Ricercatori: malware di sorveglianza distribuito tramite l'exploit di Flash Player

Gli attivisti politici del Medio Oriente sono stati presi di mira in attacchi che hanno sfruttato una vulnerabilità di Flash Player precedentemente sconosciuta per installare un chiamato il programma di intercettazione legale progettato per l'applicazione della legge, i ricercatori di sicurezza del fornitore di antivirus Kaspersky Lab ha detto martedì.

Giovedì scorso, Adobe ha rilasciato un aggiornamento di emergenza per Flash Player per affrontare due vulnerabilità zero-day-patch che erano già state usato negli attacchi attivi. Nel suo advisory sulla sicurezza in quel momento, Adobe ha accreditato Sergey Golovanov e Alexander Polyakov di Kaspersky Lab per aver segnalato una delle due vulnerabilità, quella identificata come CVE-2013-0633.

Martedì, i ricercatori di Kaspersky Lab hanno rivelato più informazioni su come hanno originariamente scoperto la vulnerabilità. "Gli exploit per CVE-2013-0633 sono stati osservati durante il monitoraggio del cosiddetto malware di sorveglianza" legale "creato dalla società italiana HackingTeam", ha detto Golovanov in un post sul blog.

[Ulteriori letture: Come rimuovere il malware da il tuo PC Windows]

HackingTeam ha sede a Milano ma ha anche una presenza ad Annapolis, nel Maryland e a Singapore. Secondo il suo sito web, l'azienda sviluppa un programma di sorveglianza del computer chiamato Remote Control System (RCS) che viene venduto alle forze dell'ordine e ai servizi segreti.

"Qui in HackingTeam crediamo che combattere il crimine dovrebbe essere facile: forniamo un servizio efficace, facile tecnologia offensiva da utilizzare per le forze dell'ordine e le comunità di intelligence in tutto il mondo ", afferma la compagnia sul proprio sito Web.

Kaspersky Lab ha monitorato l'RCS di HackingTeam, noto anche come DaVinci, da agosto 2012, ha dichiarato Costin Raiu, direttore di Kaspersky Il team di ricerca e analisi globale di Lab.

RCS / DaVinci può registrare conversazioni di testo e audio da diversi programmi di chat, tra cui Skype, Yahoo Messenger, Google Talk e MSN Messenger; può rubare la cronologia di navigazione Web; può accendere il microfono e la webcam di un computer; può rubare le credenziali archiviate nei browser e in altri programmi e molto altro, ha detto.

I ricercatori di Kaspersky hanno rilevato circa 50 incidenti che hanno coinvolto DaVinci contro utenti di computer di vari paesi tra cui Italia, Messico, Kazakistan, Arabia Saudita, Turchia, Argentina, Algeria, Mali, Iran, India ed Etiopia.

Gli attacchi più recenti che hanno sfruttato la vulnerabilità CVE-2013-0633 hanno preso di mira gli attivisti di un paese del Medio Oriente, ha detto Raiu. Tuttavia, ha rifiutato di nominare il paese per evitare di esporre informazioni che potrebbero portare all'identificazione delle vittime.

Non è chiaro se l'exploit zero-day per CVE-2013-0633 sia stato venduto da HackingTeam insieme al malware di sorveglianza o se chi ha acquistato il programma ha ottenuto l'exploit da una fonte diversa, ha detto Raiu.

HackingTeam non ha risposto immediatamente a una richiesta di commento.

In precedenti attacchi rilevati da Kaspersky Lab, DaVinci è stato distribuito tramite exploits per Flash Player vulnerabilità scoperte dalla società di ricerche vulnerabilità francese Vupen, ha detto Raiu.

Vupen ammette apertamente di vendere exploit zero-day, ma afferma che i suoi clienti sono agenzie governative e forze dell'ordine di paesi membri o partner della NATO, ANZUS o le organizzazioni geopolitiche dell'ASEAN.

L'installer DaVinci rilasciato sui computer dall'esperimento CVE-2013-0633 nella prima fase dell'attacco è stato firmato con un problema di certificato digitale valido d da GlobalSign a un individuo chiamato Kamel Abed, ha detto Raiu.

GlobalSign non ha risposto immediatamente a una richiesta di ulteriori informazioni su questo certificato e sul suo stato attuale.

Ciò è coerente con i passati attacchi DaVinci in cui il contagocce è stato anche firmato digitalmente, ha detto Raiu. I certificati precedenti utilizzati per firmare i contagocce DaVinci sono stati registrati presso una Salvetore Macchiarella e una società denominata OPM Security registrata a Panama, ha affermato.

Secondo il suo sito Web, OPM Security vende un prodotto denominato Power Spy per € 200 (US $ 267) sotto il titolo "spiare tuo marito, moglie, figli o impiegati." La lista delle caratteristiche di Power Spy è molto simile alla lista delle caratteristiche di DaVinci, il che significa che OPM potrebbe essere un rivenditore del programma di sorveglianza di HackingTeam, ha detto Raiu.

Questo è non è il primo caso in cui il malware di sorveglianza legale è stato utilizzato contro attivisti e dissidenti in paesi in cui la libertà di parola è limitata.

Esistono rapporti precedenti di FinFisher, un toolkit di sorveglianza del computer sviluppato dalla società britannica Gamma Group International, usato contro attivisti politici in Bahrain.

Alcuni ricercatori del Citizen Lab della Munk School of Global Affairs dell'Università di Toronto hanno anche riferito in ottobre che l'RCS di HackingTeam (DaVinc i) il programma è stato usato contro un attivista per i diritti umani degli Emirati Arabi Uniti.

Questo tipo di programma è una bomba a orologeria per la mancanza di regolamentazione e vendita incontrollata, ha detto Raiu. Alcuni paesi hanno restrizioni sull'esportazione di sistemi crittografici, che teoricamente coprono tali programmi, ma queste restrizioni possono essere aggirate facilmente vendendo il software attraverso i rivenditori offshore, ha detto.

Il grosso problema è che questi programmi possono essere usati non Solo i governi possono spiare i propri cittadini, ma possono anche essere utilizzati dai governi per spiare altri governi o possono essere utilizzati per spionaggio industriale e aziendale, ha detto Raiu.

Quando tali programmi vengono utilizzati per attaccare le grandi aziende o vengono utilizzati da parte dei cyber-terroristi, che saranno responsabili della caduta del software nelle mani sbagliate, ha chiesto Raiu.

Dal punto di vista di Kaspersky Lab, non c'è dubbio: questi programmi verranno rilevati come malware indipendentemente dal loro scopo, ha detto.