Exploity dla systemu Windows i oprogramowanie szpiegujące DevilsEye są powiązane z izraelską firmą Candiru

Helga Smithlipiec 17, 2021Ostatnio zaktualizowany: marzec 10, 2022
43 2 minuty przeczytane

Specjaliści z Microsoft i Laboratorium obywatelskie mówił o oprogramowaniu szpiegującym DevilsEye, który został opracowany przez izraelską firmę Candiru, a następnie sprzedawane rządom różnych krajów. DevilsEye wykryto co najmniej 100 wysokie cele w systemach, podczas gdy luki 0-day w przeglądarkach i Windows były wykorzystywane do ich infekowania.

Naukowcy twierdzą, że izraelska firma Candiru stoi za opracowaniem co najmniej dwóch exploitów dla luk zero-day w systemie Windows, które zostały wykorzystane do ataku i wdrażania nieznanego wcześniej oprogramowania szpiegującego DevilsEye. To złośliwe oprogramowanie dotknęło polityków, obrońcy praw człowieka, aktywiści, dziennikarze, akademicy, ambasady i dysydenci polityczni na całym świecie.

Wiadomo, że Candiru (Microsoft nazywa to kryptonimem Sourgum) został znaleziony w 2014. I chociaż jego wakaty już dawno to wyjaśniłem że firma zajmuje się zagadnieniami cyberbezpieczeństwa, wcześniej prawie nic nie wiedzieli o działalności Candiru. Teraz, dzięki raportom Microsoft i Citizen Lab, jasne jest, że narzędzia firmy pomagają jej klientom infekować i przejmować kontrolę nad iPhonem, Android, Prochowiec, PC, i konta w chmurze.

Candiru to tajna izraelska firma, która sprzedaje oprogramowanie szpiegujące wyłącznie rządom.Laboratorium obywatela powiedział.

To oprogramowanie szpiegujące zostało po raz pierwszy zauważone przez badaczy z Citizen Lab, gdy przeprowadzali cyber-kryminalistyczne badanie urządzenia należącego do nienazwanego “działacz polityczny z Europy Zachodniej.” Dzieląc się swoimi odkryciami z Microsoft, naukowcy byli w stanie zlokalizować przynajmniej 100 inne ofiary DevilsEye w krajach takich jak Palestyna, Izrael, Iran, Liban, Jemen, Hiszpania, Wielka Brytania, indyk, Armenia, i Singapur.

DevilsEye rozprzestrzeniał się, zwabiając ofiary do złośliwych witryn zawierających zestaw exploitów, który wykorzystywał różne luki w zabezpieczeniach przeglądarki do instalowania złośliwego oprogramowania na ofiarach’ urządzenia. Następnie, w drugiej fazie ataku, wykorzystano exploita systemu Windows, aby umożliwić atakującym podniesienie ich uprawnień do poziomu administratora.Eksperci Microsoft piszą.

Naukowcy podkreślają, że łańcuch ataków był złożony i wykorzystywał do niedawna nieznane luki zero-day: w przeglądarce Chrome (CVE-2021-21166 i CVE-2021-30551), w Internet Explorerze (CVE-2021-33742), i jeszcze dwa w Windows (CVE-2021-31979 i CVE-2021-33771). Obecnie, producenci naprawili już wszystkie te problemy.

Pierwsze trzy luki zostały już wymienione w a ostatni raport od Google, które również łączyły ataki na luki w zabezpieczeniach Chrome i IE z nienazwanym “komercyjna firma nadzoru.” Google powiedział, że błędy zostały sprzedane co najmniej dwóm grupom “hakerzy rządowi” kto używał ich do atakowania celów w Armenii?. Teraz Google zaktualizował swój raport, a także łączy wykorzystanie tych problemów z izraelskim Candiru.

DevilsTongue umożliwia swoim przewoźnikom kradzież ofiar’ akta, odszyfrować i wykraść wiadomości z Signala na urządzeniach z systemem Windows, i kraść pliki cookie i zapisane hasła z Chrome, Internet Explorer, Firefox, Przeglądarki Safari i Opera.

DevilsTongue może również wykorzystywać pliki cookie przechowywane na komputerze ofiary w przypadku witryn takich jak Facebook, Świergot, Gmail, Wieśniak, Poczta.ru, Odnoklassniki i Vkontakte w celu zbierania poufnych informacji, czytaj wiadomości i wyodrębniaj zdjęcia. W niektórych z wymienionych witryn, oprogramowanie szpiegujące może nawet wysyłać wiadomości w imieniu ofiary do innych osób. Some of the anti-spyware tools can prevent such a behaviour, but stopping it requires additional efforts.

Analitycy Citizen Lab twierdzą, że możliwości Candiru w zakresie hack-for-hire znacznie przekraczają przewidywania ekspertów Google i Microsoft. Według Citizen Lab, więcej niż 750 odkryto już domeny obsługujące Candiru, w tym duże klastry w Zjednoczonych Emiratach Arabskich i Arabii Saudyjskiej, sugerując, że te dwa kraje są jednymi z największych klientów firmy.

Niektóre z tych domen maskowały się jako organizacje praw człowieka, takie jak Amnesty International, ruch Black Lives Matter, i firmy medialne, czołowi eksperci doszli do wniosku, że ataki były skierowane głównie przeciwko aktywistom,.

Christine Goodwin, Szef działu bezpieczeństwa cyfrowego Microsoft, pisze że firmy takie jak Candiru od lat dostarczają cyberbroń atakującym, a rządy w wielu krajach używają tych narzędzi hakerskich przeciwko członkom społeczeństwa obywatelskiego, nie tropić przestępców. Goodwin wzywa do walki z takimi firmami, których produkty są aktywnie wykorzystywane do naruszania praw człowieka.

Świat, w którym firmy z sektora prywatnego produkują i sprzedają cyberbroń, staje się coraz bardziej niebezpieczny dla konsumentów, firmy każdej wielkości, a nawet rządy.Goodwin pisze.

Możesz również przeczytać tutaj, że Złośliwe oprogramowanie BIOPASS wykorzystuje oprogramowanie do przesyłania strumieniowego OBS Studio nagrywać ekrany ofiar i Jak pozbyć się fałszywego optymalizatora systemu Spyware Terminator?

Tagi
Helga Smithlipiec 17, 2021Ostatnio zaktualizowany: marzec 10, 2022
43 2 minuty przeczytane

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry