מעללי Windows ותוכנות ריגול DevilsEye קשורים לחברת Candiru הישראלית

מומחים מ מיקרוסופט ו מעבדת אזרחים דיבר על תוכנת הריגול DevilsEye, אשר פותחה על ידי חברת קנדירו הישראלית, ולאחר מכן נמכר לממשלות של מדינות שונות. DevilsEye זוהה לפחות 100 יעדים גבוהים במערכות, בעוד שפגיעות של 0 ימים בדפדפנים וב- Windows שימשו להדבקה שלהן.

החוקרים טוענים כי חברת קנדירו הישראלית עומדת מאחורי פיתוח לפחות שני מעלולים לפגיעות של אפס ימים ב- Windows ששימשו לתקיפה ולפריסה של תוכנת הריגול DevilsEye שלא הייתה ידועה בעבר.. תוכנה זדונית זו השפיעה על פוליטיקאים, מגיני זכויות אדם, פעילים, עיתונאים, אקדמאים, שגרירויות ומתנגדים פוליטיים ברחבי העולם.

ידוע כי קנדירו (מיקרוסופט קוראת לזה שם הקוד Sourgum) הוקם ב 2014. ולמרות המשרות הפנויות שלה הבהירו את זה מזמן כי החברה עוסקת בנושאי אבטחת סייבר, בעבר הם כמעט ולא ידעו דבר על הפעילות של קנדירו. עכשיו, בזכות דיווחים של מיקרוסופט וממעבדת Citizen, ברור כי כלי החברה עוזרים ללקוחותיה להדביק ולהשתלט על השליטה באייפון, דְמוּי אָדָם, מק, מחשב, וחשבונות ענן.

תוכנת ריגול זו זוהתה לראשונה על ידי חוקרי מעבדת אזרחים כאשר ביצעו בדיקה משפטית ברשת של מכשיר השייך לאדם ללא שם “פעיל פוליטי ממערב אירופה.” על ידי שיתוף הממצאים שלהם עם מיקרוסופט, החוקרים הצליחו לאתר לפחות 100 קורבנות עיניים אחרים של Devils במדינות כמו פלסטין, ישראל, איראן, לבנון, תֵימָן, סְפָרַד, הממלכה המאוחדת, טורקיה, אַרְמֶנִיָה, וסינגפור.

החוקרים מדגישים כי שרשרת ההתקפות הייתה מורכבת ומנוצלת עד לאחרונה פגיעות של יום אפס לא ידוע: בדפדפן כרום (CVE-2021-21166 ו CVE-2021-30551), ב- Internet Explorer (CVE-2021-33742), ועוד שניים ב- Windows (CVE-2021-31979 ו CVE-2021-33771). כַּיוֹם, היצרנים כבר תיקנו את כל הבעיות האלה.

שלוש הפגיעות הראשונות כבר הוזכרו ב הדו"ח האחרון של גוגל, אשר קישר גם התקפות על נקודות תורפה ב- Chrome וב- IE עם שם ללא שם “חברת מעקב מסחרית.” Google מסרה כי הבאגים נמכרו לשתי קבוצות לפחות “האקרים ממשלתיים” שהשתמש בהם לתקוף מטרות בארמניה. כעת גוגל עדכנה את הדו"ח שלה וגם מקשרת בין ניצול בעיות אלה לבין קנדירו הישראלית.

DevilsTongue מאפשר לנשאיה לגנוב קורבנות’ קבצים, לפענח ולגנוב הודעות מאיתות במכשירי Windows, ולגנוב עוגיות וסיסמאות שמורות מ- Chrome, אינטרנט אקספלורר, פיירפוקס, דפדפני ספארי ואופרה.

DevilsTongue עשויה גם להשתמש בעוגיות המאוחסנות במחשב הקורבן לאתרים כגון פייסבוק, טוויטר, Gmail, יאהו, Mail.ru, Odnoklassniki ו- Vkontakte לאיסוף מידע סודי, קרא הודעות וחלץ תמונות. בכמה מהאתרים הרשומים, תוכנת הריגול יכולה אפילו לשלוח הודעות בשם הקורבן לאנשים אחרים. Some of the anti-spyware tools can prevent such a behaviour, but stopping it requires additional efforts.

אנליסטים של Citizen Lab אומרים כי יכולות הפריצה להשכרה של קנדירו עולות בהרבה על מה שחזו מומחי גוגל ומיקרוסופט.. על פי מעבדת Citizen, יותר מ 750 כבר התגלו דומיינים שאירחו את קנדירו, כולל אשכולות גדולים באיחוד האמירויות וסעודיה, מה שמרמז ששתי המדינות הללו הן חלק מהלקוחות הגדולים של החברה.

חלק מהתחומים הללו התחפשו לארגוני זכויות אדם כמו אמנסטי אינטרנשיונל, תנועת החיים השחורים, וחברות מדיה, מומחים מובילים להסיק כי הפיגועים כוונו בעיקר נגד פעילים.

כריסטין גודווין, ראש האבטחה הדיגיטלית של מיקרוסופט, כותב שחברות כמו קנדירו מספקות נשק סייבר לתוקפים במשך שנים, וממשלות במדינות רבות משתמשות בכלי פריצה אלה נגד חברי החברה האזרחית, לא לאתר עבריינים. גודווין קורא להילחם נגד חברות כאלה, שמוצריו משמשים באופן פעיל להפרת זכויות אדם.

אתה יכול גם לקרוא כאן את זה תוכנות זדוניות של BIOPASS משתמשות בתוכנת הזרמת OBS Studio להקליט מסכי קורבן ו כיצד להיפטר ממיטב המערכת המזויף של תוכנות ריגול?