Penyelidik: Malware pengawasan yang diedarkan melalui Flash Player mengeksploitasi

Aktivis politik dari Timur Tengah disasarkan kepada serangan yang mengeksploitasi kerentanan Flash Player yang tidak diketahui sebelum memasangnya yang dipanggil program pemintasan yang sah yang direka untuk kegunaan penguatkuasa undang-undang, penyelidik keselamatan dari vendor antivirus Kaspersky Lab pada hari Selasa.

Khamis lepas, Adobe melancarkan pembaruan kecemasan untuk Flash Player untuk menangani dua kelemahan yang tidak sepatutnya digunakan dalam serangan aktif. Dalam khidmat penasihat keselamatan pada masa itu, Adobe mengiktiraf Sergey Golovanov dan Alexander Polyakov dari Kaspersky Lab untuk melaporkan salah satu daripada dua kelemahan itu, iaitu yang dikenal pasti sebagai CVE-2013-0633.

Pada hari Selasa, penyelidik Lab Kaspersky mendedahkan lebih banyak maklumat mengenai bagaimana mereka mula-mula menemui kelemahan. "Eksploitasi untuk CVE-2013-0633 telah diperhatikan semasa memantau malware pengawasan 'undang-undang' yang dibuat oleh syarikat Itali HackingTeam," kata Golovanov dalam catatan blog.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows anda]

HackingTeam berpusat di Milan tetapi juga mempunyai kehadiran di Annapolis, Maryland, dan Singapura. Menurut laman webnya, syarikat itu mengembangkan program pengawasan komputer yang disebut Remote Control System (RCS) yang dijual kepada penguatkuasaan undang-undang dan agensi-agensi perisikan.

"Di sini di HackingTeam kami percaya bahawa memerangi jenayah haruslah mudah: kami menyediakan yang efektif dan mudah - untuk menggunakan teknologi yang menyinggung ke penguatkuasaan undang-undang dan komuniti perisikan di seluruh dunia. "

Kaspersky Lab telah memantau RCS HackingTeam - juga dikenali sebagai DaVinci - sejak Ogos 2012, kata Costin Raiu, pengarah Kaspersky

RCS / DaVinci boleh merakam perbualan teks dan audio daripada pelbagai program sembang, termasuk Skype, Yahoo Messenger, Google Talk dan MSN Messenger; boleh mencuri sejarah pelayar web; boleh menghidupkan mikrofon komputer dan webcam;

Penyelidik Kaspersky telah mengesan sekitar 50 insiden sejauh ini yang melibatkan DaVinci digunakan terhadap pengguna komputer dari pelbagai negara termasuk Itali, Mexico, Kazakhstan, Arab Saudi, dan lain-lain. Turki, Argentina, Algeria, Mali, Iran, India dan Ethiopia.

Serangan terbaru yang mengeksploitasi kerentanan CVE-2013-0633 yang disasarkan dari negara di Timur Tengah, kata Raiu. Walau bagaimanapun, beliau enggan menamakan negara itu untuk mengelakkan daripada mendedahkan maklumat yang boleh menyebabkan mangsa dikenal pasti.

Tidak jelas jika mengeksploitasi sifar untuk CVE-2013-0633 dijual oleh HackingTeam bersama dengan perisian pengawasan malware

Dalam serangan sebelumnya yang dikesan oleh Kaspersky Lab, DaVinci telah diedarkan melalui eksploitasi untuk Flash Player

Vupen secara terbuka mengakui untuk menjual eksploitasi sifar hari, namun mendakwa bahawa pelanggannya adalah agensi penguatkuasaan kerajaan dan undang-undang dari negara-negara yang menjadi anggota atau rakan-rakan NATO, ANZUS atau organisasi geopolitik ASEAN.

Pemasang DaVinci yang jatuh pada komputer oleh eksploitasi CVE-2013-0633 pada peringkat pertama serangan ditandatangani dengan isu perakuan digital yang sah d oleh GlobalSign kepada seorang individu bernama Kamel Abed, kata Raiu.

GlobalSign tidak segera bertindak balas terhadap permintaan untuk maklumat lanjut tentang sijil ini dan status semasa.

Ini adalah konsisten dengan serangan DaVinci yang lalu di mana penarikan itu juga ditandatangani secara digital, kata Raiu. Sijil terdahulu yang digunakan untuk menandatangani pemecatan DaVinci telah didaftarkan kepada satu Salvetore Macchiarella dan sebuah syarikat yang dipanggil OPM Security yang berdaftar di Panama, katanya.

Menurut laman webnya, OPM Security menjual produk yang dikenali sebagai Power Spy untuk € 200 (US $ 267) tajuk "mengintip suami, isteri, anak-anak atau pekerja." Senarai ciri Power Spy sangat mirip dengan senarai ciri DaVinci, yang bermaksud OPM mungkin menjadi penjual semula program pengawasan HackingTeam, kata Raiu. bukan kes pertama apabila malware pengawasan yang sah telah digunakan terhadap aktivis dan pembangkang di negara-negara di mana kebebasan bersuara terhad.

Terdapat laporan sebelum ini mengenai FinFisher, sebuah alat pengawasan komputer yang dibangunkan oleh syarikat yang berpangkalan di UK Gamma Group International, digunakan untuk melawan aktivis politik di Bahrain.

Penyelidik dari Lab Citizen di University of Toronto Munk School of Hal Ehwal Global juga melaporkan kembali pada bulan Oktober bahawa RCS HackingTeam (DaVinc i) program digunakan untuk aktivis hak asasi manusia dari Emiriah Arab Bersatu.

Program jenis ini adalah bom masa berdetik kerana kekurangan peraturan dan penjualan tidak terkawal, kata Raiu. Sesetengah negara mempunyai sekatan ke atas eksport sistem kriptografi, yang secara teori akan meliputi program sedemikian, tetapi sekatan-sekatan ini mudah dilangkau dengan menjual perisian melalui penjual semula luar pesisir, katanya. Masalahnya ialah bahawa program-program ini tidak boleh digunakan hanya oleh kerajaan untuk mengintip rakyatnya sendiri, tetapi juga boleh digunakan oleh pemerintah untuk mengintip kerajaan lain atau boleh digunakan untuk pengintipan industri dan korporat, kata Raiu.

Apabila program tersebut digunakan untuk menyerang perusahaan besar atau digunakan oleh cyberterrorists, yang akan bertanggungjawab untuk perisian yang jatuh ke dalam tangan yang salah, Raiu bertanya.

Dari perspektif Lab Kaspersky, tidak ada pertanyaan mengenainya: Program-program ini akan dikesan sebagai malware tanpa mengira maksud yang mereka inginkan, katanya.