Forskere: Surveillance malware distribueret via Flash Player udnytte

Politiske aktivister fra Mellemøsten var målrettet mod angreb, der udnyttede en tidligere ukendt Flash Player-sårbarhed for at installere en so- Sikkerhedsforskere fra antivirusleverandør Kaspersky Lab sagde tirsdag.

I går udgav Adobe en nødopdatering til Flash Player for at løse to nul-dags-updaterede sårbarheder, som allerede var i færd med at blive brugt bruges i aktive angreb. I sin sikkerhedsrådgivning på det tidspunkt krediterede Adobe Sergey Golovanov og Alexander Polyakov fra Kaspersky Lab for at rapportere en af ​​de to sårbarheder, nemlig den, der blev identificeret som CVE-2013-0633.

På tirsdag afslørede Kaspersky Lab-forskerne mere information om hvordan de oprindeligt opdagede sårbarheden. "Udnyttelserne til CVE-2013-0633 er blevet observeret under overvågning af den såkaldte" juridiske "overvågnings malware oprettet af det italienske firma HackingTeam," sagde Golovanov i et blogindlæg.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

HackingTeam er baseret i Milano, men har også en tilstedeværelse i Annapolis, Maryland og Singapore. Ifølge selskabets hjemmeside udvikler virksomheden et computerovervågningsprogram kaldet fjernbetjeningssystem (RCS), der sælges til politimyndigheder og efterretningstjenester.

"Her i HackingTeam mener vi, at kampkriminalitet skal være let: Vi leverer effektive, nemme at bruge offensiv teknologi til de verdensomspændende retshåndhævende myndigheder og efterretningsfællesskaber, siger firmaet på sin hjemmeside.

Kaspersky Lab har overvåget HackingTeams RCS-også kendt som DaVinci siden August 2012, sagde Costin Raiu, direktør for Kaspersky Labs globale forsknings- og analyseteam.

RCS / DaVinci kan optage tekst- og lydsamtaler fra forskellige chatprogrammer, herunder Skype, Yahoo Messenger, Google Talk og MSN Messenger; kan stjæle web browsing historie; kan tænde en computers mikrofon og webcam; kan stjæle legitimationsoplysninger gemt i browsere og andre programmer, og meget mere, sagde han.

Kasperskys forskere har opdaget omkring 50 hændelser hidtil, da DaVinci blev brugt mod computerbrugere fra forskellige lande, herunder Italien, Mexico, Kasakhstan, Saudi Arabien, Tyrkiet, Argentina, Algeriet, Mali, Iran, Indien og Etiopien.

De seneste angreb, der udnyttede CVE-2013-0633 sårbarhedsmålrettede aktivister fra et land i Mellemøsten, sagde Raiu. Han nægtede dog at nævne landet for at undgå at udsætte oplysninger, der kunne føre til, at ofrene blev identificeret.

Det er ikke klart, om nuldagens udnyttelse for CVE-2013-0633 blev solgt af HackingTeam sammen med overvågnings malware eller hvis den, der købte programmet, opnåede udnyttelsen fra en anden kilde, sagde Raiu.

HackingTeam reagerede ikke straks på en anmodning om kommentarer.

I tidligere angreb, der blev opdaget af Kaspersky Lab, blev DaVinci distribueret via udnyttelser til Flash Player sårbarheder, der blev opdaget af fransk sårbarhedsforskningsfirma Vupen, udtalte Raiu.

Vupen indrømmer åbenlyst at sælge nuldagseffekter, men hævder, at kunderne er regeringer og retshåndhævende myndigheder fra lande, der er medlemmer eller partnere af NATO, ANZUS eller ASEAN-geopolitiske organisationer. DaVinci-installationsprogrammet faldt på computere ved hjælp af CVE-2013-0633-udnyttelsen i første fase af angrebet blev underskrevet med et gyldigt digitalt certifikatproblem d af GlobalSign til en person ved navn Kamel Abed, sagde Raiu.

GlobalSign reagerede ikke straks på en anmodning om mere information om dette certifikat og dets nuværende status.

Dette er i overensstemmelse med tidligere DaVinci-angreb, hvor droperen også blev digitalt underskrevet, sagde Raiu. Tidligere certifikater, der blev brugt til at underskrive DaVinci-droppere, blev registreret til en Salvetore Macchiarella og et firma kaldet OPM Security registreret i Panama.

Ifølge sit websted sælger OPM Security et produkt kaldet Power Spy for € 200 (US $ 267) under overskriften "spionering på din mand, kone, børn eller medarbejdere." Power Spys funktionsliste ligner meget på funktionslisten over DaVinci, hvilket betyder, at OPM kan være en forhandler af HackingTeams overvågningsprogram, siger Raiu.

Dette er ikke det første tilfælde, hvor lovlig overvågning af malware er blevet brugt mod aktivister og dissidenter i lande, hvor ytringsfrihed er begrænset.

Der er tidligere rapporter fra FinFisher, et computerovervågningsværktøj udviklet af det britiske selskab Gamma Group International, der anvendes mod politiske aktivister i Bahrain.

Forskere fra Citizen Lab ved Universitetet i Toronto's Munk School of Global Affairs rapporterede også i oktober om, at HackingTeams RCS (DaVinc i) programmet blev brugt mod en menneskerettighedsaktivist fra De Forenede Arabiske Emirater.

Denne type program er en tikkende tidsbombe på grund af manglende regulering og ukontrolleret salg, sagde Raiu. Nogle lande har restriktioner for eksport af kryptografiske systemer, som teoretisk dækker sådanne programmer, men disse begrænsninger kan nemt omgåes ved at sælge softwaren via offshore-forhandlere, sagde han.

Det store problem er, at disse programmer ikke kan bruges kun af regeringer til at spionere på deres egne borgere, men kan også bruges af regeringer til at spionere på andre regeringer eller kan bruges til industriel og virksomhedsspionage, siger Raiu.

Når sådanne programmer bruges til at angribe store virksomheder eller bruges af cyberterrorister, hvem vil være ansvarlig for at softwaren falder i de forkerte hænder, spurgte Raiu.

Fra Kaspersky Labs perspektiv er der ingen tvivl om det: Disse programmer vil blive opdaget som malware uanset deres hensigt, sagde han.