Tutkijat: Flash Playerin hajautettujen haittaohjelmien hallinta

Lähi-idän poliittiset aktivistit kohdistettiin hyökkäyksiin, jotka hyödynsivät aiemmin tuntemattoman Flash Player -haavoittuvuuden, joka on suunniteltu lainvalvontatarkoituksiin, virustentorjunta-alan toimittajan Kaspersky Labin tietoturvatutkijat totesivat tiistaina.

Viime torstaina Adobe julkaisi Flash Playerille hätäpäivityksen, jotta voitaisiin puuttua kahteen nollapäivättömään haavoittuvuuteen, jotka olivat jo olemassa käytetään aktiivisissa hyökkäyksissä. Adoben tuolloin antamassaan turvallisuusneuvonnassa Adobe hyökkäsi Kaspersky Labin sergei Golovanovin ja Alexander Polyakovin raportoimaan eräästä kahdesta haavoittuvuudesta, nimittäin CVE-2013-0633: sta.

Tiistaina Kaspersky Labin tutkijat paljastivat lisää tietoja miten he alun perin löysivät haavoittuvuuden. "CVE-2013-0633: n hyödyntämistä on havaittu, kun se on seurannut italialaisen HackingTeamin luomaa" laillista "valvontaohjelmistoa", Golovanov sanoi blogikirjallisuudessa.

[Lue lisää: Kuinka poistaa haittaohjelmat Windows PC]

HackingTeam toimii Milanossa, mutta sillä on myös läsnäolo Annapolisissa, Marylandissa ja Singaporessa. Verkkosivuston mukaan yhtiö kehittää tietoturvaohjelmistoa nimeltä Remote Control System (RCS), joka myydään lainvalvontaviranomaisille ja tiedustelupalveluille.

"Täällä HackingTeamissa uskomme, että rikollisuuden torjunnan on oltava helppoa: tarjoamme tehokkaita ja helppokäyttöisiä - Kaspersky Lab on seurannut HackingTeamin RCS: ää, joka tunnetaan myös nimellä DaVinci-elokuusta 2012 lähtien, sanoi Kaspersky-johtaja Costin Raiu Labin maailmanlaajuinen tutkimus- ja analysointitiimi.

RCS / DaVinci voi tallentaa teksti- ja äänikeskusteluja eri chat-ohjelmista, kuten Skype, Yahoo Messenger, Google Talk ja MSN Messenger; voi varastaa Web-selaushistorian; voi käynnistää tietokoneen mikrofonin ja web-kameran; voi kaataa selaimiin ja muihin ohjelmiin tallennettuja tunnistetietoja ja paljon muuta, hän sanoi.

Kaspersky-tutkijat ovat havainneet tähän mennessä noin 50 tapahtumaa, joissa DaVinciä käytettiin tietokoneiden käyttäjiä vastaan ​​eri maista, kuten Italiasta, Meksikosta, Kazakstanista, Saudi-Arabiasta, Turkissa, Argentiinassa, Algeriassa, Malissa, Iranissa, Intiassa ja Etiopiassa.

Viimeisimmät hyökkäykset, jotka hyödynsivät CVE-2013-0633 -haavoittuvuutta, kohdistivat Lähi-idän maakunnan aktivisteja, Raiu sanoi. Hän kuitenkin kieltäytyi nimittämästä maata, jotta vältettäisiin sellaisten tietojen paljastaminen, jotka voisivat johtaa uhrien tunnistamiseen.

Ei ole selvää, onko HackingTeam myi CVE-2013-0633: n nollan päivän hyödyntämisen yhdessä valvonta-haittaohjelmien kanssa tai jos jokin hankkija hankki hyödyntämisen toisesta lähteestä, Raiu sanoi.

HackingTeam ei vastannut välittömästi kommentointipyyntöön.

Kaspersky Labin aikaisemmissa hyökkäyksissä DaVinci jaettiin Flash Playerin haavoittuvuudet, jotka ranskalainen haavoittuvuustutkimusyritys Vupen löysi, Raiu sanoi.

Vupen myöntää avoimesti nollapäiväisen hyödyntämisen myynnin, mutta väittää, että sen asiakkaat ovat NATO: n jäseniä tai kumppaneita edustavat hallitus- ja lainvalvontaviranomaiset, ANZUS tai ASEANin geopoliittiset organisaatiot.

DaVinci-asennusohjelma laski tietokoneille CVE-2013-0633 -hyökkäyksen ensimmäisen vaiheen aikana hyökkäyksen allekirjoituksella, jolla oli voimassa oleva digitaalinen sertifikaatti d GlobalSignin henkilölle nimeltään Kamel Abed, Raiu sanoi.

GlobalSign ei vastannut välittömästi pyyntöön saada lisätietoja tästä sertifikaatista ja sen nykyisestä tilasta.

Tämä on johdonmukainen aikaisempien DaVinci-hyökkäysten kanssa, joissa tiputteri on myös digitaalisesti allekirjoitettu, Raiu sanoi. Aiemmat sertifikaatit, jotka oli tarkoitettu allekirjoittamaan DaVinci droppereita, rekisteröitiin yhdelle Salvetore Macchiarellalle ja Panamalle rekisteröidylle OPM Security -yritykselle.

Sivustonsa mukaan OPM Security myy Power Spy -tuotteen, jonka arvo on € 200 (US $ 267) otsikko "vakoilee miehesi, vaimonsa, lapsensa tai työntekijänsä." Power Spyn ominaisuusluettelo on hyvin samanlainen kuin DaVinci-ominaisuusluettelo, mikä tarkoittaa, että OPM saattaa olla HackingTeamin valvontaohjelman jälleenmyyjä, Raiu sanoi. ei ole ensimmäinen tapaus, jossa laillista valvontaa haittaohjelmia on käytetty aktivisteja ja toisinajattelijoita vastaan ​​niissä maissa, joissa sananvapaus on rajoitettu.

Finfisherin, Yhdistyneen kuningaskunnan Gamma Group Internationalin Bahrainin poliittiset aktivistit.

Toronton yliopiston Global School of Munk School of Citizen Lab -työryhmän tutkijat ilmoittivat myös lokakuussa, että HackingTeamin RCS (DaVinc i) ohjelmaa käytettiin Yhdistyneiden arabiemiirikuntien ihmisoikeusaktivistiin.

Tällainen ohjelma on räikeä aikapommi sääntelyn ja hallitsemattoman myynnin puutteen vuoksi, Raiu sanoi.

Suuri ongelma on se, että näitä ohjelmia ei voida käyttää, mutta ne voivat olla helposti ohitettavissa myymällä ohjelmistoa offshore-jälleenmyyjien kautta. vain hallitukset voivat vakoilla omia kansalaisiaan, mutta hallitukset voivat käyttää niitä myös vakoilemaan muita hallituksia tai niitä voidaan käyttää teollisuus- ja yritysvakoilussa, Raiu sanoi.

Kun tällaisia ​​ohjelmia käytetään hyökkäyksiin suuryrityksissä tai käytetään jotka ovat vastuussa ohjelmista, jotka joutuvat vääriin käsiin, Raiu kysyi.

Kaspersky Labin näkökulmasta ei ole kysymys: nämä ohjelmat tunnistetaan haittaohjelmiksi riippumatta niiden tarkoituksesta, hän sanoi.