Forskare: Övervakning av skadlig programvara distribuerad via Flash Player exploit

Politiska aktivister från Mellanöstern var inriktade på attacker som utnyttjade en tidigare okänd Flash Player-sårbarhet för att installera en so- Säkerhetsforskare från antivirusleverantör Kaspersky Lab sa tisdag.

I förra torsdagen släppte Adobe en nöduppdatering för Flash Player för att ta itu med två nolldagars oöverträffade sårbarheter som redan var används i aktiva attacker. I sin säkerhetsrådgivning på tiden krediterade Adobe Sergey Golovanov och Alexander Polyakov från Kaspersky Lab för att rapportera en av de två sårbarheterna, nämligen den som identifierades som CVE-2013-0633.

På tisdag avslöjade Kaspersky Lab-forskarna mer information om hur de ursprungligen upptäckte sårbarheten. "Utnyttjandet för CVE-2013-0633 har observerats när man övervakar den så kallade" legal "övervakningsprogrammet som skapats av det italienska företaget HackingTeam", säger Golovanov i ett blogginlägg.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

HackingTeam är baserad i Milano men har också en närvaro i Annapolis, Maryland och Singapore. Enligt bolagets hemsida utvecklar företaget ett datorövervakningsprogram som heter Remote Control System (RCS) som säljs till brottsbekämpande och efterlysningsorgan.

"Här i HackingTeam anser vi att kämpande brottslighet ska vara lätt: vi ger effektiva, enkla Kaspersky Lab har övervakat HackingTeams RCS-känd som DaVinci sedan Augusti 2012, säger Costin Raiu, chef för Kaspersky. Labs globala forsknings- och analysteam.

RCS / DaVinci kan spela in text- och ljudsamtal från olika chattprogram, inklusive Skype, Yahoo Messenger, Google Talk och MSN Messenger. kan stjäla webbbläddringshistorik; kan slå på en dators mikrofon och webbkamera; kan stjäla referenser som lagras i webbläsare och andra program, och mycket mer, sa han.

Kasperskys forskare har hittat omkring 50 incidenter hittills, där DaVinci användes mot datoranvändare från olika länder, inklusive Italien, Mexiko, Kazakstan, Saudiarabien, Turkiet, Argentina, Algeriet, Mali, Iran, Indien och Etiopien.

De senaste attackerna som utnyttjade CVE-2013-0633 sårbarhetsmålade aktivister från ett land i Mellanöstern, sade Raiu. Han nekade dock att namnge landet för att undvika att avslöja information som kan leda till att offren identifierades.

Det är inte klart om nolldagsutnyttjandet för CVE-2013-0633 såldes av HackingTeam tillsammans med övervaknings malware eller om den som köpte programmet fick utnyttja från en annan källa, sa Raiu.

HackingTeam svarade inte omedelbart på en begäran om kommentarer.

Vid tidigare attacker som upptäckts av Kaspersky Lab, distribuerades DaVinci via exploits för Flash Player sårbarheter som upptäcktes av franska sårbarhetsforskningsfirman Vupen, sade Raiu.

Vupen tillåter öppet att sälja nolldagars exploater, men hävdar att dess kunder är myndigheter och brottsbekämpande organ från länder som är medlemmar eller samarbetspartners till NATO, ANZUS eller ASEAN-geopolitiska organisationer.

DaVinci-installationsprogrammet släpptes på datorer av CVE-2013-0633-exploateringen i den första etappen av attacken undertecknades med ett giltigt digitalt certifikatproblem d av GlobalSign till en person som heter Kamel Abed, sade Raiu.

GlobalSign svarade inte omedelbart på en begäran om mer information om detta certifikat och dess nuvarande status.

Detta stämmer överens med tidigare DaVinci-attacker, där droppen också var digitalt signerad, sa Raiu. Tidigare certifikat som användes för att underteckna DaVinci-droppare registrerades på ett Salvetore Macchiarella och ett företag som heter OPM Security registrerat i Panama.

Enligt sin webbplats säljer OPM Security en produkt som heter Power Spy för 200 euro (267 US-dollar) under rubriken "spionera på din man, fru, barn eller anställda." Power Spy särdragslista ligner mycket på listan med DaVinci, vilket innebär att OPM kan vara återförsäljare av HackingTeams övervakningsprogram, säger Raiu.

Detta är inte det första fallet när laglig övervakning av skadlig kod har använts mot aktivister och dissidenter i länder där yttrandefrihet är begränsad.

Det finns tidigare rapporter från FinFisher, en datorövervakningsverktyg utvecklad av det brittiska företaget Gamma Group International, som används mot politiska aktivister i Bahrain.

Forskare från Citizen Lab vid University of Torontos Munk School of Global Affairs rapporterade också i oktober att HackingTeams RCS (DaVinc i) programmet användes mot en människorättsaktivist från Förenade Arabemiraten.

Denna typ av program är en kryssande tidsbom på grund av bristen på reglering och okontrollerad försäljning, sa Raiu. Vissa länder har restriktioner för export av kryptografiska system, vilket teoretiskt skulle täcka sådana program, men dessa begränsningar kan enkelt kringgås genom att sälja programvaran via offshore-återförsäljare, säger han.

Det stora problemet är att dessa program inte kan användas bara av regeringar att spionera på sina egna medborgare, men kan också användas av regeringar att spionera på andra regeringar eller kan användas för industriell och företagsaspionage, säger Raiu.

När sådana program används för att attackera stora företag eller används av cyberterrorists, som kommer att ansvara för att mjukvaran faller i fela händer, frågade Raiu.

Från Kaspersky Labs perspektiv är det ingen fråga om det: Dessa program kommer att upptäckas som skadlig kod oavsett vad de är avsedda för.