Ερευνητές: Malware επιτήρησης που διανέμεται μέσω Flash Player εκμεταλλεύονται

την περασμένη Πέμπτη, η Adobe κυκλοφόρησε μια ενημερωμένη έκδοση έκτακτης ανάγκης για το Flash Player, προκειμένου να αντιμετωπίσει δύο αδυναμίες που χρησιμοποιούνται σε ενεργές επιθέσεις. Στη σχετική συμβουλευτική της για την ασφάλεια, η Adobe αναγνώρισε τους Sergey Golovanov και Alexander Polyakov της Kaspersky Lab για την αναφορά ενός από τα δύο σημεία ευπάθειας, δηλαδή εκείνου που χαρακτηρίστηκε CVE-2013-0633.

Την Τρίτη, οι ερευνητές της Kaspersky Lab αποκάλυψαν περισσότερες πληροφορίες για το πώς ανακάλυψαν αρχικά την ευπάθεια. "Τα οφέλη για το CVE-2013-0633 έχουν παρατηρηθεί κατά την παρακολούθηση του λεγόμενου« νόμιμου »κακόβουλου λογισμικού επιτήρησης που δημιουργήθηκε από την ιταλική εταιρεία HackingTeam», δήλωσε ο Golovanov σε μια θέση στο blog

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το malware από Windows PC σας]

Η HackingTeam εδρεύει στο Μιλάνο αλλά έχει επίσης παρουσία στην Αννάπολη, το Μέριλαντ και τη Σιγκαπούρη. Σύμφωνα με την ιστοσελίδα της, η εταιρεία αναπτύσσει ένα πρόγραμμα επιτήρησης ηλεκτρονικών υπολογιστών που ονομάζεται Remote Control System (RCS) το οποίο πωλείται σε υπηρεσίες επιβολής του νόμου και σε υπηρεσίες πληροφοριών.

«Εδώ στο HackingTeam πιστεύουμε ότι η καταπολέμηση του εγκλήματος πρέπει να είναι εύκολη: "Η εταιρεία Kaspersky Lab παρακολουθεί την RCS του HackingTeam, επίσης γνωστή ως DaVinci, από τον Αύγουστο του 2012, δήλωσε ο Costin Raiu, διευθυντής του Kaspersky," δήλωσε η εταιρεία στην ιστοσελίδα της. Παγκόσμια ομάδα έρευνας και ανάλυσης της Lab

Η RCS / DaVinci μπορεί να καταγράφει συνομιλίες κειμένου και ήχου από διάφορα προγράμματα συνομιλίας, όπως το Skype, το Yahoo Messenger, το Google Talk και το MSN Messenger. μπορεί να κλέψει το ιστορικό περιήγησης στο Web. μπορεί να ενεργοποιήσει το μικρόφωνο και την κάμερα του υπολογιστή. μπορεί να κλέψει τα διαπιστευτήρια που έχουν αποθηκευτεί σε προγράμματα περιήγησης και σε άλλα προγράμματα και πολλά άλλα

Οι ερευνητές της Kaspersky έχουν εντοπίσει περίπου 50 περιστατικά μέχρι στιγμής που αφορούσαν τη χρήση του DaVinci από χρήστες υπολογιστών από διάφορες χώρες, όπως η Ιταλία, το Μεξικό, το Καζακστάν, η Σαουδική Αραβία, Την Τουρκία, την Αργεντινή, την Αλγερία, το Μάλι, το Ιράν, την Ινδία και την Αιθιοπία

Οι πιο πρόσφατες επιθέσεις που εκμεταλλεύθηκαν τους ακτιβιστές CVE-2013-0633 που απευθύνονται σε μια χώρα στη Μέση Ανατολή. Ωστόσο, αρνήθηκε να ονομάσει τη χώρα για να αποφύγει την έκθεση πληροφοριών που θα μπορούσαν να οδηγήσουν στην αναγνώριση των θυμάτων

Δεν είναι ξεκάθαρο αν η μηδενική εκμετάλλευση για το CVE-2013-0633 πωλήθηκε από την HackingTeam μαζί με το malware επιτήρησης ή όταν όποιος αγόρασε το πρόγραμμα έλαβε το εκμεταλλευόμενο από διαφορετική πηγή, ο Raiu είπε ότι

η HackingTeam δεν απάντησε άμεσα σε ένα αίτημα για σχολιασμό.

Σε προηγούμενες επιθέσεις που εντοπίστηκαν από την Kaspersky Lab, η DaVinci διανεμήθηκε μέσω εκμεταλλεύσεων για το Flash Player "

Η Vupen παραδέχεται ανοικτά ότι πωλεί μηδενικές εκμεταλλεύσεις, αλλά ισχυρίζεται ότι οι πελάτες της είναι κυβερνητικοί φορείς και υπηρεσίες επιβολής του νόμου από χώρες που είναι μέλη ή εταίροι του NATO, ANZUS ή των γεωπολιτικών οργανισμών ASEAN

Το πρόγραμμα εγκατάστασης του DaVinci που έπεσε σε υπολογιστές από την εκμετάλλευση CVE-2013-0633 στο πρώτο στάδιο της επίθεσης υπογράφηκε με έγκυρο ζήτημα ψηφιακού πιστοποιητικού d από την GlobalSign σε ένα άτομο που ονομάζεται Kamel Abed, δήλωσε ο Raiu

Η GlobalSign δεν ανταποκρίθηκε άμεσα σε ένα αίτημα για περισσότερες πληροφορίες σχετικά με αυτό το πιστοποιητικό και την τρέχουσα κατάστασή του

Αυτό είναι σύμφωνο με παλαιότερες επιθέσεις DaVinci, στις οποίες και το dropper ψηφίστηκε επίσης ψηφιακά, δήλωσε ο Raiu. Τα προηγούμενα πιστοποιητικά που χρησιμοποιήθηκαν για την υπογραφή των DaVinci droppers καταχωρήθηκαν σε ένα Salvetore Macchiarella και σε μια εταιρεία που ονομάζεται OPM Security, η οποία καταχωρήθηκε στον Παναμά.

Σύμφωνα με την ιστοσελίδα της, η OPM Security πωλεί ένα προϊόν που ονομάζεται Power Spy για € 200 (US $ 267) τον τίτλο "κατασκοπεία για τον σύζυγό σας, τη σύζυγό σας, τα παιδιά ή τους υπαλλήλους σας." Η λίστα χαρακτηριστικών του Power Spy είναι παρόμοια με τη λίστα χαρακτηριστικών του DaVinci, πράγμα που σημαίνει ότι το OPM μπορεί να είναι μεταπωλητής του προγράμματος επιτήρησης του HackingTeam. δεν είναι η πρώτη περίπτωση κατά την οποία χρησιμοποιήθηκε νόμιμο κακόβουλο λογισμικό παρακολούθησης κατά των ακτιβιστών και των αντιφρονούντων σε χώρες όπου η ελευθερία του λόγου είναι περιορισμένη

Υπάρχουν προηγούμενες αναφορές του FinFisher, ενός εργαλείου ηλεκτρονικής επιτήρησης που αναπτύχθηκε από την εταιρεία με έδρα το Ηνωμένο Βασίλειο Gamma Group International. πολιτικοί ακτιβιστές στο Μπαχρέιν

Ερευνητές από το Εργαστήριο Πολίτη στο Πανεπιστήμιο του Toronto Munk School of Global Affairs ανέφεραν επίσης τον Οκτώβριο ότι η RCS της HackingTeam (DaVinc i) το πρόγραμμα χρησιμοποιήθηκε εναντίον ενός ακτιβιστή των ανθρωπίνων δικαιωμάτων από τα Ηνωμένα Αραβικά Εμιράτα.

Αυτός ο τύπος προγράμματος είναι μια χρονοβόρα βόμβα λόγω της έλλειψης ρύθμισης και ανεξέλεγκτης πώλησης, δήλωσε ο Raiu. Ορισμένες χώρες έχουν περιορισμούς στην εξαγωγή κρυπτογραφικών συστημάτων, τα οποία θεωρητικά θα κάλυπταν τέτοια προγράμματα, αλλά αυτοί οι περιορισμοί μπορούν εύκολα να ξεπεραστούν με την πώληση του λογισμικού μέσω υπεράκτιων μεταπωλητών, δήλωσε.

Το μεγάλο πρόβλημα είναι ότι αυτά τα προγράμματα μπορούν να χρησιμοποιηθούν όχι μόνο από τις κυβερνήσεις να κατασκοπεύουν τους δικούς τους πολίτες, αλλά μπορούν επίσης να χρησιμοποιηθούν από τις κυβερνήσεις για να κατασκοπεύουν άλλες κυβερνήσεις ή να χρησιμοποιηθούν για βιομηχανική και εταιρική κατασκοπεία, δήλωσε ο Raiu.

Όταν τέτοια προγράμματα χρησιμοποιούνται για να επιτεθούν σε μεγάλες επιχειρήσεις ή για να χρησιμοποιηθούν από τους κυβερνο-τρομοκράτες, που θα είναι υπεύθυνος για το λογισμικό που πέφτει σε λάθος χέρια, ζήτησε ο Raiu

. Από την πλευρά της Kaspersky Lab, δεν υπάρχει αμφιβολία: Τα προγράμματα αυτά θα ανιχνευθούν ως κακόβουλα προγράμματα ανεξάρτητα από τον προορισμό τους.