Investigadores: malware de vigilancia distribuido a través de Flash Player exploit

Activistas políticos de Medio Oriente fueron blanco de ataques que explotaron una vulnerabilidad de Flash Player previamente desconocida para instalar un El martes pasado, Adobe lanzó una actualización de emergencia para Flash Player con el fin de abordar dos vulnerabilidades sin parche de cero días que ya estaban siendo detectadas. El martes pasado, Adobe lanzó una actualización de emergencia para Flash Player. usado en ataques activos. En su advertencia de seguridad en ese momento, Adobe le dio crédito a Sergey Golovanov y Alexander Polyakov de Kaspersky Lab por informar sobre una de las dos vulnerabilidades, la identificada como CVE-2013-0633.

El martes, los investigadores de Kaspersky Lab revelaron más información acerca de cómo descubrieron originalmente la vulnerabilidad. "Los exploits para CVE-2013-0633 se han observado mientras se monitoreaba el llamado malware de vigilancia 'legal' creado por la compañía italiana HackingTeam", dijo Golovanov en una publicación de blog.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

HackingTeam tiene su sede en Milán pero también tiene presencia en Annapolis, Maryland y Singapur. Según su sitio web, la compañía desarrolla un programa de vigilancia por computadora llamado Remote Control System (RCS) que se vende a las agencias policiales y de inteligencia.

"Aquí en HackingTeam creemos que luchar contra la delincuencia debe ser fácil: brindamos servicios efectivos, fáciles "usar tecnología ofensiva para las comunidades de inteligencia y ejecución de la ley en todo el mundo", dice la compañía en su sitio web.

Kaspersky Lab ha estado monitoreando el RCS de HackingTeam, también conocido como DaVinci, desde agosto de 2012, dijo Costin Raiu, director de Kaspersky El equipo de análisis e investigación global de Lab.

RCS / DaVinci puede grabar conversaciones de texto y audio de diferentes programas de chat, incluidos Skype, Yahoo Messenger, Google Talk y MSN Messenger; puede robar el historial de navegación web; puede encender el micrófono y la cámara web de una computadora; puede robar credenciales almacenadas en navegadores y otros programas, y mucho más, dijo.

Los investigadores de Kaspersky han detectado alrededor de 50 incidentes hasta ahora que involucraron a DaVinci contra usuarios de computadoras de varios países, entre ellos Italia, México, Kazajstán, Arabia Saudita, Turquía, Argentina, Argelia, Mali, Irán, India y Etiopía.

Los ataques más recientes que explotaban la vulnerabilidad CVE-2013-0633 apuntaban a activistas de un país en el Medio Oriente, dijo Raiu. Sin embargo, no quiso nombrar el país para evitar la exposición de información que podría conducir a identificar a las víctimas.

No está claro si el hacking de día cero para CVE-2013-0633 fue vendido por HackingTeam junto con el malware de vigilancia. o si quien comprara el programa obtuvo el exploit de una fuente diferente, dijo Raiu.

HackingTeam no respondió de inmediato a una solicitud de comentarios.

En ataques anteriores detectados por Kaspersky Lab, DaVinci se distribuyó mediante exploits para Flash Player "Vupen admite abiertamente vender hazañas de día cero, pero afirma que sus clientes son agencias gubernamentales y de cumplimiento de la ley de países que son miembros o socios de la OTAN, ANZUS", dijo Raiu. o las organizaciones geopolíticas de la ASEAN.

El instalador DaVinci que cayó en las computadoras por el exploit CVE-2013-0633 en la primera etapa del ataque se firmó con un problema de certificado digital válido d por GlobalSign a un individuo llamado Kamel Abed, dijo Raiu.

GlobalSign no respondió de inmediato a una solicitud de más información sobre este certificado y su estado actual.

Esto es consistente con los ataques anteriores de Da Vinci en los que el cuentagotas también fue firmado digitalmente, dijo Raiu. Los certificados previos utilizados para firmar los cuentagotas DaVinci se registraron en Salvetore Macchiarella y en una empresa llamada OPM Security registrada en Panamá, dijo.

Según su sitio web, OPM Security vende un producto llamado Power Spy por 200 € (267 dólares) bajo el titular "espiando a su esposo, esposa, hijos o empleados". La lista de características de Power Spy es muy similar a la lista de DaVinci, lo que significa que OPM podría ser un revendedor del programa de vigilancia de HackingTeam, dijo Raiu.

Esto es no es el primer caso cuando el malware legal de vigilancia ha sido utilizado contra activistas y disidentes en países donde la libertad de expresión es limitada.

Hay informes anteriores de FinFisher, un kit de herramientas de vigilancia por computadora desarrollado por Gamma Group International. activistas políticos en Bahréin.

Investigadores del Citizen Lab de la Universidad Munk School of Global Affairs de la Universidad de Toronto también informaron en octubre que RCS de HackingTeam (DaVinc) i) se usó el programa contra un activista de los derechos humanos de los Emiratos Árabes Unidos.

Este tipo de programa es una bomba de relojería debido a la falta de regulación y la venta incontrolada, dijo Raiu. Algunos países tienen restricciones a la exportación de sistemas criptográficos, que teóricamente cubrirían dichos programas, pero estas restricciones pueden evitarse fácilmente vendiendo el software a través de revendedores offshore, dijo.

El gran problema es que estos programas pueden usarse no solo por los gobiernos para espiar a sus propios ciudadanos, pero también pueden ser utilizados por los gobiernos para espiar a otros gobiernos o pueden ser utilizados para espionaje industrial y corporativo, dijo Raiu.

Cuando tales programas se usan para atacar a grandes compañías o se usan por cyberterrorists, que será responsable de que el software caiga en las manos equivocadas, Raiu preguntó.

Desde la perspectiva de Kaspersky Lab, no cabe duda: estos programas serán detectados como malware independientemente de su propósito, dijo.