Kutatók: A Flash Player által forgalmazott felderítési malware

A közel-keleti politikai aktivisták olyan támadásokra irányultak, amelyek kihasználták a korábban ismeretlen Flash Player sebezhetőséget, a kaszkádban a víruskereső gyártója, a Kaspersky Lab kutatóinak biztonsági kutatói kedden említették.

Múlt csütörtökön az Adobe kiadta a sürgősségi frissítést a Flash Player számára, hogy két olyan zéró-napig ki nem fizetett sebezhetőséget kezeljen, amelyek már léteznek használt aktív támadások. Az akkori biztonsági tanácsadása során az Adobe jóváírta Sergey Golovanovot és Alexander Polyakovot a Kaspersky Lab-ról a két sérülékenység egyikének, a CVE-2013-0633-nak nevezett jelentésnek.

Kedden a Kaspersky Lab kutatói további információkat tártak fel arról, hogyan fedezték fel eredetileg a sebezhetőséget. "A CVE-2013-0633-ra tett erőfeszítéseket megfigyelték az olasz HackingTeam cég által létrehozott, úgynevezett" legális "felügyeleti malware figyelemmel kísérése során."

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat a Windows PC]

A HackingTeam székhelye Milánóban található, de jelen van Annapolisban, Marylandben és Szingapúrban is. A cég honlapja szerint a számítógépes megfigyelési programot (Remote Control System, RCS) fejlesztette ki, amelyet a bűnüldöző és hírszerző ügynökségeknek adnak el.

"Itt a HackingTeam-ban úgy véljük, hogy a bűnözés elleni küzdelemnek egyszerűnek kell lenniük: hatékony, egyszerű - A Kaspersky Lab figyelemmel kíséri a HackingTeam RCS-t, amely DaVinci néven is ismert - augusztus óta, mondta Costin Raiu, a Kaspersky igazgatója. Lab globális kutató- és elemzőcsapata.

Az RCS / DaVinci különböző csevegőprogramokból képes beszerezni szöveges és hangos beszélgetéseket, köztük a Skype, a Yahoo Messenger, a Google Talk és az MSN Messenger; lophatja a webböngészési előzményeket; bekapcsolhatja a számítógép mikrofonját és webkameráját; el tudja lopni a böngészőkben és más programokban tárolt hitelesítő adatokat, és még sok minden mást, mondja.

A Kaspersky kutatói eddig mintegy 50 olyan incidenset fedeztek fel, amelyekben a DaVinci a különböző országokban, Olaszországban, Mexikóban, Kazahsztánban, Szaúd-Arábiában, Törökország, Argentína, Algéria, Mali, Irán, India és Etiópia.

A legutóbbi támadások, amelyek a CVE-2013-0633 sebezhetőség kihasználását célozták egy közel-keleti országbeli aktivistákkal szemben, Raiu elmondta. Azonban elutasította az ország nevét annak elkerülése érdekében, hogy olyan információkat bocsássanak ki, amelyek az áldozatok azonosítását eredményezhetik.

Nem világos, hogy a CVE-2013-0633 nullás napi kizsákmányolását a HackingTeam eladta a felügyeleti kártevők vagy ha a programot megvásárolta, aki a programot más forrásból szerezte meg, Raiu elmondta:

A HackingTeam nem válaszolt azonnal a megjegyzésre vonatkozó kérelemre.

A Kaspersky Lab által észlelt korábbi támadások során a DaVinci-t a Flash Player a Vupen francia sebezhetőségi kutató cég által felfedezett sebezhetőségeket.

Vupen nyíltan elismeri a nulla napos kizsákmányolás értékesítését, de azt állítja, hogy ügyfelei a NATO tagjai vagy partnerei kormányzati és bűnüldöző szervezetei, az ANZUS vagy az ASEAN geopolitikai szervezetei.

A DaVinci telepítője a CVE-2013-0633-as számítógépen dobta le a számítógépet a támadás első szakaszában egy érvényes digitális tanúsítvány kiadásával d a GlobalSign egy Kamel Abed nevű személynek, Raiu elmondta:

A GlobalSign nem válaszolt azonnal a kérelemre a tanúsítványról és annak aktuális állapotáról.

Ez összhangban van a múltbeli DaVinci támadásokkal, amelyekben a csepegtetőt is digitálisan aláírták, mondta Raiu. A DaVinci dropperek aláírására használt korábbi tanúsítványokat egy Salvetore Macchiarellára és egy Panamában bejegyzett OPM Security cégre jegyezték be.

Az OPM Security honlapján a Power Spy termékét 200 euróért (267 USA dollár) a Power Spy szolgáltatáslistája nagyon hasonlít a DaVinci szolgáltatáslistájára, ami azt jelenti, hogy az OPM lehet a HackingTeam megfigyelési programjának viszonteladója, mondta Raiu.

Ez a nem az első eset, amikor törvényes megfigyelési kártevőket használtak az olyan aktivisták és disszidensek ellen, ahol korlátozott a szólásszabadság.

Korábbi jelentések vannak az Egyesült Királyságban székelő Gamma Group International által kifejlesztett FinFisher-ről politikai aktivisták Bahreinben.

A Torontói Egyetem Munk School of Citizen Lab kutatói szintén októberben jelentették be, hogy a HackingTeam RCS (DaVinc i) a programot az Egyesült Arab Emírségek emberi jogi aktivistája ellen használták.

Ez a fajta program egy ketyegő időbombát jelent a szabályozás és az ellenőrizetlen értékesítés hiánya miatt, mondta Raiu. Néhány országban vannak korlátozások a kriptográfiai rendszerek exportjára, amelyek elméletileg kiterjednek az ilyen programokra, de ezek a korlátozások könnyen elkerülhetők a szoftver offshore viszonteladók általi értékesítésével.

A nagy probléma az, hogy ezek a programok nem használhatók csak a kormányok, hogy kémkedjenek a saját állampolgáraik ellen, de a kormányok is használhatják, hogy kémkedjenek más kormányzatokkal, vagy ipari és vállalati kémkedésre használják. "

Ha ilyen programokat használnak a nagyvállalatok megtámadására vagy arra használják a cyberterroristák, akik felelősek lesznek a rossz kezekbe eső szoftverekért, kérdezte Raiu.

A Kaspersky Lab szemszögéből nincs kérdés: ezek a programok rosszindulatú programként fognak megjelenni, függetlenül azok szándékolt céljától.