40GB łamania praw człowieka – wyciek z Gamma Group

10 dni temu niejaki Phineas Fisher korzystając z twittera o nazwie @gammagrouppr opublikował pozornie żartobliwą wiadomość ‘Jako, że skończyli nam się klienci rządowi, Gamma International otwiera się na sprzedaż dla prywatnych użytkowników’. Niedługo potem upublicznione zostały materiały promocyjne, kody źródłowe i szczegółowe opisy narzędzi służących do inwigilacji komunikacji elektronicznej – łączenie prawie 40GB danych (magnet link torrenta z materiałami można znaleźć tutaj). Czym jest Gamma Group i dlaczego ujawnione informację wyróżniają ją spośród innych firm z branży? Założony w latach 90 konglomerat mający swoje oddziały w Europie, Azji, Afryce i na Bliskim Wschodzie oferuje szeroki zakres narzędzi i usług związanych z elektronicznym pozyskiwaniem informacji. Mowa tutaj o rozwiązaniach służących do podsłuchu zarówno ruchu sieciowego jak i komunikacji GSM, geolokalizacji, data mining, a także usługi odzyskiwania danych i pozyskiwania dowodów elektronicznych i systemy obserwacji audio-video. Gamma International Ltd i Gamma International GmbH to natomiast odpowiednio Angielska i Niemiecka spółka zależna konglomeratu które to zaangażowane były w promocję i dystrybucję narzędzia ‘FinFisher’. Celem Gamma Group zawsze byli klienci rządowi i korporacyjni – oba oddziały Gamma International (oficjalnie) sprzedawały sprzęt i oprogramowanie wyłącznie agencją rządowym. W skład ‘FinFisher’ wchodzi zestaw narzędzi służących to zdalnej obserwacji i kontroli zainfekowanych komputerów. Mówiąc wprost – FinFisher to głównie malware zapewniający zdalny pulpit + pakiet narzędzi podsłuchowych które dodatkowo szyfrowały zgromadzone dane. Wśród funkcji narzędzia jest podsłuchiwanie Skype’a, przechwytywanie emaili, chatów, VoIP, keylogger i zdalna analiza dowodowa systemu. Program umożliwiał również tworzenie botnetów – producent zapewniał dostęp do serwerów C&C i szkolenia w zakresie ich obsługi. Co więcej zakres podatnych maszyn nie ograniczał się do komputerów – podatne były również telefony komórkowe oparte na platformach Blackberry, Android, Symbian i Windows Phone.

Nawet jeżeli opis dostępnych funkcji nie robi wrażenia – w końcu dokładnie tego należy oczekiwać po komercyjnych narzędziach szpiegowskich – to już metoda infekcji była co najmniej kontrowersyjna. FinFisher podszywał się pod narzędzia aktualizacji popularnego oprogramowania takiego jak iTunes czy Firefox. Wkrótce po tym jak informację na ten temat ujrzały światło dzienne Mozilla wystosowała nakaz zaprzestania działalności do Gamma Group dotyczący stosowania loga, nazwy i innych elementów Firefoxa stanowiących własność intelektualną Mozilli. Nawet pomijając aspekt ideologiczny twórcy FinFishera z pewnością złamali prawo korzystając z własności Mozilli, a charakter nadużycia mógł doprowadzić do spadku zaufania do programu a tym samym zmniejszenia liczby uzytkowników. Należy jednak również pamiętać jak dużą część wizerunku Mozilli stanowi popieranie wolności w internecie i sprzeciw wobec masowej inwigilacji użytkowników. Gamma Group w końcu już została określona przez Dziennikarzy bez Granic jako jeden z wrogów internetu.

Jednak to wszystko nie byłoby niczym nie zwykłym, ani szczególnie karygodnym gdyby nie to kto okazał się być klientem Gamma International. Z przecieków wynika, iż oprogramowanie dostarczane było agencją rządowym Bahrajnu podczas ‘arabskiej wiosny’. Jak nie trudno się domyślić ostrze FinFishera skierowane zostało przeciwko protestującym, aktywistom i prawnikom zajmującym się ochroną praw człowieka. Według raportu Bahrain Watch, zainfekowanych zostało co najmniej 77 komputerów należących do czołowych postaci ruchów opozycyjnych – m.in. Mohammeda Altajera – prawnika szantażowanego przez służby specjalne i Hasana Mushaima – przywódcy opozycji i więźnia sumienia odsiadującego obecnie kare dożywocia. Gamma International i rząd Bahrajnu zgodnie zaprzeczają oficjalnej współpracy, Gamma twierdziła, iż oprogramowanie zostało skradzione. Jednak wśród informacji które wyciekły z firmy znajduje się zapis korespondencji pomiędzy wsparciem technicznym Gamma Int, a rządem Bahrajnu co jednoznacznie dowodzi stałej kooperacji podmiotów. Atak na aktywistów został wykryty po analizie maili wysyłanych do członków Bahrain Watch w Waszyngtonie i Londynie. Wiadomości pozornie zawierały materiały przedstawiające stosowanie tortur przez Bahrajn, jednak tak naprawdę załączniki zawierały zainfekowane pliki – zdjęcia i dokumenty które w rzeczywistości były plikami wykonywalnymi. Analiza przeprowadzona przez CitizenLab jednoznacznie wskazała na pochodzenie malware’u.

Co więc wyniknie z wycieku? Niestety nie należy oczekiwać radykalnego zwrotu w polityce Gamma Group. Warto pamiętać, że nie jest to pierwszy przypadek kiedy zachodnie firmy wspomogły reżim Bahrajnu – w 2011 wyszło na jaw, że sprzęt służący do inwigilacji sieci telekomunikacyjnych został dostarczony przez koncern Nokia Siemens. Działania takie nie powinny być zaskoczeniem biorąc pod uwagę, że Bahrajn pozostaje bliskim partnerem Stanów Zjednoczonych. Handel opisywanymi technologiami, w szerokim ujęciu, można rozpatrywać w takiej samej kategorii jak handel bronią. Różnicą pozostaje dyskretny charakter handlu oprogramowaniem. Gamma Group twierdziło, że FinFisher mógł dostać się do Bahrajnu na skradzionym pendrivie, nawet jeżeli część o kradzieży okazała się nieprawdą to już nie sposób nie zgodzić się, że do dostarczenia produktu wystarczył jeden pendrive. Software nie wymaga organizacji transportu koniecznej przy handlu bronią. Co więcej przy odpowiedniej dozie ostrożności usługi mogą być dostarczane wprost z terytorium kraju pochodzenia dostawców. Tak zresztą było również w przypadku FinFishera – wiele operacji było przeprowadzanych z terenu Stanów Zjednoczonych i Zjednoczonego Królestwa. Także przeniesienie ciężaru na podmioty prywatne umożliwia ominięcie części kontroli jaka wiąże się z dokonywaniem transakcji przez rząd. Nie można również zapomnieć, że narzędzia do inwigilacji to miecz obosieczny – FinFisher służył zarówno do walki z prawami człowieka jak i do ścigania przestępców w Holandii czy Niemczech. Zrozumiałe są głosy obrońców praw człowieka nawołujące do zaprzestania, a raczej zmuszenia firm do zaprzestania, sprzedaży produktów państwom totalitarnym, jednak nie należy oczekiwać działań innych niż te podejmowane przez państwa w ramach ogólnej polityki zagranicznej.

PS ‘Phineas Fisher’ zamieścił również poradnik dla początkujących hakerów i tych którzy ‘mają dość czekania na whistleblowerów’. Lektura zdecydowanie warta uwagi 😉

Advertisements

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: