Istraživači: nadzorni malware distribuirani putem Flash Playera iskorištavaju

Politički aktivisti s Bliskog istoka bili su usmjereni na napade koji su iskorištavali ranjivost ranije nepoznate Flash Playerove instalacije tzv., rekao je u utorak sigurnosni istraživači iz antivirusnog prodavača Kaspersky Lab.

Prošlog četvrtka, Adobe je objavio hitno ažuriranje za Flash Player kako bi se riješio dva nestašna ranjivost koja je već bila koristi se u aktivnim napadima. U svojem sigurnosnom savjetovanju u to doba, Adobe je Sergeju Golovanovu i Aleksandru Polyakovu iz Kaspersky Laba prijavio za prijavu jedne od dvije ranjivosti, naime one koje su identificirane kao CVE-2013-0633.

U utorak, istraživači Kaspersky Laba otkrili su više informacija o tome kako su izvorno otkrili ranjivost. "Primjeri za CVE-2013-0633 su promatrani tijekom praćenja tzv." Pravnih "nadzora zlonamjernih programa koje je stvorila talijanska tvrtka HackingTeam", rekao je Golovanov na blogu.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver iz vaš Windows PC]

HackingTeam ima sjedište u Milanu, ali ima i prisutnost u Annapolisu, Marylandu i Singapuru. Prema njegovim web stranicama, tvrtka razvija računalni nadzorni program pod nazivom Remote Control System (RCS) koji se prodaje u službama za provođenje zakona i obavještajnih službi.

"Ovdje u HackingTeam vjerujemo da bi borba protiv kriminala trebala biti jednostavna: - Kaspersky Lab prati HackingTeamov RCS - također poznat kao DaVinci - od kolovoza 2012, rekao je Costin Raiu, direktor Kaspersky-a Labov globalni tim za istraživanje i analizu.

RCS / DaVinci može snimati tekstualne i audio razgovore iz različitih chat programa, uključujući Skype, Yahoo Messenger, Google Talk i MSN Messenger; može ukrasti povijest pregledavanja weba; može uključiti mikrofon i kameru na računalu; može ukrasti vjerodajnice pohranjene u preglednicima i drugim programima i još mnogo toga, rekao je.

Kaspersky istraživači otkrili su do sada oko 50 incidenata koji su uključivali DaVinci koji se koriste protiv korisnika računala iz različitih zemalja, uključujući Italiju, Meksiko, Kazahstan, Saudijsku Arabiju, Turska, Argentina, Alžir, Mali, Iran, Indija i Etiopija.

Najnoviji napadi koji su iskorištavali ranjivost CVE-2013-0633 usmjereni su na aktiviste iz zemlje na Bliskom istoku, rekao je Raiu. Međutim, on je odbio imenovati zemlju kako bi izbjegao otkrivanje informacija koje bi mogle dovesti do identificiranja žrtava.

Nije jasno je li HackingTeam prodao nultoj iskorištavanje za CVE-2013-0633 zajedno s zlonamjernim softverom za nadzor ili ako je netko tko je kupio program dobivao iskorištavanje iz drugog izvora, Raiu je rekao:

HackingTeam nije odmah odgovorio na zahtjev za komentar.

U prethodnim napadima koje je otkrio Kaspersky Lab, DaVinci je distribuiran putem iskorištavanja za Flash Player rupama koje je otkrila francuska tvrtka za istraživanje ranjivosti Vupen, rekla je Raiu.

Vupen otvoreno priznaje da prodaje nultodnevne eksploatacije, ali tvrdi da su njegovi korisnici vladine i agencije za provođenje zakona iz zemalja koje su članice ili partneri NATO-a, ANZUS ili ASEAN geopolitičke organizacije.

DaVinci instalater je pao na računalima CVE-2013-0633 iskorištavanje u prvoj fazi napada je potpisan s važećim digitalnim izdanjem certifikata d od strane GlobalSign-a pojedincu pod imenom Kamel Abed, rekao je Raiu.

GlobalSign nije odmah odgovorio na zahtjev za više informacija o ovom certifikatu i trenutnom statusu.

To je u skladu s prošlim DaVinci napadima u kojima je kapaljka također digitalno potpisana, rekla je Raiu. Prethodne certifikate koje su se koristile za potpis DaVinci droppera registrirane su u jednoj tvrtki Salvetore Macchiarella i tvrtki pod nazivom OPM Security registrirano u Panami, rekao je.

Prema njegovoj web stranici, OPM Security prodaje proizvod Power Spy za 200 € (267 $) naslov "špijuniranje vašeg muža, žene, djece ili zaposlenika." Power Spy popis značajki je vrlo sličan popis značajki DaVinci, što znači da OPM može biti prodavač HackingTeam nadzor programa, Raiu rekao. a ne u prvom slučaju kada se zloupotrebe zakonitog nadzora koriste protiv aktivista i disidenata u zemljama u kojima je ograničen slobodni govor.

Postoje prijašnja izvješća FinFisher-a, alata za nadzor računala koji je razvila britanska tvrtka Gamma Group International koja se koristi protiv politički aktivisti u Bahreinu.

Istraživači iz Citizens Lab na Munk School of Global Affairs u Torontu također su u listopadu objavili da je HackingTeamov RCS (DaVinc i) program je upotrijebljen protiv aktivista za ljudska prava iz Ujedinjenih Arapskih Emirata.

Ova vrsta programa je vremenska bomba koja se otkucava zbog nedostatka regulacije i nekontrolirane prodaje, kazao je Raiu. Neke zemlje imaju ograničenja u izvozu kriptografskih sustava, što teoretski može pokriti takve programe, ali ta se ograničenja mogu lako zaobići prodajom softvera putem offshore prodavača.

Veliki je problem što se ti programi ne mogu koristiti samo vlade špijuniraju svoje građane, ali ih mogu koristiti i vlade da špijuniraju druge vlade ili se mogu koristiti za industrijsku i korporacijsku špijunažu, rekla je Raiu.

Kada se takvi programi koriste za napad velikih tvrtki ili se koriste od strane cyberterrorista, koji će biti odgovoran za softver koji pada u pogrešne ruke. "Od perspektive programa Kaspersky Lab, nema sumnje: ovi će programi biti otkriveni kao zlonamjerni softver bez obzira na njihovu namjeru, rekao je.