以色列公司帮助政府针对记者、活动家使用0day漏洞和间谍软件

作为本周早些时候补丁星期二更新的一部分，微软修复的两个零日 Windows 漏洞被一家名为 Candiru 的以色列公司在一系列“精确攻击”中武器化，攻击了 100 多名记者、学者、活动家、和全球政治异见人士。

根据多伦多大学公民实验室发布的一份报告，该间谍软件供应商还被正式认定为商业监控公司，谷歌威胁分析小组 (TAG) 透露，该公司利用 Chrome 浏览器中的多个零日漏洞攻击位于亚美尼亚的受害者。 .

“ Candiru明显的广泛存在，及其监视技术对全球公民社会的使用，有力地提醒人们，雇佣军间谍软件行业包含许多参与者，并且容易被广泛滥用，”公民实验室的研究人员说。“此案再次表明，在没有任何国际保障措施或强有力的政府出口管制的情况下，间谍软件供应商将向经常滥用其服务的政府客户出售。”

微软公司代号为“Sourgum”的私营部门攻击者 (PSOA) 成立于 2014 年，据说是间谍工具包DevilsTongue 的开发商，该工具包专门出售给政府，能够感染和监控各种设备跨不同平台，包括 iPhone、Android、Mac、PC 和云帐户。

公民实验室表示，在从“西欧政治活跃的受害者”那里获得硬盘驱动器后，它能够恢复 Candiru 的 Windows 间谍软件的副本，然后对其进行逆向工程以识别两个前所未见的 Windows 零日漏洞利用漏洞被追踪为CVE-2021-31979 和 CVE-2021-33771，它们被用来在受害者机器上安装恶意软件。

感染链依赖于浏览器和 Windows 漏洞的混合，前者通过发送到消息应用程序（如 WhatsApp）上的目标的一次性 URL 提供服务。微软在 7 月 13 日解决了这两个权限提升漏洞，这使得攻击者能够逃脱浏览器沙箱并获得内核代码执行权。

入侵最终导致部署了 DevilsTongue，这是一个基于 C/C++ 的模块化后门，配备了许多功能，包括泄露文件、导出保存在加密消息应用 Signal 中的消息，以及从 Chrome、Internet Explorer、Firefox 窃取 cookie 和密码、Safari 和 Opera 浏览器。

微软对数字武器的分析还发现，它可以滥用从已登录的电子邮件和社交媒体帐户（如 Facebook、Twitter、Gmail、雅虎、Mail.ru、Odnoklassniki 和 Vkontakte）中窃取的 cookie 来收集信息、阅读受害者的消息、检索照片，甚至代表他们发送消息，从而允许威胁行为者直接从受感染用户的计算机发送恶意链接。

另外，公民实验室的报告还将搜索巨头周三披露的两个谷歌浏览器漏洞——CVE-2021-21166 和 CVE-2021-30551——与特拉维夫公司联系起来，并指出用于分发漏洞利用。

此外，还发现了与 Candiru 间谍软件基础设施相关的 764 个域，其中许多域伪装成倡导组织，例如大赦国际、黑人的命也是命运动、媒体公司和其他民间社会主题实体。他们控制的一些系统是在沙特阿拉伯、以色列、阿联酋、匈牙利和印度尼西亚运营的。

迄今为止，已经确定了 100 多名 SOURGUM 恶意软件的受害者，目标位于巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙（加泰罗尼亚）、英国、土耳其、亚美尼亚和新加坡。“这些攻击主要针对消费者账户，表明 Sourgum 的客户正在追求特定的个人，”微软数字安全部门总经理克里斯汀古德温说。

最新报告发布之际，TAG 研究人员 Maddie Stone 和 Clement Lecigne 指出，攻击者在其网络攻势中使用更多零日漏洞攻击的人数激增，部分原因是与 2010 年代初相比，更多的商业供应商出售零日漏洞。

“私营部门的攻击者是私人公司，它们以黑客即服务包的形式制造和销售网络武器，通常向世界各地的政府机构出售，以入侵目标的计算机、电话、网络基础设施和其他设备，”微软威胁情报中心 (MSTIC)在技​​术概要中表示。

“通过这些黑客包，通常政府机构选择目标并自己运行实际操作。这些公司使用的工具、策略和程序只会增加攻击的复杂性、规模和复杂性，”MSTIC 补充道。