Naukowcy: Złośliwe oprogramowanie do nadzoru rozpowszechniane za pomocą exploita Flash Playera

Działacze polityczni z Bliskiego Wschodu byli atakowani w atakach wykorzystujących lukę w programie Flash Player, która wcześniej była nieznana, w celu zainstalowania tzw. zwany programem zgodnym z prawem, zaprojektowanym dla celów egzekwowania prawa, poinformowali we wtorek analitykowi bezpieczeństwa firmy antywirusowej Kaspersky Lab.

W zeszły czwartek firma Adobe opublikowała aktualizację awaryjną dla programu Flash Player, aby rozwiązać dwie luki w zabezpieczeniach, które już nie wystąpiły używane w aktywnych atakach. W swoim doradztwie w zakresie bezpieczeństwa Adobe przyznał Siergiejowi Golovanovowi i Aleksandrowi Polyakovowi z Kaspersky Lab za zgłoszenie jednej z dwóch luk, mianowicie jednej zidentyfikowanej jako CVE-2013-0633.

We wtorek eksperci z Kaspersky Lab ujawnili więcej informacji o tym, jak pierwotnie wykryli tę lukę. "Exploity dla CVE-2013-0633 zostały zaobserwowane podczas monitorowania tak zwanego" legalnego "oprogramowania szpiegującego stworzonego przez włoską firmę HackingTeam" - powiedział Golovanov w poście na blogu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z twój komputer z Windows]

HackingTeam ma swoją siedzibę w Mediolanie, ale ma również swoją obecność w Annapolis, Maryland i Singapurze. Zgodnie ze swoją witryną, firma opracowuje program nadzoru komputerowego o nazwie Remote Control System (RCS) sprzedawany organom ścigania i wywiadowczym.

"Tutaj w HackingTeam uważamy, że walka z przestępczością powinna być łatwa: zapewniamy skuteczną, łatwą - wykorzystać obraźliwą technologię dla światowej społeczności organów ścigania i wywiadowczych - informuje firma na swojej stronie internetowej.

Kaspersky Lab monitorował RCS firmy HackingTeam, znany również jako DaVinci, od sierpnia 2012 roku, powiedział Costin Raiu, dyrektor firmy Kaspersky Globalny zespół badawczy i analityczny Lab.

RCS / DaVinci może nagrywać rozmowy tekstowe i audio z różnych programów czatu, takich jak Skype, Yahoo Messenger, Google Talk i MSN Messenger; może ukraść historię przeglądania sieci; można włączyć mikrofon komputera i kamerę internetową; Potrafi wykraść dane uwierzytelniające przechowywane w przeglądarkach i innych programach i wiele więcej, powiedział.

Naukowcy z Kaspersky Lab wykryli około 50 incydentów do tej pory, które dotyczyły wykorzystania DaVinci przeciwko użytkownikom komputerów z różnych krajów, w tym z Włoch, Meksyku, Kazachstanu, Arabii Saudyjskiej, Turcja, Argentyna, Algieria, Mali, Iran, Indie i Etiopia.

Najnowsze ataki, które wykorzystywały aktywistów podatnych na atak CVE-2013-0633 z kraju na Bliskim Wschodzie, powiedział Raiu. Jednak odmówił podania nazwy kraju w celu uniknięcia ujawnienia informacji, które mogłyby doprowadzić do zidentyfikowania ofiar.

Nie jest jasne, czy exploit typu zero-day dla CVE-2013-0633 został sprzedany przez HackingTeam razem ze złośliwym oprogramowaniem do nadzoru lub jeśli ktokolwiek zakupił program, uzyskał exploita z innego źródła, powiedział Raiu.

HackingTeam nie odpowiedział natychmiast na prośbę o komentarz.

W poprzednich atakach wykrytych przez Kaspersky Lab, DaVinci został rozprowadzony przez exploity dla Flash Playera podatności wykryte przez francuską firmę badawczą Vupen, Raiu powiedział:

Vupen otwarcie przyznaje się do sprzedaży exploitów zero-day, ale twierdzi, że jej klientami są agencje rządowe i organy ścigania z krajów, które są członkami lub partnerami NATO, ANZUS lub organizacje geopolityczne ASEAN.

Instalator DaVinci upuszczony na komputery przez exploita CVE-2013-0633 w pierwszym etapie ataku został podpisany ważnym błędem cyfrowym d przez GlobalSign do osoby o imieniu Kamel Abed, Raiu powiedział.

GlobalSign nie odpowiedział natychmiast na prośbę o więcej informacji na temat tego certyfikatu i jego obecnego statusu.

Jest to zgodne z przeszłymi atakami DaVinci, w których dropper został również podpisany cyfrowo, powiedział Raiu. Poprzednie certyfikaty używane do podpisywania kropli DaVinci były zarejestrowane w jednym Salvetore Macchiarella i firmie OPM Security zarejestrowanej w Panamie

Zgodnie ze swoją stroną internetową OPM Security sprzedaje produkt pod nazwą Power Spy za 200 EUR (267 USD) nagłówek "szpiegowanie twojego męża, żony, dzieci lub pracowników." Lista funkcji Power Spy jest bardzo podobna do listy funkcji DaVinci, co oznacza, że ​​OPM może być odsprzedawcą programu nadzoru HackingTeam, powiedział Raiu.

To jest nie pierwszy przypadek użycia nielegalnych szkodliwych programów do inwigilacji przeciwko aktywistom i dysydentom w krajach, w których wolność wypowiedzi jest ograniczona.

Istnieją wcześniejsze doniesienia o FinFisher, zestawie narzędzi do nadzoru komputerowego opracowanym przez brytyjską firmę Gamma Group International, używanym przeciwko działacze polityczni w Bahrajnie.

Naukowcy z Laboratorium Obywatelskiego przy Munk School of Global Affairs Uniwersytetu w Toronto również zgłosili w październiku, że RCS firmy HackingTeam (DaVinc i) program został użyty przeciwko działaczowi na rzecz praw człowieka ze Zjednoczonych Emiratów Arabskich.

Ten rodzaj programu to tykająca bomba zegarowa z powodu braku regulacji i niekontrolowanej sprzedaży, powiedział Raiu. Niektóre kraje mają ograniczenia w zakresie eksportu systemów kryptograficznych, które teoretycznie obejmowałyby takie programy, ale ograniczenia te można łatwo ominąć sprzedając oprogramowanie za pośrednictwem odsprzedawców zagranicznych.

Dużym problemem jest to, że programy te mogą być używane tylko rządy mogą szpiegować własnych obywateli, ale mogą też być wykorzystywane przez rządy do szpiegowania innych rządów lub mogą być wykorzystywane do szpiegostwa przemysłowego i korporacyjnego, powiedział Raiu.

Kiedy takie programy są wykorzystywane do atakowania dużych firm lub są wykorzystywane przez cyberterrorystów, którzy będą odpowiedzialni za oprogramowanie wpadające w niepowołane ręce, zapytał Raiu.

Z punktu widzenia Kaspersky Lab, nie ma wątpliwości: programy te zostaną wykryte jako szkodliwe oprogramowanie niezależnie od ich przeznaczenia, powiedział.