以色列公司帮助政府针对记者、活动家使用0day漏洞和间谍软件

作为本周早些时候补丁星期二更新的一部分,微软修复的两个零日 Windows 漏洞被一家名为 Candiru 的以色列公司在一系列“精确攻击”中武器化,攻击了 100 多名记者、学者、活动家、和全球政治异见人士。

根据多伦多大学公民实验室发布的一份报告,该间谍软件供应商还被正式认定为商业监控公司,谷歌威胁分析小组 (TAG) 透露,该公司利用 Chrome 浏览器中的多个零日漏洞攻击位于亚美尼亚的受害者。 .

“ Candiru明显的广泛存在,及其监视技术对全球公民社会的使用,有力地提醒人们,雇佣军间谍软件行业包含许多参与者,并且容易被广泛滥用,”公民实验室的研究人员说。“此案再次表明,在没有任何国际保障措施或强有力的政府出口管制的情况下,间谍软件供应商将向经常滥用其服务的政府客户出售。”

微软公司代号为“Sourgum”的私营部门攻击者 (PSOA) 成立于 2014 年,据说是间谍工具包DevilsTongue 的开发商,该工具包专门出售给政府,能够感染和监控各种设备跨不同平台,包括 iPhone、Android、Mac、PC 和云帐户。

公民实验室表示,在从“西欧政治活跃的受害者”那里获得硬盘驱动器后,它能够恢复 Candiru 的 Windows 间谍软件的副本,然后对其进行逆向工程以识别两个前所未见的 Windows 零日漏洞利用漏洞被追踪为CVE-2021-31979 和 CVE-2021-33771,它们被用来在受害者机器上安装恶意软件。

感染链依赖于浏览器和 Windows 漏洞的混合,前者通过发送到消息应用程序(如 WhatsApp)上的目标的一次性 URL 提供服务。微软在 7 月 13 日解决了这两个权限提升漏洞,这使得攻击者能够逃脱浏览器沙箱并获得内核代码执行权。

入侵最终导致部署了 DevilsTongue,这是一个基于 C/C++ 的模块化后门,配备了许多功能,包括泄露文件、导出保存在加密消息应用 Signal 中的消息,以及从 Chrome、Internet Explorer、Firefox 窃取 cookie 和密码、Safari 和 Opera 浏览器。

微软对数字武器的分析还发现,它可以滥用从已登录的电子邮件和社交媒体帐户(如 Facebook、Twitter、Gmail、雅虎、Mail.ru、Odnoklassniki 和 Vkontakte)中窃取的 cookie 来收集信息、阅读受害者的消息、检索照片,甚至代表他们发送消息,从而允许威胁行为者直接从受感染用户的计算机发送恶意链接。

另外,公民实验室的报告还将搜索巨头周三披露的两个谷歌浏览器漏洞——CVE-2021-21166 和 CVE-2021-30551——与特拉维夫公司联系起来,并指出用于分发漏洞利用。

此外,还发现了与 Candiru 间谍软件基础设施相关的 764 个域,其中许多域伪装成倡导组织,例如大赦国际、黑人的命也是命运动、媒体公司和其他民间社会主题实体。他们控制的一些系统是在沙特阿拉伯、以色列、阿联酋、匈牙利和印度尼西亚运营的。

迄今为止,已经确定了 100 多名 SOURGUM 恶意软件的受害者,目标位于巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙(加泰罗尼亚)、英国、土耳其、亚美尼亚和新加坡。“这些攻击主要针对消费者账户,表明 Sourgum 的客户正在追求特定的个人,”微软数字安全部门总经理克里斯汀古德温说。

最新报告发布之际,TAG 研究人员 Maddie Stone 和 Clement Lecigne 指出,攻击者在其网络攻势中使用更多零日漏洞攻击的人数激增,部分原因是与 2010 年代初相比,更多的商业供应商出售零日漏洞。

“私营部门的攻击者是私人公司,它们以黑客即服务包的形式制造和销售网络武器,通常向世界各地的政府机构出售,以入侵目标的计算机、电话、网络基础设施和其他设备,”微软威胁情报中心 (MSTIC)在技​​术概要中表示。

“通过这些黑客包,通常政府机构选择目标并自己运行实际操作。这些公司使用的工具、策略和程序只会增加攻击的复杂性、规模和复杂性,”MSTIC 补充道。