德国警方突袭合法的远程管理工具 OmniRAT 的开发者并没收数字资产

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

一名消息来源人士表示，昨天德国警方突袭了 OmniRAT 开发者的住处并没收了他的笔记本电脑和手机，可能是和最近开展的网络攻击调查有关。

OmniRAT 于2015年11月占领新闻头条，它是一款合法的远程管理工具，供 IT 专家和公司在明确许可的情况下管理设备。

OmniRAT 的售价为25美元到100美元不等，已经迅速成为最受欢迎的远程管理工具之一，用户可远程监控安卓、Windows、Linux 和 Mac 设备并访问可用信息。

然而，和其它远程管理工具如 DroidJack、DarkComet、AndroRAT 和 njRAP 一样，某些 OmniRAT 的客户还借此实现非法目的，尤其在其售价远低于市场价格的情况下更是如此。

今年年初，一伙黑客利用了微软 Excel 中的一个老旧的远程代码执行漏洞 (CVE-2016-7262) 在目标电脑中安装 OmniRAT，从而试图攻陷多个行业。报告该漏洞的研究人员指出，攻击者使用了伪装成“科威特石油公司 (KPC)”的 Excel 表格来诱骗受害者打开附件。

尽管 KPC 公司本身并未遭恶意软件攻击，但另外一名匿名的消息来源人士表示，在两个多月前，代表 KPC 的律师开始向域名注册商发邮件询问 OM你RAT的官方域名在何处注册并援引和 whois 相关的 GDPR 和 ICANN 法规，要求披露域名所有人的身份。

几天前，OmniRAT官网上的内容就已经不可访问，可能是开发人员担心域名注册商披露自己的身份。据称开发员住在德国，但公众仍不知道其身份。

目前尚不清楚，德国警方的突袭是否和 KPC 公司有关或者涉及到一系专门针对开发员的独立犯罪案件。也有可能德国警方可能掌握了过去四年来购买过 OmniRAT 的客户名单和身份以打击滥用该工具的网络犯罪分子。

在2015年的类似行动中，多个国家组成的执法部门突袭了 DroidJack 智能手机恶意软件用户的地址并实施逮捕。虽然在德国，创建恶意软件或黑客工具是非法的，但和其它很多国家一样，它也取决于该工具的推销情况。因为和渗透测试工具一样，远程管理工具也是一把双刃剑，可服务于合法和非法目的。

在某次案例中，据称两年前一伙黑客使用 OmniRAT 工具通过 Telegram 传播安卓版本，监控 ISIS 成员和支持者。OmniRAT 官方网站澄清表示，工具不用于黑客目的，否则后果自负。

尽管OmniRAT 开发者看似并不直接鼓励其客户使用工具监控他人，但在去年年末，OmniRAT 开发者在一个臭名昭著的黑客论坛上发布了工具的说明和新功能。就在同一个论坛上，他在今年4月份宣布关闭OmniRAT，表示，“很遗憾，出于政府和打击网络犯罪部门的压力，OmniRAT 必须关闭。从即刻起生效。”

然而，由于该工具的运行并不依赖于或和 OmniRAT 服务器分享所收集设备数据，但具有访问这款远程管理工具权限的人仍然可以随心所欲地使用它。

我们将持续关注事态进展。

原文链接

https://thehackernews.com/2019/06/police-raid-omnirat-developer.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。