В недавних исправлениях Microsoft
устранены две уязвимости нулевого дня, которые использовались фирмой,
разрабатывающей шпионское ПО для правительств. Теперь это ПО не работает.
Деньги любят тишину
Израильская фирма,
специализирующаяся на продаже шпионского ПО правительствам других стран,
эксплуатировала ряд уязвимостей в ОС Windows, о которых до определенного момента никто не
знал.
Компании Microsoft и Citizen Labs с высокой долей
уверенности увязали израильскую компанию Candiru (также известную как Sourgum) со шпионским программным набором Devils Tongue. По некоторым
сведениям, это ПО также может нелегально мониторить активность на смартфонах
под управлением Android и iOS, а
также компьютеры Mac и PC и
облачные аккаунты.
По данным Microsoft, Sourgum/Candiru разрабатывает и продает «кибероружие», которое
клиенты компании — обычно правительственные организации — используют для взлома
компьютеров, смартфонов, сетевых устройств и сетевой инфраструктуры. Кого
атаковать, выбирает не фирма.
Высокоопасный 0day
В ходе расследования
одного инцидента, эксперты Citizen Labs обнаружили вредоносные сэмплы, с помощью которых
удалось выявить сразу две уязвимости нулевого дня в Windows: CVE-2021-31979 и CVE-2021-33771. Обе уязвимости позволяют повышать
привилегии в контексте ядра Windows; обе получили одинаковые оценки по шкале CVSS: 7,8 балла. Обновления,
закрывающие обе эти уязвимости, были выпущены 13 июля 2021 г. в рамках PatchTuesday.
Эксперты Microsoft, расследовавшие
эксплуатацию этих уязвимостей, определили «как минимум 100 жертв в Палестине,
Израиле, Иране, Ливане, Йемене, Испании, Великобритании, Турции, Армении и
Сингапуре». В основном это политики, правозащитники, журналисты, ученые,
сотрудники посольств и политические диссиденты.
Сверх этого специалисты CitizenLabs выявили более 750
сайтов, которые с высокой долей уверенности связаны со шпионскими инструментами
Candiru. Многие
из этих доменов имитировали известные организации, такие как AmnestyInternational или движение BlackLivesMatter.
Чертов язык
Шпионское ПО, которое
эксплуатирует данные уязвимости, получило название Devils Tongue. Его установка производится через комбинацию
эксплойтов, которые используют различные уязвимости в нескольких популярных
браузерах и ОС Windows.
DevilsTongue позволяет собирать и выводить из систем жертв множество различных типов
файлов, расшифровывать и перехватывать сообщения в защищенном мессенджере Signal под Windows, красть файлы cookie и сохраненные пароли
из защитной подсистемы LSASS в Windows и
браузеров Chrome, Internet Explorer, Firefox, Safari и Opera.
Кроме того, вредонос
позволяет прицельно отыскивать файлы cookie от таких сайтов как Facebook, Twiter, Gmail, Yahoo, а также Mail.ru, «Одноклассники», «Вконтакте», перехватывать
сообщения пользователя в них, красть фото и другие данные. Devils Tongue также способен
отправлять сообщения от имени жертв их контактам; естественно, это можно
использовать и для дальнейшей рассылки вредоноса или любых других ссылок на
нужные атакующим ресурсы.
По данным экспертов Microsoft, в основном такие
сообщения отправлялись конкретным людям. Очевидно, они представляли особый
интерес для клиентуры Candiru.
Выпущенное обновление для
Windows лишает разработки Sourgum возможности заражать системы под Windows и
функционировать на уже атакованных машинах. Штатный антивирус Windows Defender
теперь распознает и блокирует Devils Tongue и другие инструменты
Candiru/Sourgum.
«Шпионское ПО есть
шпионское ПО, кто бы и зачем его ни делал и кому бы ни продавал, — говорит Алексей Водясов, технический директор
компании SEC Consult Services. —
Такова позиция всех специалистов по информационной безопасности, работающих в “белой
зоне”. Хотелось бы надеяться, что у Candiru теперь возникнут некоторые проблемы с продажей
своих разработок. Хотя вряд ли эти две уязвимости были их единственными
козырями».