Výzkumníci: Malware sledované distribuované prostřednictvím Flash Player exploit

Politickí aktivisté z Blízkého východu byli zaměřeni na útoky, které využívaly dříve neznámou zranitelnost aplikace Flash Player k instalaci tzv. program pro zákonné zachycení, určený pro použití v oblasti vymáhání práva, vědečtí pracovníci v oblasti zabezpečení od antivirového dodavatele Kaspersky Lab uvedli úterý.

Včera ve čtvrtek společnost Adobe vydala nouzovou aktualizaci pro přehrávač Flash Player, aby se zabývala dvěma neopravenými chybami, používá při aktivních útocích. Společnost Adobe ve svém bezpečnostním poradenství v té době připočtela Sergeji Golovanovovi a Alexandrovi Polyakovovi ze společnosti Kaspersky Lab za oznámení jedné ze dvou zranitelných míst, jmenovitě CVE-2013-0633.

V úterý výzkumníci společnosti Kaspersky Lab odhalili více informací o tom, jak původně objevili zranitelnost. "Výhody pro CVE-2013-0633 byly pozorovány při sledování takzvaného" legálního "sledování malwaru vytvořeného italskou společností HackingTeam," řekl Golovanov na blogu.

[Další informace: Jak odstranit malware z vaše PC s Windows]

HackingTeam sídlí v Miláně, ale má také přítomnost v Annapolisu, Marylandu a Singapuru. Podle jeho webových stránek společnost vyvíjí počítačový sledovací program nazvaný Systém dálkového řízení (RCS), který se prodává orgánům činným v trestním řízení a zpravodajským službám.

"Zde se v HackingTeam domníváme, že boj proti zločinu by měl být snadný: "Společnost Kaspersky Lab monitoruje RCS společnosti HackingTeam - také známou jako DaVinci - od srpna 2012, říká Costin Raiu, ředitel společnosti Kaspersky Globální výzkumný a analytický tým Lab

RCS / DaVinci může nahrávat textové a zvukové konverzace z různých chatových programů, včetně Skype, Yahoo Messenger, Google Talk a MSN Messenger; může ukrást historii prohlížení webu; může zapnout mikrofon a webovou kameru počítače; může ukradnout pověření uložená v prohlížečích a dalších programech a mnohem více, uvedl.

Vědci Kaspersky zjistili, že DaVinci je používán proti počítačovým uživatelům z různých zemí, včetně Itálie, Mexika, Kazachstánu, Saúdské Arábie, Turecko, Argentina, Alžírsko, Mali, Írán, Indie a Etiopie.

Nejnovější útoky, které využívaly aktivisty CVE-2013-0633 zaměřené na zranitelnost z země na Blízkém východě, řekl Raiu. Odmítl však pojmenovat tuto zemi, aby se vyhnul odhalení informací, které by mohly vést k identifikaci obětí.

Není jasné, zda bylo pro společnost CVE-2013-0633 prodáno nulové denní zneužívání spolu s malware sledování nebo pokud ten, kdo program zakoupil, získal z jiného zdroje zdroj, řekl Raiu.

HackingTeam neodpověděl okamžitě na žádost o komentář.

V předchozích antiviích zjištěných společností Kaspersky Lab byl DaVinci distribuován prostřednictvím exploitů pro přehrávač Flash Player která byla objevena francouzskou výzkumnou firmou Vupen, uvedl Raiu.

Vupen otevřeně připouští, že prodává nulové zneužívání, ale tvrdí, že jejími zákazníky jsou vládní a donucovací orgány ze zemí, které jsou členy nebo partnery NATO, ANZUS nebo geopolitických organizací ASEAN

Instalační program DaVinci, který byl na počítačích propuštěn pomocí technologie CVE-2013-0633 v první fázi útoku, byl podepsán s platným číslem digitálního certifikátu d GlobalSign osobě s názvem Kamel Abed, řekl Raiu

GlobalSign neodpověděl okamžitě na žádost o další informace o tomto certifikátu a jeho aktuálním stavu

To je v souladu s minulými útoky DaVinci, v nichž byl kapátko digitálně podepsán, řekl Raiu. Dřívější certifikáty používané k podepisování kapiček DaVinci byly zaregistrovány v jedné společnosti Salvetore Macchiarella a společnosti OPM Security registrované v Panamě.

Podle svého webu OPM Security prodává produkt s názvem Power Spy za 200 EUR (267 USD) nadpis "špehujete svého manžela, manželku, děti nebo zaměstnance." Seznam funkcí Power Spy je velmi podobný seznamu funkcí DaVinci, což znamená, že OPM může být prodejcem sledovacího programu HackingTeam, řekl Raiu. nikoliv prvním případem, kdy byl proti zneužívání aktivistů a disidentů v zemích, kde je svoboda projevu omezena zákonná kontrola škodlivého softwaru.

Existují dřívější zprávy o souboru nástrojů pro počítačové sledování společnosti FinFisher vyvinutý britskou společností Gamma Group International, politickí aktivisté v Bahrajnu

Výzkumníci z Citizen Lab na Univerzitě v Torontu v Munk School of Global Affairs také v říjnu oznámili, že HackingTeam's RCS (DaVinc i) program byl použit proti aktivistovi za lidská práva ze Spojených arabských emirátů.

Tento typ programu je tichojící bomba kvůli nedostatku regulace a nekontrolovaného prodeje, řekl Raiu. Některé země mají omezení exportu kryptografických systémů, které by teoreticky pokrývaly takové programy, ale tyto omezení lze snadno vynechat prodejem softwaru přes prodejce v zahraničí, řekl.

Velkým problémem je, že tyto programy nelze použít jen vládami, aby špehovali své vlastní občany, ale mohou je také použít vlády k špehování na jiné vlády nebo mohou být použity pro průmyslovou a firemní špionáž, řekl Raiu.

Když jsou takové programy používány k útoku na velké společnosti nebo jsou používány který je zodpovědný za to, že se software dostal do špatných rukou, zeptal se Raiu.

Z pohledu společnosti Kaspersky Lab není pochyb o tom: tyto programy budou detekovány jako malware bez ohledu na jejich zamýšlený účel, řekl.