חוקרים: תוכנות זדוניות מעקב מופץ באמצעות Flash Player לנצל

ביום שלישי, חוקרים מעבדה קספרסקי גילה מידע נוסף על האופן שבו הם גילו לראשונה את הפגיעות. "המנצלים של CVE-2013-0633 נצפו תוך כדי מעקב אחר תוכנות זדוניות" חוקיות ", שנוצרו על ידי חברת האיטלקית HackingTeam", אמר גולובאנוב בבלוג.

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות מ- Windows PC]

HackingTeam מבוססת במילאנו, אבל יש גם נוכחות אנאפוליס, מרילנד, וסינגפור. על פי אתר האינטרנט שלה, החברה מפתחת תוכנית מעקב ממוחשבת הנקראת Remote Control System (RCS), שנמכרת לסוכנויות אכיפת חוק וסוכנויות מודיעין.

"כאן ב- HackingTeam אנו מאמינים כי פשע לחימה צריך להיות קל: אנו מספקים יעילות, "אומר קוסטין ריו, מנהל קספרסקי, מנהל המחקר של חברת קספרסקי, שמטרתו לעקוב אחר ה- RCS של חברת HackingTeam - הידוע גם בשם DaVinci - מאז אוגוסט 2012, צוות המחקר והמחקר העולמי של Lab.

RCS / DaVinci יכול להקליט שיחות טקסט ושמע מתוכניות צ'אט שונות, כולל סקייפ, Yahoo Messenger, Google Talk ו- MSN Messenger; יכול לגנוב את היסטוריית הגלישה באינטרנט; יכול להפעיל את המיקרופון ואת מצלמת האינטרנט של המחשב; יכול לגנוב אישורים המאוחסנים בדפדפנים ובתוכניות אחרות, ועוד הרבה יותר, כך אמר. חוקרים מאוניברסיטת קספרסקי זיהו עד כה כ -50 אירועים, שבהם משתמשים ב- DaVinci נגד משתמשי מחשב ממדינות שונות, כולל איטליה, מקסיקו, קזחסטן, ערב הסעודית, טורקיה, ארגנטינה, אלג'יריה, מאלי, איראן, הודו ואתיופיה. ההתקפות האחרונות שניצלו את הפגיעות של CVE-2013-0633 מכוונות לפעילים ממדינה במזרח התיכון, אמר ריו. עם זאת, הוא סירב לנקוב בשמה של המדינה כדי להימנע מחשיפת מידע שעלול לגרום לקורבנות להיות מזוהים.

לא ברור אם לנצל את יום אפס עבור CVE-2013-0633 נמכרה על ידי HackingTeam יחד עם תוכנות זדוניות מעקב או אם מי שרכש את התוכנית קיבל את הניצול ממקור אחר, אמר Raiu.

HackingTeam לא הגיב מיד לבקשה להערה.

בהתקפות קודמות שזוהו על ידי מעבדת קספרסקי, Davinci הופץ באמצעות מנצל עבור Flash Player פגיעויות שהתגלו על ידי חברת המחקר הפגיעות הצרפתית Vupen, אמר Ruu.

Vupen מודה בגלוי במכירת אפס יום מנצל, אך טוען כי לקוחותיה הם רשויות הממשלה ואכיפת החוק ממדינות שהם חברים או שותפים של נאט"ו, ANZUS או ASEAN ארגונים גיאופוליטיים.

המתקין DaVinci ירד על מחשבים על ידי CVE-2013-0633 לנצל בשלב הראשון של ההתקפה נחתם עם בעיה חוקית אישור דיגיטלי ד על ידי GlobalSign לאדם בשם Kamel Abed, אמר Raiu.

GlobalSign לא הגיב מיד לבקשה לקבלת מידע נוסף על אישור זה ואת מעמדה הנוכחי.זה עולה בקנה אחד עם התקפות DaVinci בעבר שבו טפטפת היה גם חתום דיגיטלית, אמר Raiu. אישורים קודמים שנרשמו לחתום על דאווינצ'י נרשמו לסאבטורה מק'יארלה וחברה בשם OPM Security הרשומה בפנמה, לפי אתר האינטרנט שלה, OPM Security מוכרת מוצר בשם Power Spy תמורת 200 אירו (US $ 267) תחת את הכותרת "ריגול על בעלך, אשתו, ילדים או עובדים." רשימת התכונות של Power Spy דומה מאוד לרשימת התכונות של DaVinci, כלומר OPM עשוי להיות משווק של תוכנית מעקב של HackingTeam, אמר Raiu. לא המקרה הראשון שבו נעשה שימוש בתוכנה זדונית חוקית נגד פעילים ומורדים במדינות שבהן הדיבור החופשי מוגבל.

יש דיווחים קודמים של FinFisher, ערכת כלים למעקב ממוחשב שפותחה על ידי חברת Gamma Group International, שבסיסה בבריטניה פעילים פוליטיים בבחרין.

חוקרים ממעבדת האזרחים של אוניברסיטת טורונטו בבית הספר לעניינים עולמיים של טורונטו דיווחו גם באוקטובר כי ה- RCS של HackingTeam (DaVinc 1) תוכנית זו שימשה נגד פעיל זכויות האדם של איחוד האמירויות הערביות.

סוג זה של תוכנית הוא פצצת זמן מתקתקת בגלל חוסר תקנה ומכירה בלתי מבוקרת, אמר Raiu. במדינות מסוימות יש הגבלות על ייצוא של מערכות הצפנה, אשר באופן תיאורטי לכסות תוכניות כאלה, אבל הגבלות אלה ניתן לעקוף בקלות על ידי מכירת התוכנה באמצעות משווקים מהחוף, הוא אמר. הבעיה הגדולה היא כי תוכניות אלה ניתן להשתמש לא רק על ידי ממשלות לרגל על ​​אזרחיהן, אבל יכול לשמש גם על ידי ממשלות לרגל על ​​ממשלות אחרות או יכול לשמש ריגול תעשייתי תעשייתי, אמר Raiu.

כאשר תוכניות כאלה משמשים לתקוף חברות גדולות או משמשים על ידי סייבר-טרוריסטים, מי יהיה אחראי לתוכנה לידיים הלא-נכונות, שאל רייו. "[

] מנקודת המבט של מעבדת קספרסקי, אין ספק: התוכנות הללו יזוהו כתוכנות זדוניות, ללא קשר למטרה המיועדת שלהן.