Prvi korak špijunskog softvera: Sistematska analiza propusta iskorišćenih za kompromitovanje mobilnih uređaja

Kako je forenzička analiza otkrila manipulaciju, eksploataciju i skrivene rizike jednog od najmoćnijih alata digitalne forenzike

Autor: Boris Babović

Ponovno ispitivanje podataka iz analize uređaja privođenih aktivista iz Srbije, koju je prošle godine sprovela međunarodna organizacija Amnesty International, pokazuje da forenzički alat Cellebrite UFED ima kapacitet da selektivno briše svoje logove ili izbegava logovanje, što potencijalno narušava integritet procesa ekstrakcije podataka u istrazi. Takva manipulacija podriva pouzdanost istrage incidenta i otvara ozbiljna pitanja o prihvatljivosti ovako prikupljenih dokaza u pravnim postupcima.

U svom izveštaju iz decembra prošle godine, Amnesty International je dokumentovao forenzičku analizu mobilnih uređaja aktivista, novinara i pripadnika civilnog društva iz Srbije. Uređaji su tokom privođenja u policiju ili prostorije Bezbednosno-informativne agencije bili zaraženi špijunskim softverom (NoviSpy) lošeg kvaliteta, ali je za pristup i izvlačenje podataka sa uređaja korišćen UFED, izuzetno sofisticirani alat za digitalnu forenziku izraelske kompanije Cellebrite. Ovaj alat se koristi u krivičnim istragama širom sveta, a službi za sprovođenje zakona u Srbiji uručen je kao donacija Ministarstva spoljnih poslova Norveške.

Za ovo istraživanje, ponovo su pregledani podaci iz zaraženih telefona koje je analizirao Amnesty, sa ciljem da se sazna nešto više o načinu na koji funkcioniše napredna forenzička tehnologija. U fokusu su, dakle, bili tragovi koje ostavlja Cellebrite UFED, odnosno sama mogućnost da se njegove aktivnosti pouzdano detektuju nakon probijanja zaštite uređaja.

Analiza je otkrila jasne indikatore eksploatacije uređaja. Podaci iz logova ukazivali su na neovlašćene izmene ADB i bezbednosnih postavki sistema – što pokazuje da je izvršena eskalacija privilegija. Ove izmene u velikoj meri odgovaraju obrascima koje je prethodno dokumentovao Amnesty International, što upućuje na primenu lanca eksploatacije sposobnog da zaobiđe standardne bezbednosne mehanizme Android operativnog sistema.

Jedan naročito značajan forenzički artefakt bio je binarni fajl identifikovan kao Falcon. Iako mu je tačna funkcija nejasna, njegovo prisustvo poklapa se sa prethodnim nalazima iz izveštaja Amnestyja, u kom se spekuliše da bi mogao služiti za isporuku malvera ili za uspostavljanje trajnog pristupa. Međutim, u odsustvu objavljenih izveštaja o upotrebi Falcona u drugim forenzičkim slučajevima, svaki zaključak o njegovoj stvarnoj ulozi nalaže oprez.

Sledeća ključna tačka interesovanja bila je selektivno odsustvo tragova USB eksploatacije. U prethodnim slučajevima koje je dokumentovao Amnesty, korišćeni su zlonamerni USB uređaji za eksploataciju ranjivosti na nivou kernela na Android uređajima – što obično ostavlja jasne logove o enumeraciji USB uređaja. Međutim, u ovom slučaju takvi logovi nisu pronađeni.

Ono što ovo odsustvo čini posebno značajnim jeste činjenica da su okolni sistemski logovi ostali netaknuti, što ukazuje da nedostatak logova nije posledica opšteg kvara sistema za logovanje. Naprotiv, dokazi ukazuju na selektivno brisanje logova ili na namerno izbegavanje logovanja tokom procesa eksploatacije. To sugeriše da metode koje koristi Cellebrite ne samo da uspešno zaobilaze bezbednosne mere uređaja, već i aktivno prikrivaju tragove odmah nakon kompromitovanja.

Dalja analiza otvorila je prostor za dublju zabrinutost. Naime, nekoliko nezavisnih istraživanja identifikovalo je više kritičnih ranjivosti u UFED-u, uključujući upotrebu unapred definisanih (hardcoded) RSA ključeva i statičkog kriptografskog materijala. Ove slabosti potencijalno omogućavaju da se izvučenim forenzičkim podacima ponovo pristupi ili da se oni izmene, čime se ugrožava integritet dokaza i prekida tzv. lanac čuvanja (chain of custody).

Detaljna vremenska analiza kompromitovanog uređaja otkrila je događaje poput pokušaja instalacije APK fajlova, izmena fajl sistema i ponovnog pokretanja uređaja, koji su se vremenski poklapali sa sekvencom opisanom u nekim ranijim izveštajima koje je Amnesty International objavio eksploataciji uređaja putem UFED-a. Iako logovi nisu sadržali direktne reference na Cellebrite, podudarnost ovih događaja snažno ukazuje na upotrebu istog ili vrlo sličnog lanca eksploatacije.

Manipulacija forenzičkim logovima možda je najznačajniji nalaz ovog istraživanja. Kada forenzički alat ima mogućnost da briše ili selektivno menja zapise o sopstvenim aktivnostima, integritet i transparentnost celokupnog procesa ekstrakcije bivaju ozbiljno narušeni. Takva manipulacija podriva pouzdanost naknadne analize incidenta i otvara ozbiljna pitanja o prihvatljivosti dokaza u pravnim postupcima.

Ako se mehanizmi logovanja mogu zaobići ili falsifikovati tokom istrage, dokazi prikupljeni u tim uslovima mogu biti osporeni ili isključeni iz postupka. Time se ne samo umanjuje dokazna vrednost podataka dobijenih pomoću Cellebrite UFED-a, već se dovodi u pitanje i ukupna verodostojnost alata i njegova prikladnost za primenu u forenzičke svrhe.

Istraživanje je bilo usmereno na analizu sistemskih logova sa Android uređaja za koji se sumnjalo da je kompromitovan. Primarni cilj bio je da se utvrdi da li je za nasilan pristup uređaju korišćen Cellebrite UFED i, ukoliko jeste, da se rekonstruiše tok procesa eksploatacije. Forenzički podaci prikupljeni su uz pomoć alata Mobile Verification Toolkit (MVT) i Android Quick Forensics (AndroidQF), dok su dodatni uvidi omogućeni ADB komandama za praćenje sistemskih poruka i stanja servisa u realnom vremenu. Dobijeni nalazi sistematski su poređeni sa taktikama MITRE ATT&CK i provereni kroz relevantne baze poznatih ranjivosti, uključujući CVE i ExploitDB. Posebna pažnja posvećena je potvrđivanju uočenih obrazaca u svetlu izveštaja organizacije Amnesty International o aktivnosti UFED-a u Srbiji.

Pokazalo se da Cellebrite UFED nije samo alat za zaobilaženje enkripcije, već sastavni deo sofisticiranog i prilagodljivog sistema za eksploataciju uređaja. Kapacitet ovog alata da selektivno unosi ili uklanja forenzičke tragove izaziva ozbiljnu zabrinutost u pogledu integriteta i pouzdanosti dokaza dobijenih njegovom upotrebom.

Da bi digitalna forenzika zadržala svoj legitimitet kao naučna disciplina zasnovana na objektivnosti i poverenju, nisu dovoljni vrhunski tehnički kapaciteti. Transparentnost, nezavisni nadzor i proverljive metode ekstrakcije, ključni su preduslovi za upotrebu forenzičkih alata u situacijama u kojima su integritet dokaza i pravna odgovornost od presudnog značaja.

Nakon što je proverila otkriće da je UFED zloupotrebljen za nezakonit pristup i zaražavanje uređaja aktivista i novinara, kompanija Cellebrite saopštila je da prekida svoju uslugu klijentima u Srbiji. Ozbiljnu diskusiju o etičkim i pravnim posledicama nadzora i odgovornosti u domenu digitalne forenzike tek treba pokrenuti.