Araştırmacılar: Flash Player'dan yararlanan gözetim kötü amaçlı yazılımları

Daha önce bilinmeyen bir Flash Player savunmasızlığını sömüren saldırılara karşı Orta Doğu'daki politik aktivistler hedef alındı. güvenlik güçleri tarafından tasarlanan ve kasıtlı kullanım için tasarlanan yasal müdahalesi programı olarak adlandırılan antivirüs satıcısı Kaspersky Lab'den güvenlik araştırmacıları Salı günü geçiyor.

Geçen Perşembe günü, Adobe halihazırda var olan iki sıfır-gün-arası güvenlik açığını ele almak için Flash Player için bir acil durum güncellemesi yayınladı aktif ataklarda kullanılır. Güvenlik danışmanı zamanında, Adobe, Kaspersky Lab'den Sergey Golovanov ve Alexander Polyakov'u, CVE-2013-0633 olarak tanımlanan iki güvenlik açığından birini bildirdiği için kullandı.

Salı günü, Kaspersky Lab araştırmacıları daha fazla bilgi verdi. Bu güvenlik açığını ilk olarak nasıl keşfettikleri hakkında. Golovanov, bir blog yazısında yaptığı açıklamada, “İtalyan şirket HackingTeam tarafından oluşturulan 'yasal' gözetim kötü amaçlı yazılım zararlı yazılımının izlenmesi sırasında CVE-2013-0633 için yapılan istismarlar gözlenmiştir.

[Daha fazla okuma: Kötü amaçlı yazılım nasıl kaldırılır? Windows PC'niz]

HackingTeam, Milano'da bulunuyor ancak aynı zamanda Annapolis, Maryland ve Singapur'da da var. Şirket web sitesine göre, yasa uygulayıcılarına ve istihbarat kuruluşlarına satılan Uzaktan Kumanda Sistemi (RCS) adlı bir bilgisayar izleme programı geliştirmektedir.

“HackingTeam'de mücadele suçunun kolay olması gerektiğine inanıyoruz: etkili ve kolay Dünya çapında yasa uygulayıcıları ve istihbarat toplulukları için kullanımlı saldırı teknolojisi, ”diyor web sitesinde.

Kaspersky Lab, Kaspersky Direktörü Costin Raiu, HackingTeam'in DaVinci olarak da bilinen RCS'yi Ağustos 2012'den beri izliyor. Lab'in küresel araştırma ve analiz ekibi.

RCS / DaVinci, Skype, Yahoo Messenger, Google Talk ve MSN Messenger gibi farklı sohbet programlarından metin ve sesli sohbetler kaydedebilir; Web tarama geçmişini çalabilir; Bir bilgisayarın mikrofonunu ve web kamerasını açabilir; tarayıcılarda ve diğer programlarda saklanan kimlik bilgilerini çalabileceğini söyledi.

Kaspersky araştırmacıları şimdiye kadar İtalya, Meksika, Kazakistan, Suudi Arabistan dahil olmak üzere çeşitli ülkelerden bilgisayar kullanıcılarına karşı DaVinci'nin kullanılmasını içeren yaklaşık 50 olay tespit ettiler. Türkiye, Arjantin, Cezayir, Mali, İran, Hindistan ve Etiyopya.

CVE-2013-0633 savunmasızlığını sömüren son saldırılar, Ortadoğu'daki bir ülkeden aktivistleri hedef aldı. Ancak, kurbanların tespit edilmesine neden olabilecek bilgilerin açığa çıkmasını önlemek için ülkeye isim vermeyi reddetti.

CVE-2013-0633 için sıfır-gün istismarının HackingTeam tarafından gözetim kötü amaçlı yazılımla birlikte satılıp satılmadığı net değil. ya da programı satın alan kişi, istismarı farklı bir kaynaktan aldıysa, dedi.

HackingTeam, yorum isteğine hemen cevap vermedi.

Kaspersky Lab tarafından tespit edilen önceki saldırılarda, DaVinci Flash Player için istismar yoluyla dağıtıldı. Fransız savunmasızlık araştırma şirketi Vupen tarafından keşfedilen güvenlik açıkları, Raiu şöyle dedi:

Vupen, sıfır-gün açıklarını satmayı açıkça kabul ediyor, ancak müşterilerinin NATO üyesi ya da NATO üyesi olan ülkelerden devlet ve kolluk kuvvetleri olduğunu iddia ediyor. ya da ASEAN jeopolitik örgütleri.

DaVinci yükleyicisinin bilgisayarlara attığı CVE-2013-0633 saldırısının ilk aşamasında saldırının geçerli bir dijital sertifika sorunuyla imzalanması GlobalSign tarafından Kamel Abed adında bir şahsa, Raiu şöyle dedi:

GlobalSign, bu sertifika ve mevcut durumu hakkında daha fazla bilgi talebi için hemen yanıt vermedi.

Raiu, bu, damlalığın da dijital olarak imzalandığı geçmiş DaVinci saldırılarıyla tutarlıdır. DaVinci damlalıklarını imzalamak için kullanılan önceki sertifikalar bir Salvetore Macchiarella'ya kaydedildi ve Panama'da kayıtlı OPM Security adında bir şirket kaydedildi.

OPM Güvenlik, web sitesine göre Power Spy adlı bir ürünü 200 € (267 ABD $) altında satıyor. “kocanız, eşiniz, çocuklarınız veya çalışanlarınız üzerinde casusluk yapmak” başlıklı başlık. Power Spy'nin özellik listesi DaVinci'nin özellik listesine çok benziyor. Bu da OPM'in HackingTeam'in gözetim programının bir satıcısı olabileceği anlamına geliyor, dedi.

özgür konuşmaların sınırlı olduğu ülkelerde aktivistlere ve muhaliflere karşı yasal gözetim kötü amaçlı yazılımın kullanıldığı ilk durum değil.

İngiltere merkezli Gamma Group International şirketi tarafından geliştirilen bir bilgisayar izleme aracı olan FinFisher'ın daha önceki raporları var. Bahreyn'deki siyasal aktivistler.

Toronto'nun Munk School of Global Affairs Üniversitesi'ndeki Citizen Laboratuvarı'ndan araştırmacılar Ekim ayında HackingTeam'in RCS'sini (DaVinc) bildirdi. i) Program, Birleşik Arap Emirlikleri'nden bir insan hakları aktivistine karşı kullanıldı.

Bu tür bir program, yönetmelik ve kontrolsüz satış eksikliği nedeniyle bir saatli bombadır, dedi Raiu. Bazı ülkelerin kriptografik sistemlerin ihracı üzerinde kısıtlamalar var, ki bu teorik olarak bu tür programları kapsayacak, ancak bu kısıtlamalar offshore satıcılar aracılığıyla yazılımı satarak kolayca atlanabiliyor, dedi.

En büyük sorun bu programların kullanılmamasıdır. Sadece hükümetler tarafından kendi vatandaşlarına casusluk yapmak, ancak hükümetler tarafından diğer hükümetlere casusluk yapmak için ya da endüstriyel ve kurumsal casusluk için kullanılabileceğini de belirten Raiu, şunları söyledi:

Bu tür programlar büyük şirketlere saldırmak için kullanıldığında veya Yanlış ellere düşen yazılımdan sorumlu olacak cyberterrorists tarafından, Raiu sordu.

Kaspersky Lab'in bakış açısına göre, onunla ilgili hiçbir soru yok: Bu programlar, amaçlarına bakılmaksızın kötü amaçlı yazılım olarak algılanacak, dedi.