Тагнуулын тухай "үлгэр"

FinFisher хэмээх бүтээгдэхүүн зардаг Gamma гэдэг фирмийн серверийг нэг нөхөр хакердаад 40 Гигабайт хэмжээтэй файлуудыг нээлттэй болгочихлоо гээд интернэтээр шуугиад эхэллээ. Уг хакерын мэдсэнээр бол уг байгууллага програмaa одоо болтол идэвхитэй зарж байгааг нь дурдсан байна. FinFisher хэмээх програм нь 1.5 сая евроны үнэтэй програм. Анти-вирус програмд өртдөггүй Трояан програмын багц бөгөөд хянаж тагнах зориулалтаар германы улсын хэмжээнд хэрэглэгдэж байсан нь мэдэгдэж хоёр жилийн өмнө хэсэг л шуугиан тарьсан эд. Энүүгээр таны компьютер луу бүрэн эрхээр орж бүх зүйлийг хийж болохоос гадна, гар утасны яриаг давхар чагнах, мэдэгдэлгүй залгаж яриаг чагнах, мессенжерийн текстийг давхар унших, email ийг унших гээд л жагсаалт бол хөвөрч өгнө. Гарын авлага болон үнийн жагсаалтуудыг нь дор жагсаав:

• Кибер аргаар гэмт хэрэгтэй тэмцэх (17 хуудас)
• FinSpy 3.00 - Хэрэглэгчийн гарын авлага
• FinSpyPC 4.51 (хувилбар 4.50-н засвар) хувилбарын мэдээлэл
• FinSpyMobile 4.51 Хувибарын мэдээлэл
• FinFisher үнийн жагсаалт 2014

Ингээд та уг бүтээгдэхүүнүүдийн юу хийх чадалтайг нь нэг хараарай. Тэр дунд нь хэрэв гар утасны сүлжээнийх нь оператор нь huawei бол бараг бүх боломж нээлттэй байгаа ч бий. Бүр тухайн улсад очиж сургалт хийдэг байх жишээтэй.

За тэгтэл найзтайгаа энэ тухай "шагшран" ярилцаж цааш нэтээр хайтал уг програмыг суулгасан серверээс хүсэлт гаргавал өөдөөс Hallo Steffi гэж хариулдагийг нь мэдээд дэлхийн таван тивд серверүүд ажилладаг нь тодорхой болов.

• 112.78.143.26 (Indonesia)
• 121.215.253.151 (Australia)
• 78.100.57.165 (Qatar)
• 213.55.99.74 (Ethiopia)
• 94.112.255.116 (Czech Republic)
• 213.168.28.91 (Estonia)
• 54.248.2.220 (USA)
• 202.179.31.227 (Mongolia)
• 80.95.253.44 (Czech Republic)
• 81.198.83.44 (Latvia)
• 86.97.255.50 (Dubai, UAE)

Өө хөөрхий, монгол улс дотор нь жагсаж байдаг юм байна.
Гэхдээ энэ нь ийм програмыг тэр улс ажиллуулж байна гэсэн үг биш, магадгүй өөр улс нүүрээ нууж өөр улс дээр ажиллуулж болох юм гэсэн тодорхойлолтууд ч уншигдаж байлаа. Манай ерөнхийлөгчийн тамгын газраас Bloomberg.com оос асуусан асуултанд хариу өгөлгүй таг хэмээн мэдээлэл бас байх юм. Австралийн гадаад харилцаа худалдааг хариуцсан албанаас бол FinFisher-г мэдэхгүй л гэсэн байгаа юм. Чех улсын дотоод явдлын яамны хэвлэлийн мэдээлэгч бол Gamma аас бүтээгдэхүүн авч хэрэглэдэг гэсэн ямар ч мэдээлэл байхгүй гэж хариулж. Индонезийн холбоо харилцааны сайд нь манайд иймэрхүү төрлийн бүтээгдэхүүний санал ирдэг гэхдээ бид хүний эрхийг зөрчихгүйн үүднээс хэрэглэдэггүй гэж хариулжээ. Этопиа, Катар, Монголоос хариу ирэлгүй таг. Ингээд хэсэг хугацааны дараа эдгээр серверүүд харанхуй руу алга болоод мэдэгдэхгүй болжээ. Ингээд амар сайхандаа жаргаж гэнээ... За одоо утсаа унтраагаад унтацгаа даа :)

ШИНЭЧЛЭЛ: 22.08.14

Үлгэр дууссангүй ээ, ингээд өнөөх 40GB өгөгдөл задарч эхэлж байх шиг байна. Энд болон эндээс бас эндээс HelpDesk буюу уг програмтай холбоотой хүндрэлүүдийг шийдэхэд тусалдаг газартай нь холбогдсон хүмүүсийн захианууд ил тавигдаж эхлэв. Гэтэл дотор нь odmagnai гэгч нөхөр, gmail хаяг руу халдах кодтой хавсаргасан захиа илгээгээд бүтэхгүй байгаа тухай тусламж гуйсан захидал явж байх юм:


@h2please give us reference as soon as possible
Firstname: Odmagnai at: 2012-05-18 05:41:37
Description: Dear Sirs. We tried to send infected pdf file to gmail account. It giving error message even we had zipped it please give us reference as soon as possible Odmagnai.S altan_edu@yahoo.com mnkhzrg@yahoo.com odmagnai@yahoo.com

@h2please give us reference as soon as possible
Firstname: Odmagnai at: 2012-05-17 04:30:47
Description: Dear Sirs. We tried to send infected pdf file to gmail account. It giving error message even we had zipped it please give us reference as soon as possible Hi. This is the qmail-send program at mail.mn. Im afraid I wasnt able to deliver your message to the following addresses. This is a permanent error Ive given up. Sorry it didnt work out. odmagnai@gmail.com: 173.194.79.26 failed after I sent the message. Remote host said: 552-5.7.0 Our system detected an illegal attachment on your message. Please 552-5.7.0 visit http://support.google.com/mail/bin/answer.py?answer6590 to 552 5.7.0 review our attachment guidelines. ou2si7873584pbb.339 --- Below this line is a copy of the message. Return-Path: info@future-mongolia.com Received: qmail 7724 invoked by uid 1009 27 Apr 2012 20:24:44 -0000 Received: from unknown HELO progamer491hij info@future-mongolia.com@10.5.0.10 by mail.mn with SMTP 27 Apr 2012 20:24:44 -0000 From: Future Mongolia info@future-mongolia.com To: odmagnai@gmail.com

@h2please give us reference as soon as possible
Firstname: Odmagnai at: 2012-05-17 04:30:16
Description: Dear Sirs. We tried to send infected pdf file to gmail account. It giving error message even we had zipped it please give us reference as soon as possible Hi. This is the qmail-send program at mail.mn. Im afraid I wasnt able to deliver your message to the following addresses. This is a permanent error Ive given up. Sorry it didnt work out. odmagnai@gmail.com: 173.194.79.26 failed after I sent the message. Remote host said: 552-5.7.0 Our system detected an illegal attachment on your message. Please 552-5.7.0 visit http://support.google.com/mail/bin/answer.py?answer6590 to 552 5.7.0 review our attachment guidelines. ou2si7873584pbb.339 --- Below this line is a copy of the message. Return-Path: info@future-mongolia.com Received: qmail 7724 invoked by uid 1009 27 Apr 2012 20:24:44 -0000 Received: from unknown HELO progamer491hij info@future-mongolia.com@10.5.0.10 by mail.mn with SMTP 27 Apr 2012 20:24:44 -0000 From: Future Mongolia info@future-mongolia.com To: odmagnai@gmail.com



ШИНЭЧЛЭЛ: 15.09.14

За ингээд энэ програмыг худалдан авсан үйлчлүүлэгчид, хэдэн лицензтэй худалдаж авсан, одоо болтол хэрэглэгч байгаа хэвээрээ юу гэсэн мэдээллүүдийг алдарт wikileaks хуудсан дээрээс өөрийнхөө нүдээр хараарай. Одоо болтол идвэвхитэй хэрэглэгч гэсэн жагсаалтан дотор Монгол улс товойж л байна. Одмагнай гэгч нөхрийн захидал болон бусад мэдээлэл бас бий. Уг програмыг бүх лицензтэй нь худалдаж авбал 50 сая евро болж байгаа бөгөөд хамгийн том хэрэглэгч нь монгол улс байна гэсэн мэдээллийг эндээс уншаарай.

За буцаад нүдээ аниад утсаа унтраагаад унт даа :)

Simlock & building android kernel module

Аль өнгөрсөн өвөл 30 еврогоор simlock-той Huawei u8180 (Ideos X1) гэдэг Андройд гар утас авав. Simlock-ыг нь эс тооцвол дажгүй хөөрхөн утас аж. Уг нь 10 ногооноор simlock гаргана гэсэн үйлчилгээнүүд интернетээр дүүрэн байна. 30 евроны утсыг 10 доллар төлж түгжээ гаргахад дэндүү харамсалтай санагдаад, дээрээс нь бас ер нь яаж simlock гаргадаг юм бол гэсэн сониуч зан хөдөлсөн тул өөрөө түгжээ гаргадаг баатар болов. Simlock-ын тухай мэдээлэл интернетээр их ховор юм, бодвол зарим улсад түгжээ гаргах хориотой дээрээс бас зарим нөхдүүд мөнгө олох аргаа алдахгүй гэсэн юм болов уу даа.

Андройд гар утас маань Qualcomm MSM7225 гэсэн SoC-той юм байна. MSM7225 нь дотроо 2 ширхэг ARM процессор агуулдаг аж. 528 Mhz-ын хурдтай ARM11 процессор дээр нь Андройд үйлдлийн систем харин арай удаан ARM9 дээр нь GSM/UMTS-г хариуцсан AMSS (Advanced Mobile Subscriber Software) хэмээх үйлдлийн систем тус тус ажиллана. Энэ хоёр процессор дундаа 512MB-ын хэмжээтэй нэг л flash memory хувааж ашиглана. Гэхдээ AMSS нь Android-ын ашиглаж байгаа санах ойд хандаж болдоггүй, Андройд нь ч гэсэн нөгөө процессорын flash санах ойг хардаггүй аж.

Андройд, AMSS хоёр хоорондоо AT коммандын тусламжтайгаар харьцана. Хэрвээ та 99110000 гэсэн дугаар руу залгавал Андройд үйлдлийн систем AMSS руу зөвхөн "ATD 9911000" тушаал илгээнэ. Энэ тушаалыг аваад AMSS өгөгдсөн дугаар руу залгана. Андройд өөр юу ч хийхгүй, бусад дуудлагатай холбоотой бүх зүйлсийг зөвхөн AMSS хариуцна. Нэг ёсондоо Андройд маань гар утасны үйлдлийн систем биш харин зөвхөн гар утасны UI л гэсэн үг, харин AMSS маань гар утасны жинхэнэ үйлдлийн систем нь юм.

AMSS-д зориулсан flash санах ой дотор EFS2 гэсэн нэг partition байна. Энэ дотор IMEI (International Mobile Equipment Identity), SPL (Service Programming Code), simlock гэх мэт GSM/UMTS-тэй холбоотой бүх чухал мэдээлэл хадгалагдана. Тиймээс ямар нэгэн аргаар Андройдоос EFS2 partition-руу хандаж чаддаг байж түгжээ гаргадаг болно. Ингэхийн тулд янз бүрийн юм оролдож үзсэнээс хамгийн гайгүй арга нь kernel module бичиж харагдахгүй байгаа partition-уудыг харагдуулах арга байв.

Энэ аргыг ашиглахын тулд та гар утсаа шоронгоос гаргасан байхаас гадна Андройд SDK болон NDK 5b суулгасан байх хэрэгтэй. Үүний дараа та гар утсандаа тохирсон kernel олох хэрэгтэй. Би гар утсандаа таарсан kernel эндээс олов. Татаад задалсныхаа дараа гар утсаа компьютертэйгээ холбоод доорх тушаалуудыг бүрхүүл дээр бичээрэй:

1. cd /path/to/kernel
2. adb pull /proc/config.gz .
3. gunzip config.gz
4. mv config .config
5. make ARCH=arm CROSS_COMPILE=/path/to/android/ndk5b/toolchains/arm-eabi-4.4.0/prebuilt/bin/linux-x86/bin/arm-eabi- modules_prepare

Одоо та шинэ хавтас үүсгээд дотор нь доорх файлыг mtd-hack.c гэж хадгална уу.


mtd-hack.c-г хадгалсан хавтас дотроо та хоосон Makefile үүсгээд дотор нь obj-m += mtd-hack.o гэж бичиж хадгалаарай. Одоо та доорх тушаалуудыг ашиглаад kernel module-аа build хийгээд, гар утас руугаа хуулж ажиллуулаарай:

1. cd /path/to/mtd-hack-module
2. make ARCH=arm CROSS_COMPILE=/path/to/android/ndk5b/toolchains/arm-eabi-4.4.0/prebuilt/bin/linux-x86/bin/arm-eabi- -C /path/to/kernel M=/path/to/mtd-hack-module modules
3. adb push mtd-hack.ko /sdcard/mtd-hack.ko
4. adb shell
5. su
6. cd /sdcard
7. insmod mtd-hack.ko

Хэрвээ бүх зүйл амжилттай болсон бол таны бүх flash memory тань /dev/mtd/mtd9 гэсэн шинэ partition болж орж ирсэн байгаа. (EFS2 partition яаг хаана байгааг нь сайн мэдэхгүй байгаа учир бүх flash-аа нэг partition болгов) Та одоо энэ partition-ыг backup хийж авч болно:

1. dd if=/dev/mtd/mtd9 of=/sdcard/fulldump.bin bs=4096
2. rmmod mtd_hack

IMEI гэх мэд чухал мэдээллүүд EFS2 partition дотор хадгалагддаг гэж урьд нь бичсэн билээ. Энэ чухал мэдээлэл/тохиргоо бүрийг NV (non volatile) item гэж нэрлэх бөгөөд item болгон өөрийн дугаартай байна. IMEI жишээ нь 550 дахь item, харин AMSS version нь 60001 дэх item. Та одоо fulldump.bin файлаа дурын HEX editor-оор онгойлгоод "550n" эсвэл "60001n" гэж хайгаад үзээрэй, олдож байвал яаг тэнд чинь IMEI, AMSS version item-ууд хадгалагдсан байгаа.

Харамсалтай нь sim unlock key нь NV item биш, харин EFS2 дотор өөрийн гэсэн файл систем дотор perso.txt гэсэн файл дотор хадгалагдана. Тэгэхээр үүнийг эхлээд reverse engeneering хийж байж unlock key олно. Би одоохондоо үүнийг хийж амжаагүй байгаа. Гэхдээ цаад учрыг нь ольё гэхгүйгээр түгжээ гаргая гэвэл маш амархан арга нэг бий. Түгжээгүй утас нэгийг олоод EFS2-ыг нь backup хийгээд энэ backup-аа түгжээтэй утасруугаа хуулахад л хангалттай. Ингээд гар утас тань түгжээгүй болчихно. Гэхдээ арай л fun багатай арга юм даа...

Хоолойгоор урсах өгөгдлийг AES түлхүүрээр цоожлох

aespipe зэвсгийн тусламжтайгаар стандарт оролт/гаралтанд байгаа өгөгдлийг AES-р түлхүүрдэж нууцлалтай хувиргалт хийж болдог. Бяцхан чөтгөр дээр aespipe нь порт модны security/aespipe мөчирт бий (үбүнтү нөхдүүд бол aptitude install aespipe ).

# cd /usr/ports/security/aespipe && make install clean

Ингээд стандарт оролт дээрх юмуу жишээ нь хоолой дундуур урсаж байгаа өгөгдлийг aespipe уруу өгөхөд хувиргагдсан өгөгдөл нь стандарт гаралтаар гарч ирнэ. Танаас түлхүүрдэж хувиргах нууц үгийг асуусны дараа өгөгдлийг хувиргадаг:

# file testdatei
testdatei: PDF document, version 1.4
# cat testdatei | aespipe > testdatei.enc
Password: *******************
# file testdatei.enc 
testdatei.enc: data

Тушаалыг -d сонголттой гүйцэтгэснээр өгөгдлийг нууц хувиргалтаас тайлах болно:

# cat testdatei.enc | aespipe -d > testdatei
Password: *******************
# file testdatei
testdatei: PDF document, version 1.4

aespipe-тай холбоотой нэмэлт мэдээллийг aespipe(1) МАН хуудаснаас нь олж уншаарай.

Орчуулгын эх хуудас нь: http://www.chruetertee.ch/blog/

Нууц л бол нууц

Самуурахаар олон мэдээлэл дунд санаж байх зориулалтаар howto-XXX гэсэн баахан файлыг энд байрлуулж байсан тухай өмнө нь энд үнсэх тэрлэл дээр сараачиж байсан даа. Тэнд нууцлалтай холбоотой хоёр төрлийн заавар хадгалагдсан байгаа юм. Нэг нь openssl, нөгөөх нь gpg ашиглах тухай. Гэлээ ч, үнэхээр чухал бичиг баримтаа нууцлах үед энэ хоёр заавраа өмнөө дэлгэж байгаад аль нэгийг нь сонгодог байв. Нууцалчихаад нууцлаагүй хувилбараа бас устгана. Устгахгүй мартаад орхичихвол урвагч болоод явчихна даа. За ямар ч байсан нэг шувуу нэг сүвлэдэг төмөр олоод далд оруулах газраа олж ядна гэсэн утга бүхий ардын үг байдаг даа, тэрүүн шиг нэг хүн муулж бичсэн файлаа далд нууцлах гэж жижигхэн төвөг болдог байв.

Гэхдээ бас нэг арга бий ажээ. Тэр нь gpg ашигласан эмаксийн нэг горим. Нэр нь EasyPG. Хувилбар 23 аас эхлээд өөрт нь агуулагдсан байдаг юм байна. Хамгийн сайхан нь нууцлах файлынхаа толгойд ганцхан мөр оруулаад л болох нь тэр:

"my_key_email@foo.org" ийн оронд өөрийнхөө gpg дээр үүсгэсэн түлхүүрийнхээ нэрийг өгөөд л болно.

Ингээд та файлаа бичиж дуусаад хадгалаад (*.gpg өргөтгөлтэй) хаах юм бол уг файл тань gpg дээрх таны түлхүүрээр нууцлалын хувиргалт хийгээд дискэн дээр хадгалагдчихна. Эмаксаар буцаагаад нээхээр танаас буцааж хөрвүүлэх түлхүүрийн тань нууц үгийг асуугаад энгийн файл шиг өмнө тань дэлгэж харуулах бөгөөд энэ нь тухайн үедээ санах ойд л задаргаатай байх юм. Хм,, тэгэхээр буузанд байгаа нууц мөнгийг ууцанд байгаа нууц цүүгээр олох нь дээ.. Мөн шавж өгвөө :)