telegram的标志，该标志被更改以适应应用程序代码。清单上使用的名称和标签有几个对Telegram原始应用程序的引用，甚至用于Android Maps应用程序的API密钥也保持不变。

　　和之前的应用程序一样，这个应用程序也通过向ndrm.ir域名发送HTTP请求来检查新版本。如果应用程序不是最新版本，它将同时收到消息和获取最新版本的链接，该版本可以是操作人员想要的任何内容。在此情况下，它来自cafebazaar.ir，一个伊朗的Android应用程序商店。

　　域名ndrm.ir注册在与所有其他应用程序支持域名相同的电子邮件之下。然而，这是唯一一个实际托管在伊朗的应用程序，同时也是能够在移动设备上升级的应用程序。应用程序的外观和感觉上非常类似于原始的Telegram。就像最初的Telegram一样，在第一次打开应用程序时用户被要求提供电话号码以便在Telegram中注册。

　　该注册为同一设备创建一个影子会话，使应用程序可以访问完整的联系人列表和将来的消息。

　　在注册过程结束时，应用程序联系后端服务器，提供有关用户和移动设备的信息。

　　我们在Telegram频道上确认用户数量超过100万，这些用户在首次打开应用程序时自动加入。

　　3.Bitgram_dev与之前的开发人员不同，Bitgram_dev在互联网上没有大量的踪迹。目前，它在Google Play上有两个已发布的应用程序--AseGram和BitGram。这些应用从9月初到10月初开始提供，下载了近10,000次。

　　鉴于AseGram和BitGram的目的在于规避伊朗对Telegram的禁令，由此认为发布者希望在自我保护措施方面占据一席之地是合理的。

　　4.AseGramAseGram应用程序适用于某些国家/地区的Google Play商店。即使该应用程序是从Google Play商店下载的，签署该软件包的证书在安全方面也是完全无用的。

　　该Telegram克隆创建的目的就是为了拦截来自用户的所有通信。但是，这个方法采用与其他不同的方法：该软件使用Telegram包层定义的代理来拦截流量。

　　同之前的应用程序一样，AseGram重新打包了合法Telegram的Android版。这就避免了开发人员在尝试实现自己的Telegram客户端时可能遇到的所有问题。

　　配置详细信息被硬编码到恶意软件中，并使用AES加密，密钥源自与特软件包中特定值相关联的硬编码值。

　　该应用程序涉及三个域名：talagram.ir，hotgram.ir和harsobh.com，所有这些域名都注册在伊朗公司名下。在此情形下，应用程序管理员可以访问通信。

　　此应用程序创建的服务只能通过关闭应用程序来禁用，并在设备启动时启动。该服务包含安装新软件包所需的代码，由系统中的标准软件包管理器处理。该服务还负责联系位于伊朗的IP地址。实际上，这个使用Telegram克隆的后端称为“Advanced Telegram”或（Golden Telegram）。该应用程序可在cafebazaa.ir上获得，这是一家伊朗批准的Android应用程序商店。

　　需要着重强调的是本页面的第一句 (This program operates within the framework of the laws of the country，本计划在该国法律的框架内运作）。很难找到一个合法的用例，其中规避禁令的应用程序应该联系由应用禁令的同一国家审查的克隆应用程序使用的相同服务器，使这些通信高度可疑。

　　该应用程序还包含使用位于多个国家/地区的socks服务器的代码，可用于规避禁令。然而，在研究中，我们从未见过这些被使用过。另一方面，如果物理设备不在伊朗，我们已经看到流量发送到位于该国的服务器，这与试伊朗禁用Telegram 并不兼容。

　　获取用户Telegram帐户访问权限的最简单方法是对用户进行社交工程，诱导其将用户名和密码输入由攻击者控制的欺诈性网站。我们在野外观察到域名youtubee-videos [.] com，它模仿了Telegram的Web登录页面。

　　此域名已于2017年7月25日注册。基于战略、技术和程序（TTP），例如域名注册模式，电子邮件地址nami. [.] com——用于注册此域名以及其他域名，其被动域名服务器（pDNS）记录表明该域名与Charming Kitten组织相关联。这个相同的域名独立地将Charming Kitten与另一家网络安全公司Clearsky联系在一起。在进一步检查网页源代码后，发现该网站是使用名为Webogram的GitHub项目构建的，源页面中的字符串显示该网站是为iPhone设计的。

　　虽然Talos正在研究Charming Kitten攻击者使用的欺骗性Telegram网站，但我们也发现了许多其他恶意域名，其中包含“移动”，“信使”等关键字，在某些情况下还包含“hangouts”，这可能是一个参考名为Hangouts的Google聊天应用程序。这表明这些攻击者对获取终端用户的移动设备一直孜孜不倦，特别是聊天消息。这些域名也使用了2017年与该组织相关的其他域名相同的Modus operandi进行注册。通过分析pDNS记录， Talos发现了解析为相同IP地址的其他域名。

　　这清楚地表明，该组织正在进行一项攻击活动，重点关注用户凭据和消息传递应用程序。

　　在监控BGPStream，思科的边界网关协议（BGP）公告数据库，Talos注意到一些源自伊朗ASN 58224的路由异常。对于那些不熟悉此协议的人，BGP在RFC中定义4271，作为“一种自治系统路由协议”。在此上下文中，“路由被定义为将一组目标与这些目标的路径属性配对的信息单元。”简而言之，该协议允许在请求位于所请求的网络或自治系统之外的资源时发生互联网通信。

　　在互联网上使用BGP来协助选择最佳路径路由。重要的是要注意，这可以在ISP级别进行操作，具体取决于各种因素，BGP允许路由选择。 BGP通过语音系统优化互联网流量的路由，RFC 4271将其定义为：

　　BGP语音系统的主要功能是与其他BGP系统交换网络可达性信息。该网络可达性信息包括关于可达性信息遍历的自治系统（AS）列表的信息。

　　这些语音系统充当路由器向邻近系统发送“更新消息”的平台。 “更改路由属性的过程是通过通告替换路由来完成的。替换路由携带新的[已更改]属性，并且具有与原始路由相同的地址前缀。”

　　虽然这是为了解决网络问题而设计的，但没有添加足够的安全机制来防止它被滥用。除了某些方法（如邻居的MD5密码，IPSec或GTSM）之外，BGP不提供安全机制。这些都不是默认要求，因此不一定被广泛使用。这可以允许某人发送具有到相同前缀或AS的备用路由的更新消息，即使主路由没有问题。

　　这可能导致一些流量通过受害者的预定或次优路线。这些路由偏差有时被称为BGP劫持会话。 BGP劫持会话的有效性是根据通过消息接收更新的BGP对等方的数量来衡量的。接收更新消息的对等体越多，通过备选次优路径路由的流量就越可能由行为者预先配置。

　　一个有趣的BGP路由异常发生在2018年6月30日07:41:28 UTC。在此次活动中，总部位于伊朗的ASN 58224宣布更新前缀185.112.156.0/22。伊朗电信提供商伊朗电信公司PJS拥有发送更新消息的ASN。

　　这个可能被劫持的范围与匈牙利的互联网服务提供商（ISP）DoclerWeb Kft有关。9个BGPmon对等体检测到此事件，持续了2小时15分钟，直到传播新的更新消息。虽然此事件的规模非常小，但这可能是针对更大的BGP劫持尝试的试运行。

　　有更多重要的BGP异常来自同一个伊朗的ASN 58224。在2018年7月30日UTC时间06:28:25，四条BGP路线在同一时间被宣布为“more specific”，直到第二，影响与Telegram的沟通。当路由器通过语音系统收到此更新消息时，他们开始通过ASN 58224路由一些发往Telegram服务器的流量。此活动证明特别有效，因为大量的BGPmon对等端观察到它，表明它在整个区域中通过语言系统传播。如同一个月前一样，所有路由器都在2小时15分钟后收到更正的更新消息，结束了劫持。

　　从理论上讲，这可能是破坏与Telegram服务器通信的攻击的组成部分。这次劫持会话导致一些Telegram消息被发送给伊朗电信提供商。其他有国家背景的攻击者也使用此技术来传递恶意软件，正如其他安全研究人员在2018年5月所记录的那样。一旦流量通过所需的ISP路由，就可以对其进行修改和检查。一些开源报告表明，伊朗电信提供商此前曾与伊朗政府合作获取通信。该文章建议电信公司向政府提供访问Telegram账户所需的短信验证码。

　　这种特殊的能力很有吸引力，因为它可以让攻击者通过伊朗在相邻的ASN中路由流量。这可能使威胁行为者能够访问附近国家的设备，并损害使用非伊朗电信提供商的用户。

　　伊朗信息和通信技术部长Mohammad-Javad Azari Jahromi承认了这一事件并表示将对此进行调查。伊朗政府没有就此调查公开发布任何进一步的信息。

　　我们在这里讨论的三种技术并不是具有国家背景的攻击者用来部署针对其公民的监视机制的全部技术。大规模互联网防火墙和监视部署一直出现在新闻中。其中一些活动还针对特定应用，例如Telegram。然而，这些显然不相关的事件至少有两个共同点：伊朗和Telegram。这些共性相距甚远，因为伊朗已经禁止了该国的Telegram。但是我们发现有几个Telegram克隆拥有数千次安装，它们以某种方式联系了位于伊朗的IP地址，其中一些广告宣传他们可以规避禁令。这些应用程序的活动并非违法，但它使操作人员可以完全控制消息传递应用程序，并在某种程度上控制用户的设备。

　　即使在使用经典网络钓鱼技术的情况下，像Charming Kitten这些组织的长期活动仍然对那些不太了解网络安全的用户有效。鉴于所有这些活动的共同点是公民身份，可以理解的是，绝大多数人都不会像网络安全专业人士一样接受网络安全教育，因此即便是这种经典技术也可能非常有效。

　　虽然Talos不可能准确地确定7月30日路由更新消息背后的意图，但Talos有信心地评估这些更新是针对该地区基于Telegram的服务的蓄意行为。四个更新消息不可能在同一时间分发，通过与一个ASN 58224相关的四个不同子网路由两个不同的Telegram。

　　除了受害者和应用程序之外，Talos无法在每个事件之间找到任何可靠的联系。这项调查的重点是伊朗，是因为目前伊朗禁用Telegram。但是，这些技术可以被任何恶意行为者使用，无论是否有国家赞助。Talos确信使用本文中讨论的应用程序时用户的隐私存在风险。所以应该认真对待整体安全问题。