Forskere: Overvåkingsprogramvare distribuert via Flash Player utnytte

Politiske aktivister fra Midt-Østen ble målrettet mot angrep som utnyttet et tidligere ukjent Flash Player-sårbarhet for å installere en so- Sikkerhetsforskere fra antivirusleverandøren Kaspersky Lab sa tirsdag.

I går utgav Adobe en beredskapsoppdatering for Flash Player for å kunne ta opp to null-dag-updaterte sårbarheter som allerede var i bruk brukes i aktive angrep. I sin sikkerhetsrådgivende på den tiden, krediterte Adobe Sergey Golovanov og Alexander Polyakov fra Kaspersky Lab for å rapportere en av de to sårbarhetene, nemlig den som ble identifisert som CVE-2013-0633.

På tirsdag avslørte Kaspersky Lab-forskerne mer informasjon om hvordan de opprinnelig oppdaget sikkerhetsproblemet. "Utnyttelsene for CVE-2013-0633 har blitt observert under overvåking av den såkalte" lovlige "overvåkingsprogramvaren laget av det italienske firmaet HackingTeam," sier Golovanov i et blogginnlegg.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows PC]

HackingTeam er basert i Milano, men har også en tilstedeværelse i Annapolis, Maryland og Singapore. Ifølge nettsiden utvikler selskapet et datatilsynsprogram som heter Remote Control System (RCS), som selges til politimyndigheter og etterretningstjenester.

"Her i HackingTeam mener vi at kampkriminalitet skal være enkelt: Vi gir effektiv, enkel Kaspersky Lab har overvåket HackingTeams RCS-også kjent som DaVinci siden August 2012, sier Costin Raiu, direktør for Kaspersky. Labs globale forsknings- og analyseteam.

RCS / DaVinci kan ta opp tekst- og lydsamtaler fra forskjellige chatprogrammer, inkludert Skype, Yahoo Messenger, Google Talk og MSN Messenger. kan stjele nettleserhistorikk; kan slå på datamaskinens mikrofon og webkamera; Kaspersky-forskerne har oppdaget rundt 50 hendelser så langt som involverte DaVinci som brukes mot brukere av datamaskiner fra forskjellige land, inkludert Italia, Mexico, Kasakhstan, Saudi-Arabia, Tyrkia, Argentina, Algerie, Mali, Iran, India og Etiopia.

De siste angrepene som utnyttet CVE-2013-0633 sårbarhetsmålrettede aktivister fra et land i Midtøsten, sa Raiu. Han nektet imidlertid å nevne landet for å unngå å utsette opplysninger som kan føre til at ofrene ble identifisert.

Det er ikke klart om nulldagens utnyttelse for CVE-2013-0633 ble solgt av HackingTeam sammen med overvåkingsprogramvaren eller hvis den som kjøpte programmet, oppnådde utnyttelsen fra en annen kilde, sa Raiu.

HackingTeam reagerte ikke umiddelbart på en forespørsel om kommentar.

I tidligere angrep registrert av Kaspersky Lab, ble DaVinci distribuert via utnyttelser for Flash Player Sårbarheter som ble oppdaget av fransk sårbarhetsforskningsfirma Vupen, sa Raiu.

Vupen aksepterer åpenbart å selge nulldagseffekter, men hevder at kundene er regjerings- og rettshåndhevelsesorganer fra land som er medlemmer eller partnere av NATO, ANZUS eller ASEAN-geopolitiske organisasjoner. DaVinci-installatøren falt på datamaskiner ved CVE-2013-0633-utnyttelsen i første fase av angrepet ble signert med et gyldig digitalt sertifikatproblem d av GlobalSign til en person som heter Kamel Abed, sa Raiu.

GlobalSign reagerte ikke umiddelbart på en forespørsel om mer informasjon om dette sertifikatet og dets nåværende status.

Dette stemmer overens med tidligere DaVinci-angrep der dropperen også ble digitalt signert, sa Raiu. Tidligere sertifikater som ble brukt til å signere DaVinci droppere ble registrert til en Salvetore Macchiarella og et selskap kalt OPM Security registrert i Panama, sa han.

Ifølge sitt nettsted selger OPM Security et produkt som heter Power Spy for € 200 (US $ 267) under Overskriften "Spionering på din mann, kone, barn eller ansatte." Power Spys funksjonsliste ligner mye på listen over DaVinci, noe som betyr at OPM kan være en forhandler av HackingTeams overvåkingsprogram, sier Raiu.

Dette er ikke det første tilfellet når lovlig overvåking skadelig programvare har blitt brukt mot aktivister og dissidenter i land der det er begrenset begrensning.

Det finnes tidligere rapporter fra FinFisher, et datatilsynsverktøy utviklet av britisk selskap Gamma Group International, som brukes mot politiske aktivister i Bahrain.

Forskere fra Citizen Lab ved Universitetet i Torontos Munk School of Global Affairs rapporterte også i oktober at HackingTeams RCS (DaVinc i) programmet ble brukt mot en menneskerettighetsaktivist fra De forente arabiske emirater.

Denne typen program er en tikkende bombe på grunn av manglende regulering og ukontrollert salg, sa Raiu. Noen land har restriksjoner på eksport av kryptografiske systemer, som teoretisk dekker slike programmer, men disse begrensningene kan lett omgåes ved å selge programvaren via offshore-forhandlere, sa han.

Det store problemet er at disse programmene ikke kan brukes bare av regjeringer å spionere på sine egne borgere, men kan også brukes av regjeringer til å spionere på andre regjeringer eller kan brukes til industriell og bedriftsspionasje, sier Raiu.

Når slike programmer brukes til å angripe store selskaper eller brukes av cyberterrorists, hvem vil være ansvarlig for at programvaren faller i feil hender, spurte Raiu.

Fra Kaspersky Labs perspektiv er det ingen tvil om det: Disse programmene vil bli oppdaget som skadelig programvare uansett hva de har til hensikt, sa han.