Pesquisadores: Malware de vigilância distribuído por meio do Flash Player

Ativistas políticos do Oriente Médio foram alvejados em ataques que exploraram uma vulnerabilidade desconhecida do Flash Player para instalar um software de segurança. chamado de programa de interceptação legal projetado para aplicação da lei, pesquisadores de segurança da Kaspersky Lab disseram na última quinta-feira, a Adobe lançou uma atualização de emergência para o Flash Player para resolver duas vulnerabilidades não corrigidas que já estavam sendo usado em ataques ativos. Em seu comunicado de segurança na época, a Adobe creditou Sergey Golovanov e Alexander Polyakov, da Kaspersky Lab, por relatar uma das duas vulnerabilidades, a identificada como CVE-2013-0633.

Na terça-feira, os pesquisadores da Kaspersky Lab revelaram mais informações sobre como eles descobriram originalmente a vulnerabilidade. "As façanhas para CVE-2013-0633 foram observadas durante o monitoramento do chamado malware de vigilância 'legal' criado pela empresa italiana HackingTeam", disse Golovanov em um post no blog.

[Leia mais: Como remover malware de seu PC com Windows]

A HackingTeam está sediada em Milão, mas também tem presença em Annapolis, Maryland e Cingapura. De acordo com seu site, a empresa desenvolve um programa de vigilância por computador chamado Remote Control System (RCS), que é vendido para as agências policiais e de inteligência “Aqui na HackingTeam acreditamos que combater o crime deveria ser fácil: usar a tecnologia ofensiva para as comunidades policiais e de inteligência em todo o mundo ”, diz a empresa em seu site.

A Kaspersky Lab monitora o RCS da HackingTeam - também conhecido como DaVinci - desde agosto de 2012, disse Costin Raiu, diretor da Kaspersky Equipe de pesquisa e análise global do Lab.

O RCS / DaVinci pode gravar conversas de texto e áudio de diferentes programas de bate-papo, incluindo Skype, Yahoo Messenger, Google Talk e MSN Messenger; pode roubar o histórico de navegação na Web; pode ligar o microfone do computador e a webcam; pode roubar credenciais armazenadas em navegadores e outros programas, e muito mais, disse ele.

Pesquisadores da Kaspersky detectaram cerca de 50 incidentes até agora que envolveram DaVinci sendo usado contra usuários de computador de vários países, incluindo Itália, México, Cazaquistão, Arábia Saudita, Turquia, Argentina, Argélia, Mali, Irã, Índia e Etiópia.

Os ataques mais recentes que estavam explorando a vulnerabilidade do CVE-2013-0633 visaram ativistas de um país do Oriente Médio, disse Raiu. No entanto, ele se recusou a nomear o país para evitar a exposição de informações que poderiam levar à identificação das vítimas.

Não está claro se o exploit de dia zero para CVE-2013-0633 foi vendido pela HackingTeam junto com o malware de vigilância ou se quem comprou o programa obteve a exploração de uma fonte diferente, disse Raiu.

A HackingTeam não respondeu imediatamente a uma solicitação de comentário.

Em ataques anteriores detectados pela Kaspersky Lab, o DaVinci foi distribuído através de exploits para o Flash Player vulnerabilidades que foram descobertas pela empresa de pesquisas de vulnerabilidades francesa Vupen, disse Raiu.

Vupen admite abertamente a venda de exploits de dia zero, mas afirma que seus clientes são agências governamentais e policiais de países membros ou parceiros da OTAN, ANZUS ou organizações geopolíticas ASEAN.

O instalador do DaVinci descartado em computadores pela exploração CVE-2013-0633 no primeiro estágio do ataque foi assinado com um problema válido de certificado digital d pela GlobalSign para um indivíduo chamado Kamel Abed, disse Raiu.

A GlobalSign não respondeu imediatamente a uma solicitação de mais informações sobre este certificado e seu status atual.

Isso é consistente com os ataques anteriores ao DaVinci, nos quais o conta-gotas também foi assinado digitalmente, disse Raiu. Os certificados anteriores usados ​​para assinar os conta-gotas da DaVinci foram registrados para uma Salvetore Macchiarella e uma empresa chamada OPM Security registrada no Panamá, disse ele.

Segundo seu site, a OPM Security vende um produto chamado Power Spy por € 200 (US $ 267) sob a manchete “espionando seu marido, esposa, filhos ou funcionários”. A lista de recursos da Power Spy é muito semelhante à lista de recursos do DaVinci, o que significa que a OPM pode ser um revendedor do programa de vigilância da HackingTeam, disse Raiu. não é o primeiro caso em que malwares de vigilância legais foram usados ​​contra ativistas e dissidentes em países onde a liberdade de expressão é limitada.

Há relatórios anteriores do FinFisher, um kit de ferramentas de vigilância por computador desenvolvido pela empresa britânica Gamma Group International, sendo usado contra ativistas políticos no Bahrein

Pesquisadores do Citizen Lab da Munk School of Global Affairs da Universidade de Toronto também relataram em outubro que o RCS da HackingTeam (DaVinc i) o programa foi usado contra um ativista dos direitos humanos dos Emirados Árabes Unidos

Este tipo de programa é uma bomba-relógio devido à falta de regulamentação e venda descontrolada, disse Raiu. Alguns países têm restrições sobre a exportação de sistemas criptográficos, que teoricamente cobririam esses programas, mas essas restrições podem ser facilmente contornadas com a venda do software através de revendedores offshore, disse ele.

O grande problema é que esses programas podem ser usados ​​não somente pelos governos para espionar seus próprios cidadãos, mas também pode ser usado pelos governos para espionar outros governos ou pode ser usado para espionagem industrial e corporativa, disse Raiu.

Quando tais programas são usados ​​para atacar grandes empresas ou são usados por cyberterrorists, que será responsável pelo software cair nas mãos erradas, Raiu perguntou.

Do ponto de vista da Kaspersky Lab, não há dúvida sobre isso: esses programas serão detectados como malware, independentemente do seu propósito, disse ele.