Izraelski proizvođač softvera koristio ranjivosti Windowsa da bi klijentima omogućio špijuniranje

Vesti, 19.07.2021, 10:30 AM

Microsoft i Citizen Lab povezali su izraelsku kompaniju Candiru (Sourgum), koja proizvodi špijunski softver, sa novim Windows malverom nazvanim DevilsTongue koji je instaliran na uređaje žrtava pomoću sada već zakrpljenih Windows ranjivosti nultog dana.

„Candiru je tajanstvena izraelska kompanija koja špijunski softver prodaje isključivo vladama“, objasnio je Citizen Lab u svom izveštaju. „Njihov špijunski softver navodno može da zarazi i nadgleda iPhone, Android, Mac, PC i račune u oblaku.“

„Sourgum generalno prodaje sajber oružje koje omogućava njegovim kupcima, često vladinim agencijama širom sveta, da upadaju u računare, telefone, mrežnu infrastrukturu i uređaje njihovih ciljeva povezane sa internetom“, rekao je Microsoft.

Istraga je započela nakon što je Citizen Labs podelio uzorke malvera pronađene na sistemima jedne žrtve što je dovelo do otkrića CVE-2021-31979 i CVE-2021-33771, dve ranjivosti nultog dana koje je Microsoft popravio prošlog utorka.

Istraživači Microsofta otkrili su „najmanje 100 žrtava u Palestini, Izraelu, Iranu, Libanu, Jemenu, Španiji, Ujedinjenom Kraljevstvu, Turskoj, Jermeniji i Singapuru“, a među njima su „političari, aktivisti za ljudska prava, novinari, naučnici, radnici ambasada i politički disidenti “.

Citizen Lab je sa druge strane skenirajući internet povezao preko 750 veb sajtova sa Candiruovom špijunskom infrastrukturom.

Mnogi od ovih veb sajtova dizajnirani su da oponašaju veb sajtove medijskih kompanija i organizacija poput Amnesty Internationala i pokreta Black Lives Matter.

Napadači su isporučivali malver DevilsTongue na računare žrtava koristeći ranjivosti nekoliko popularnih pregledača i operativnog sistema Windows.

DevilsTongue omogućava onima koji ga koriste da prikupljaju i kradu fajlove žrtava, dešifruju i kradu poruke iz aplikacije Signal na Windows uređajima i kradu kolačiće i sačuvane lozinke iz veb pregledača Chrome, Internet Explorer, Firefox, Safari i Opera.

DevilsTongue može da koristi kolačiće koji se čuvaju na računaru žrtve za veb sajtove poput Facebooka, Twittera, Gmaila, Yahooa, Mail.ru, Odnoklassniki i Vkontakte za prikupljanje osetljivih informacija, čitanje poruka žrtava i eksfiltraciju fotografija.

DevilsTongue takođe može da šalje poruke u ime žrtve na nekim od ovih veb sajtova, tako da onima koji prime poruke one izgledaju kao da ih je žrtva poslala. “Mogućnost slanja poruka može biti upotrebljena za slanje zlonamernih linkova većem broju žrtava.”

Ovo bi moglo omogućiti napadačima koji koriste Candiru špijunski softver da šalju zlonamerne linkove ili poruke sa uređaja žrtava, što dokazivanje ko je poslao poruku čini gotovo nemogućim.

„Ovi napadi uglavnom su ciljali korisničke račune, što ukazuje na to da su kupci Sourguma progonili određene pojedince“, rekla je Kristin Gudvin, direktorka Microsoftove jedinice za digitalnu bezbednost, dodajući da će zaštita koja je isporučena prošle nedelje “sprečiti rad alata Sourgum na računarima koji su već zaraženi ali i nove infekcije na ažuriranim računarima” i onima koji koriste Microsoft Defender Antivirus i Microsoft Defender.