Eksploitasi Windows dan Spyware Devilseye dikaitkan dengan perusahaan Israel Candiru

Helga SmithJuli 17, 2021Terakhir Diperbarui: Berbaris 10, 2022
2 menit dibaca

Spesialis dari Microsoft Dan Lab Citizen Bicara tentang Spyware Devilseye, yang dikembangkan oleh perusahaan Israel Candiru, dan kemudian dijual kepada pemerintah di berbagai negara. Devilseye setidaknya terdeteksi 100 Target berpangkat tinggi pada sistem, Sementara kerentanan 0 hari di browser dan jendela digunakan untuk menginfeksi mereka.

Para peneliti mengatakan perusahaan Israel Candiru berada di belakang pengembangan setidaknya dua eksploitasi untuk kerentanan nol hari di jendela yang telah digunakan untuk menyerang dan menggunakan Spyware Devilseye yang sebelumnya tidak dikenal. Malware ini telah mempengaruhi politisi, Pembela Hak Asasi Manusia, aktivis, jurnalis, akademisi, kedutaan dan pembangkang politik di seluruh dunia.

Diketahui bahwa Candiru (Microsoft menyebutnya sebagai codename sourgum) didirikan di 2014. Dan meskipun lowongannya telah lama membuatnya jelas bahwa perusahaan terlibat dalam masalah keamanan siber, Sebelumnya mereka hampir tidak tahu apa -apa tentang kegiatan Candiru. Sekarang, Berkat laporan dari Microsoft dan Citizen Lab, Jelas bahwa alat perusahaan membantu pelanggan menginfeksi dan mengambil alih kendali iPhone, Android, Mac, PC, dan akun cloud.

Candiru adalah perusahaan rahasia Israel yang secara eksklusif menjual spyware kepada pemerintah.Kata Citizen Lab.

Spyware ini pertama kali terlihat oleh peneliti laboratorium warga ketika mereka melakukan pemeriksaan cyber-forensik dari perangkat yang termasuk dalam hal yang tidak disebutkan namanya “Aktivis politik dari Eropa Barat.” Dengan membagikan temuan mereka dengan Microsoft, Para peneliti dapat menemukan setidaknya 100 Korban Devilseye lainnya di negara -negara seperti Palestina, Israel, Iran, Libanon, Yemen, Spain, the United Kingdom, Turkey, Armenia, and Singapore.

DevilsEye spread by luring victims to malicious sites hosting an exploit kit that abused various browser vulnerabilities to install malware on victims’ perangkat. Subsequently, in the second phase of the attack, a Windows exploit was used to allow attackers to elevate their privileges to administrator level.Microsoft experts write.

The researchers emphasize that the chain of attacks was complex and exploited until recently unknown zero-day vulnerabilities: in the Chrome browser (CVE-2021-21166 Dan CVE-2021-30551), in Internet Explorer (CVE-2021-33742), and two more in Windows (CVE-2021-31979 Dan CVE-2021-33771). Currently, manufacturers have already fixed all these problems.

The first three vulnerabilities were already mentioned in a recent report from Google, yang juga mengaitkan serangan terhadap kerentanan di Chrome dan IE dengan yang tidak disebutkan namanya “Perusahaan Pengawasan Komersial.” Google mengatakan bug itu dijual ke setidaknya dua kelompok “peretas pemerintah” yang menggunakannya untuk menyerang target di Armenia. Sekarang Google telah memperbarui laporannya dan juga menautkan eksploitasi masalah ini dengan Candiru Israel.

Devilstongue memungkinkan operatornya mencuri korban’ file, mendekripsi dan mencuri pesan dari sinyal di perangkat Windows, dan mencuri cookie dan kata sandi yang disimpan dari Chrome, Penjelajah Internet, Firefox, Browser safari dan opera.

Devilstongue juga dapat menggunakan cookie yang disimpan di komputer korban untuk situs -situs seperti Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki dan Vkontakte untuk mengumpulkan informasi rahasia, Baca pesan dan ekstrak foto. Di beberapa situs terdaftar, Spyware bahkan dapat mengirim pesan atas nama korban kepada orang lain. Beberapa alat anti-spyware dapat mencegah perilaku seperti itu, Tapi menghentikannya membutuhkan upaya tambahan.

Analis laboratorium warga mengatakan bahwa kemampuan hack-for-hire Candiru jauh melebihi apa yang diprediksi oleh para ahli Google dan Microsoft. Menurut Citizen Lab, lebih dari 750 Domain telah ditemukan bahwa Hosted Candiru, Termasuk kelompok besar di UEA dan Arab Saudi, menyarankan bahwa kedua negara ini adalah beberapa pelanggan terbesar perusahaan.

Beberapa domain ini telah menutupi sebagai organisasi hak asasi manusia seperti Amnesty International, Gerakan Black Lives Matter, dan perusahaan media, para ahli terkemuka untuk menyimpulkan bahwa serangan itu terutama diarahkan terhadap aktivis.

Christine Goodwin, Kepala Keamanan Digital Microsoft, menulis bahwa perusahaan seperti Candiru telah memasok senjata cyber kepada penyerang selama bertahun -tahun, dan pemerintah di banyak negara menggunakan alat peretasan ini terhadap anggota masyarakat sipil, tidak melacak penjahat. Goodwin menyerukan perjuangan melawan perusahaan semacam itu, Produk yang secara aktif digunakan untuk melanggar hak asasi manusia.

Dunia di mana perusahaan sektor swasta memproduksi dan menjual senjata cyber menjadi lebih berbahaya bagi konsumen, bisnis dari semua ukuran, dan bahkan pemerintah.Goodwin menulis.

Anda juga dapat membaca di sini Malware BioPass menggunakan perangkat lunak streaming studio OBS untuk merekam layar korban dan Cara menyingkirkan pengoptimal sistem palsu terminware terminator?

Tag
Helga SmithJuli 17, 2021Terakhir Diperbarui: Berbaris 10, 2022
2 menit dibaca

Helga Smith

Saya selalu tertarik pada ilmu komputer, terutama keamanan data dan tema, yang disebut saat ini "ilmu data", sejak remaja awal saya. Sebelum masuk ke tim Penghapusan Virus sebagai Pemimpin Redaksi, Saya bekerja sebagai pakar keamanan siber di beberapa perusahaan, termasuk salah satu kontraktor Amazon. Pengalaman lain: Yang saya dapatkan adalah mengajar di universitas Arden dan Reading.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Bidang yang wajib diisi ditandai *

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Tombol kembali ke atas