Forscher: Über Flash Player verteilte Surveillance-Malware Exploit

Politische Aktivisten aus dem Nahen Osten wurden bei Angriffen angegriffen, bei denen eine zuvor unbekannte Flash Player-Schwachstelle ausgenutzt wurde. Lawrence Interception-Programm für Strafverfolgungsbehörden, sagte der Sicherheitsspezialist des Antivirus-Herstellers Kaspersky Lab am Dienstag.

Am vergangenen Donnerstag veröffentlichte Adobe ein Notfall-Update für Flash Player, um zwei Zero-Day-Unpatched-Schwachstellen zu behandeln in aktiven Angriffen verwendet. In seiner damaligen Sicherheitsberichterstattung schrieb Adobe Sergey Golovanov und Alexander Polyakov von Kaspersky Lab für die Meldung einer der beiden Sicherheitslücken CVE-2013-0633 zu.

Am Dienstag enthüllten die Forscher von Kaspersky Lab weitere Informationen darüber, wie sie die Sicherheitslücke ursprünglich entdeckt haben. "Die Exploits für CVE-2013-0633 wurden beobachtet, während die so genannte 'legale' Überwachungs-Malware des italienischen Unternehmens HackingTeam beobachtet wurde", sagte Golovanov in einem Blogbeitrag.

[Weitere Informationen: So entfernen Sie Malware aus Ihr Windows PC]

HackingTeam hat seinen Sitz in Mailand, ist aber auch in Annapolis, Maryland und Singapur vertreten. Laut seiner Website entwickelt das Unternehmen ein Computerüberwachungsprogramm namens Remote Control System (RCS), das an Strafverfolgungsbehörden und Geheimdienste verkauft wird.

"Wir bei HackingTeam glauben, dass die Bekämpfung von Verbrechen einfach sein sollte: Wir bieten effektive, einfache ", um die Offensive-Technologie für die weltweiten Strafverfolgungs- und Nachrichtendienste zu nutzen", sagt das Unternehmen auf seiner Website.

Kaspersky Lab überwacht das RCS von HackingTeam seit August 2012, sagte Costin Raiu, Direktor von Kaspersky Labs globales Forschungs- und Analyseteam.

RCS / DaVinci kann Text- und Audiogespräche aus verschiedenen Chat-Programmen wie Skype, Yahoo Messenger, Google Talk und MSN Messenger aufnehmen; kann Web-Browser-Verlauf stehlen; kann das Mikrofon und die Webcam eines Computers einschalten; "

Kaspersky-Forscher haben bisher rund 50 Vorfälle entdeckt, bei denen DaVinci gegen Computerbenutzer aus verschiedenen Ländern wie Italien, Mexiko, Kasachstan, Saudi-Arabien, … verwendet wurde. Türkei, Argentinien, Algerien, Mali, Iran, Indien und Äthiopien.

Die jüngsten Angriffe, bei denen die Sicherheitslücke CVE-2013-0633 ausgenutzt wurde, zielen auf Aktivisten aus einem Land im Nahen Osten ab, sagte Raiu. Er lehnte es jedoch ab, das Land zu benennen, um keine Informationen preiszugeben, die zur Identifizierung der Opfer führen könnten.

Es ist nicht klar, ob der Zero-Day-Exploit für CVE-2013-0633 zusammen mit der Überwachungs-Malware von HackingTeam verkauft wurde oder, wer auch immer das Programm gekauft hat, hat den Exploit von einer anderen Quelle erhalten, sagte Raiu.

HackingTeam reagierte nicht sofort auf eine Anfrage nach einem Kommentar.

Bei früheren Angriffen von Kaspersky Lab wurde DaVinci über Exploits für Flash Player verbreitet Sicherheitslücken, die von der französischen Vulnerabilitätsforschungsfirma Vupen entdeckt wurden, sagte Raiu.

Vupen gibt offen zu, Zero-Day-Exploits zu verkaufen, behauptet aber, dass seine Kunden Regierungs- und Strafverfolgungsbehörden aus Ländern sind, die Mitglieder oder Partner der NATO, ANZUS sind oder geopolitische Organisationen der ASEAN.

Der DaVinci-Installer, der auf Computern durch den Exploit CVE-2013-0633 in der ersten Phase des Angriffs fallen gelassen wurde, wurde mit einer gültigen digitalen Zertifikatsausgabe signiert d von GlobalSign an eine Person namens Kamel Abed, sagte Raiu.

GlobalSign hat nicht sofort auf eine Anfrage nach weiteren Informationen über dieses Zertifikat und seinen aktuellen Status geantwortet.

Dies steht im Einklang mit früheren DaVinci-Angriffen, bei denen der Dropper auch digital signiert wurde, sagte Raiu. Frühere Zertifikate, die zum Signieren von DaVinci-Droppern verwendet wurden, seien in einem Salvetore Macchiarella und einem in Panama registrierten Unternehmen namens OPM Security registriert.

Laut seiner Website verkauft OPM Security ein Produkt namens Power Spy für € 200 (US $ 267) unter Die Schlagzeile "spioniert Ihren Ehemann, Ehefrau, Kinder oder Angestellten aus." Power Spys Merkmalsliste ist der Merkmalsliste von DaVinci sehr ähnlich, was bedeutet, dass OPM ein Wiederverkäufer des Überwachungsprogramms von HackingTeam sein könnte, sagte Raiu.

Dies ist Dies ist nicht der erste Fall, in dem rechtmäßige Überwachungs-Malware gegen Aktivisten und Dissidenten in Ländern verwendet wurde, in denen die Redefreiheit eingeschränkt ist.

Es gibt frühere Berichte über FinFisher, ein Tool zur Computerüberwachung, das von der britischen Firma Gamma Group International entwickelt wurde politische Aktivisten in Bahrain.

Forscher vom Citizen Lab an der Munk School of Global Affairs der Universität von Toronto haben bereits im Oktober darüber berichtet, dass das RCS von HackingTeam (DaVinc i) Programm wurde gegen einen Menschenrechtsaktivisten aus den Vereinigten Arabischen Emiraten eingesetzt.

Diese Art von Programm ist eine tickende Zeitbombe wegen der fehlenden Regulierung und des unkontrollierten Verkaufs, sagte Raiu. Einige Länder haben Beschränkungen für den Export von kryptographischen Systemen, die theoretisch solche Programme abdecken würden, aber diese Beschränkungen können leicht umgangen werden, indem die Software über Offshore-Wiederverkäufer verkauft wird.

Das große Problem ist, dass diese Programme nicht genutzt werden können Nur durch Regierungen, die ihre eigenen Bürger ausspionieren, aber auch von Regierungen benutzt werden können, um andere Regierungen auszuspionieren oder für Industrie- und Unternehmensspionage eingesetzt zu werden, sagte Raiu.

Bei solchen Programmen werden große Firmen angegriffen oder benutzt von Cyber ​​Terroristen, die dafür verantwortlich sein werden, dass die Software in die falschen Hände gerät, fragte Raiu.

Aus der Perspektive von Kaspersky Lab ist es keine Frage: Diese Programme werden unabhängig vom beabsichtigten Zweck als Malware erkannt, sagte er