El software phantom (PDI y hackers team) puede decifrar comunicaciones cifradas?

Nope, PHATOM que en realidad es solo el DAVINCI renombrado (Segun dicen), no realiza algún tipo de sniff.

El software en realidad es un vil troyano (SÃ￾, PDI pago 2.8 millones de Dolares por un troyano lol), por lo cual todos los mensajes y contraseñas las saca directamente del teclado, el audio desde el microfono, etc.


Si no mal recuerdo soporta MAC,WINDOF,LINUX,ANDROID e IOS.


Para llegar a IOS primero infectan el MAC o WINDOWS y una vez que conectan el iphone al computador, el troyano realiza Jailbreak al iphone e instala su version para IOS.

Se han encontrado cosas interesantes como:

-Un 0day de flashplayer que funciona en firefox,IE y Chrome (si bypasea la sandbox).
-Un rootkit firmado digitalmente por Microsoft :X
-Un binario llamado exploit SELINUX juntenmiedo)

Tambien se han encontrado cosas vergonzosas como:

-Un script en PHP vulnerable a SQL Injection
-Una lista de Passwords bastante debiles
-Indicios de que el software trae backdoors (ALO PDI?, tienen un backdoor )


Quien lo ha hecho?
Hasta ahora se lo adjudicado una persona con el nick PhineasFisher (@GammaGroupPR) el mismo que el año pasado se infiltro y libero información de la empresa Gamma International que tambien se dedicaba al negocio del desarrollo de software de vigilancia para gobiernos.


Con respecto a Chile:
Al parecer no solo se ha involucrado a la PDI, tambien se habrian encontrado mails que involucran a Carabineros, al Ejercito y a la empresa mipoltec.



Saludos.

Batou dijo:

Nope, PHATOM que en realidad es solo el DAVINCI renombrado (Segun dicen), no realiza algún tipo de sniff.

El software en realidad es un vil troyano (SÃ￾, PDI pago 2.8 millones de Dolares por un troyano lol), por lo cual todos los mensajes y contraseñas las saca directamente del teclado, el audio desde el microfono, etc.


Si no mal recuerdo soporta MAC,WINDOF,LINUX,ANDROID e IOS.


Para llegar a IOS primero infectan el MAC o WINDOWS y una vez que conectan el iphone al computador, el troyano realiza Jailbreak al iphone e instala su version para IOS.

Se han encontrado cosas interesantes como:

-Un 0day de flashplayer que funciona en firefox,IE y Chrome (si bypasea la sandbox).
-Un rootkit firmado digitalmente por Microsoft :X
-Un binario llamado exploit SELINUX juntenmiedo)

Tambien se han encontrado cosas vergonzosas como:

-Un script en PHP vulnerable a SQL Injection
-Una lista de Passwords bastante debiles
-Indicios de que el software trae backdoors (ALO PDI?, tienen un backdoor )


Quien lo ha hecho?
Hasta ahora se lo adjudicado una persona con el nick PhineasFisher (@GammaGroupPR) el mismo que el año pasado se infiltro y libero información de la empresa Gamma International que tambien se dedicaba al negocio del desarrollo de software de vigilancia para gobiernos.


Con respecto a Chile:
Al parecer no solo se ha involucrado a la PDI, tambien se habrian encontrado mails que involucran a Carabineros, al Ejercito y a la empresa mipoltec.



Saludos.

Haz clic para expandir...

mmmm... ok, entonces la discusión va por otro camino.

Como se infecta uno de ese troyano?

basicamente es un "prey", y que coincidencia que justo prey se asoció con la pdi.

Asumo que uno no se infecta. Sino que infectan a quien quieren.

No andara dando vueltas por inet sino que es algo bien focalizado. A no ser q si ande rondando por ahi y que ellos solo vendan el cliente para realizar la conexion.

Recorde el netbus, hasta en un juego inofensivo podian pingarte el pc.

Sago7 dijo:

Asumo que uno no se infecta. Sino que infectan a quien quieren.

No andara dando vueltas por inet sino que es algo bien focalizado. A no ser q si ande rondando por ahi y que ellos solo vendan el cliente para realizar la conexion.

Recorde el netbus, hasta en un juego inofensivo podian pingarte el pc.

Haz clic para expandir...

o sea ellos dicen "ya yo quiero pinchar a tal persona" y te infecta automagicamente? no creo. A no ser que también trabajen con los desarrolladores de los SO y dejen backdoors exclusivos para su producto.

Matjazz dijo:

o sea ellos dicen "ya yo quiero pinchar a tal persona" y te infecta automagicamente? no creo. A no ser que también trabajen con los desarrolladores de los SO y dejen backdoors exclusivos para su producto.

Haz clic para expandir...

Ahí entra la ingeniería inversa supongo. Nada de automagia jajaja.
Tal cual se hace con cualquier keylogger o lo q sea.

Sago7 dijo:

Ahí entra la ingeniería inversa supongo. Nada de automagia jajaja.
Tal cual se hace con cualquier keylogger o lo q sea.

Haz clic para expandir...

Puta yo creo que deben buscar algún backdoor en el objetivo y di no hay aplican ingeniería social.

Pero me parece muy extraño que, en primer lugar hayan pagado tanta plata por un troyano que se baja de Internet y también que sean tan flaites para infectar a los delincuentes po jajaja

Eso sí, igual es lógico que no se sepa como se contagia, es parte de la inteligencia que debe tener ese aspecto

Exacto, en el secreto esta la magia
Quizás tienen algún sitio web que infiltra el troyano en el equipo objetivo o posibles objetivos
También por algún link enviado por email o mensajería

Sent by my Moto XXX

intedezante...

O sea, aca comentan q es como un troyano. Pero es meramente un comentario.

Yo a lo que voy es que si esta "amparado" por la ley, no te enviaran un mail con un link turbio para q descargues lo q sea. Todos los medios son validos asi que hasta el conectarte a internet podria ser la entrada para lo demas o crees q no tienen a los ISP abiertos de piernas para lo que ellos pidan?

La ingeniería social es la más efectiva.
La policía sólo puede intervenir comunicaciones previa orden judicial, aunque venga acá su hace unos años se descubrió como el personal cargo usaba estos equipos, para fines personales, ocio u otros.

La manera de infiltrar, debe ser la más obvia y fácil , piensenlo a que email harían click sin pensar. Además se sabe que los SO y softwares le dejan backdoor a las policía y agencias de inteligencia.
La polémica acá es que esta empresa italiana (pero dicen subsidiaria clandestina de una más grande) le vendía sus softwares y servicios a estados vetados, que violan DDHH o cooperan con terroristas. Y que más que hackeo fue un leak.

Saludos

Enviado desde mi SM-G920I mediante Tapatalk

Intedezante

Claro, no es llegar e infectar remotamente. algo deben hacer para generar un man in the middle o algún ataque que les permita bypassearse al router y redireccionar tráfico.

El otro dia no le preste mucha atencion a una imagen que daba vueltas, no se si tenia relacion con esto. Pero indicaba que si alguien queria justificar un allanamiento por ej, podrian insertar codigo en algun lugar (web seguramente) que solo por entrar te bajaba un video de pedofilia al pc y 1,2,3 preso por pedofilo.


Edit: Acá encontré la imagen con la descripción...

https://twitter.com/AnonOps_CL/status/618133824216649729

Sago7 dijo:

El otro dia no le preste mucha atencion a una imagen que daba vueltas, no se si tenia relacion con esto. Pero indicaba que si alguien queria justificar un allanamiento por ej, podrian insertar codigo en algun lugar (web seguramente) que solo por entrar te bajaba un video de pedofilia al pc y 1,2,3 preso por pedofilo.


Edit: Acá encontré la imagen con la descripción...

https://twitter.com/AnonOps_CL/status/618133824216649729

Haz clic para expandir...

naaa eso no es posible, tendrías que tener permisos de administrador para que funcione, y no se si por javascript se puedan escalar privilegios.

Yo soy bien escéptico a todo esto, y no creo que exista complicidad de tooodos los actores.

Doy por hecho que cuentan con la complicidad de los ISP, pero en general los routers para salir a internet utilizan firewalls.

De verdad creo que hacker team lo único que hace es vender cosas comunes y corrientes, con la diferencia que da factura y como trabaja junto a gobiernos les es facil pedir apoyo a organizaciones como google, los isp, etc.

Matjazz dijo:

naaa eso no es posible, tendrías que tener permisos de administrador para que funcione, y no se si por javascript se puedan escalar privilegios.

Yo soy bien escéptico a todo esto, y no creo que exista complicidad de tooodos los actores.

Doy por hecho que cuentan con la complicidad de los ISP, pero en general los routers para salir a internet utilizan firewalls.

De verdad creo que hacker team lo único que hace es vender cosas comunes y corrientes, con la diferencia que da factura y como trabaja junto a gobiernos les es fácil pedir apoyo a organizaciones como google, los isp, etc.

Haz clic para expandir...

Quien, en la actualidad, usa una cuenta de visita o permisos restringidos en su propio pc? xD
Yo también soy super escéptico, por eso no doy nada por sentado. Solo comento lo que podría ser.

Habría que analizar el código completo para ver qué hacía en concreto esa función

Matjazz dijo:

naaa eso no es posible, tendrías que tener permisos de administrador para que funcione, y no se si por javascript se puedan escalar privilegios.

Yo soy bien escéptico a todo esto, y no creo que exista complicidad de tooodos los actores.

Doy por hecho que cuentan con la complicidad de los ISP, pero en general los routers para salir a internet utilizan firewalls.

De verdad creo que hacker team lo único que hace es vender cosas comunes y corrientes, con la diferencia que da factura y como trabaja junto a gobiernos les es facil pedir apoyo a organizaciones como google, los isp, etc.

Haz clic para expandir...

El escándalo es que vendía sus productos a países que están en la lista negra de la Onu por represión o amparar terroristas..

Enviado desde mi SM-G920I mediante Tapatalk

Sago7 dijo:

Quien, en la actualidad, usa una cuenta de visita o permisos restringidos en su propio pc? xD
Yo también soy super escéptico, por eso no doy nada por sentado. Solo comento lo que podría ser.

Haz clic para expandir...

desde windows vista se instauró el UAC.

Por ejemplo, para guardar cualquier archivo en C: debes si o si responder esa tipica pantallita que te pide permisos de administrador. Ná que ver con la cuenta de usuario.

Lo otro sería que ejecute un servicio como system,

Matjazz dijo:

desde windows vista se instauró el UAC.

Por ejemplo, para guardar cualquier archivo en C: debes si o si responder esa tipica pantallita que te pide permisos de administrador. Ná que ver con la cuenta de usuario.

Lo otro sería que ejecute un servicio como system,

Haz clic para expandir...

Si, eso es lo que siempre te dice la gente "me puedes deshabilitar esas ventanas que salen a cada rato?"

Como dije anteriormente se encontró un 0day's de flash player (es decir una vulnerabilidad privada que solo ellos conocian).. basta con visitar una página manipulada para que te metan el troyano sin que te des cuenta.

Los metodos de infección no tengo idea como los haran.. si tuvieran comunicación con una ISP, bastaria con modificar alguna pagina por HTTP e inyectar un flash con el troyano, sin embargo no creo que este sea el caso, ya que por ejemplo si solo tienen un mail del objetivo, no van a inyectar a todos los clientes del ISP, ahí lo mas acertado es tecnicas de phishing.

Matjazz dijo:

naaa eso no es posible, tendrías que tener permisos de administrador para que funcione, y no se si por javascript se puedan escalar privilegios.

Yo soy bien escéptico a todo esto, y no creo que exista complicidad de tooodos los actores.

Doy por hecho que cuentan con la complicidad de los ISP, pero en general los routers para salir a internet utilizan firewalls.

De verdad creo que hacker team lo único que hace es vender cosas comunes y corrientes, con la diferencia que da factura y como trabaja junto a gobiernos les es facil pedir apoyo a organizaciones como google, los isp, etc.

Haz clic para expandir...

Una vez infectado con el troyano se tiene acceso a todo el equipo...y como mencione antes tienen un rootkit firmado digitalmente por microsoft...osea los antivirus nisiquiera lo escanean ya que se hace pasar por archivo del sistema.


Lo probable es que el monto elevado se deba a los exploits que poseen (o poseian, ya todos deben estar parchados xD), por ejemplo un exploit que afecte a chrome en el mercado negro creo que valia mas de 100k usd (tenia una pdf con los valores si lo encuentro lo posteo).

Remote Control System is an IT stealth investigative tool for LEAs (It is offensive security investigative tool for LEAs.(It is offensive security technology. It is spyware. It is a trojan
horse.It is a bug. It is a monitoring tool.It is an attack tool.It is a tool for taking control of the endpoints,that is,the PCs

Haz clic para expandir...

Como bien dicen ellos es una herramienta ofensiva, es decir atacar al objetivo al contrario de solo escuchar paquetes que no pueden decifrar.

Más Infor en:

https://www.wikileaks.org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM.pdf


Si miran el apartado de Invisibilidad, dice que no crea conecciones remotas, no crean nuevos procesos, ni nuevos archivos...... lo cual me hace pensar que trabaja a un nivel mas bajo es decir ring0, osea hookean las funciones del sistema y asi evitan que aparezcan por ejemplo en el administrador de procesos.

UPDATE: Wikileaks a sacado una herramienta para buscar entre los mails de hacking teams.

https://wikileaks.org/hackingteam/emails


Saludos.