Ισραηλινή εταιρεία βοηθούσε κυβερνήσεις να στοχεύσουν δημοσιογράφους και ακτιβιστές με 0 - Day και spyware επιθέσεις
Δύο από τα ελαττώματα zero-day διορθώθηκαν με το patch της Τρίτης, νωρίτερα μέσα στην εβδομάδα τα οποία χρησιμοποιήθηκαν ως όπλο από μια ισραηλινή εταιρεία με την ονομασία Candiru για να κάνει μια σειρά “επιθέσεων ακριβείας” και να χακάρουν περισσότερους από 100 δημοσιογράφους, ακαδημαϊκούς, ακτιβιστές, και πολιτικοί αντιφρονούντες παγκοσμίως.
Το τμήμα Threat Analysis Group (TAG) της Google, αποκάλυψε ότι ο διαμοιραστής του spyware, εκμεταλλεύονταν πολλές από τις ευπάθειες zero-day του Chrome Αρμένιους χρήστες, σύμφωνα με μια έκθεση που δημοσιεύθηκε από το Πανεπιστήμιο του Τορόντο Citizen Lab.
“Η φαινομενικά εκτεταμένη παρουσία του Candiru και η χρήση της τεχνολογίας παρακολούθησης κατά της παγκόσμιας κοινωνίας, είναι μια ισχυρή υπενθύμιση ότι η μισθοφόρος βιομηχανία spyware περιέχει πολλούς συνεργάτες και στοχεύει σε παγκόσμια κλίμακα τα θύματά της”, ανέφεραν οι ερευνητές του Citizen Lab. “Αυτή η υπόθεση αποδεικνύει, για άλλη μια φορά, ότι η έλλειψη διεθνών δικλείδων ασφαλείας ή ισχυρών κυβερνητικών ελέγχων, οι διαμοιραστές προγραμμάτων υποκλοπής spyware θα πουλούν σε κυβερνητικούς πελάτες και θα εκμεταλλεύονται παράνομα τις υπηρεσίες τους.
Ο private-sector offensive actor (PSOA) ιδρύθηκε το 2014 και με το κωδικοποιημένο όνομα “Sourgum” που του απέδωσε η Microsoft – λέγεται ότι είναι ο προγραμματιστής ενός κατασκοπευτικού toolkit που ονομάζεται DevilsTongue και πωλείται αποκλειστικά σε κυβερνήσεις ανώ είναι σε θέση να μολύνει και να παρακολουθεί ένα ευρύ φάσμα συσκευών σε διαφορετικές πλατφόρμες, συμπεριλαμβανομένων iPhone, Android, Mac, υπολογιστών και λογαριασμών cloud.
Το Citizen Lab δήλωσε ότι μπόρεσε να ανακτήσει ένα αντίγραφο του spyware των Windows του Candiru αφού έλαβε έναν σκληρό δίσκο από «ένα ενεργό θύμα στη Δυτική Ευρώπη», το οποίο στη συνέχεια με reverse engineere εντοπίστηκαν δύο πρωτοφανείς ευπάθειες zero-day των Windows με την ονομασία CVE-2021-31979 και CVE-2021-33771 αντίστοιχα που χρησιμοποιήθηκαν για την εγκατάσταση malware στα θύματά τους.
Η τρόπος μόλυνσης βασίστηκε σε ένα συνδυασμό εκμεταλλεύσεων του προγράμματος περιήγησης και των Windows, με τον επιτιθέμενο να στέλνει διευθύνσεις URL μίας χρήσης σε εφαρμογές ανταλλαγής μηνυμάτων όπως το WhatsApp. Στις 13 Ιουλίου, η Microsoft αντιμετώπισε και τα δύο ελαττώματα κλιμάκωσης προνομίων, τα οποία επιτρέπουν σε κάποιον να ξεφύγει από τα sandbox του προγράμματος περιήγησης και να αποκτήσει πρόσβαση στον κώδικα του πυρήνα.
Οι παρεμβολές κορυφώθηκαν με την ανάπτυξη του DevilsTongue, ενός αρθρωτού backdoor βασισμένο σε C/C ++ το οποίο εξοπλίζεται με έναν αριθμό δυνατοτήτων, συμπεριλαμβανομένου εξαγωγής αρχείων, εξαγωγή μηνυμάτων που είναι αποθηκευμένα στην κρυπτογραφημένη εφαρμογή Signal και κλοπή cookie και κωδικών πρόσβασης από Chrome, Internet Explorer, Firefox , Safari και Opera.
Η ανάλυση της Microsoft για το ψηφιακό όπλο διαπίστωσε επίσης ότι θα μπορούσε να καταχραστεί τα κλεμμένα cookie από συνδεδεμένους λογαριασμούς email και κοινωνικών μέσων όπως Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki και Vkontakte για να συλλέξει πληροφορίες, να διαβάσει τα μηνύματα των θυμάτων, να ανακτήσει φωτογραφίες και ακόμη να στείλετε μηνύματα για λογαριασμό τους, επιτρέποντας έτσι στον παράνομο εντολέα να στείλει κακόβουλους συνδέσμους απευθείας από τον υπολογιστή ενός παραβιασμένου χρήστη.
Πάνω από 100 θύματα του κακόβουλου λογισμικού SOURGUM έχουν εντοπιστεί μέχρι σήμερα, τα οποία βρίσονται σε Παλαιστίνη, σε Ισραήλ, το Ιράν, το Λίβανο, την Υεμένη, την Ισπανία (Καταλονία), το Ηνωμένο Βασίλειο, την Τουρκία, την Αρμενία και τη Σιγκαπούρη. “Αυτές οι επιθέσεις στοχεύουν σε μεγάλο βαθμό λογαριασμούς καταναλωτών, υποδεικνύοντας ότι οι πελάτες της Sourgum επιδιώκουν συγκεκριμένα άτομα”, δήλωσε ο Γενικός Διευθυντής της Μονάδας Ψηφιακής Ασφάλειας της Microsoft, Cristin Goodwin.
Η τελευταία έκθεση έρχεται καθώς οι ερευνητές της TAG, Maddie Stone και Clement Lecigne, καθώς παρατήρησαν αύξηση στις επιθέσεις που χρησιμοποιούσαν περισσότερο ευπάθειες zero – day στις κυβερνοεπιθέσεις τους και τροφοδοτούνται εν μέρει από περισσότερους προμηθευτές που πωλούσαν πρόσβαση σε zero – day ευπάθειες από ό,τι στις αρχές του 2010.