Hai trong số các lỗ hổng Windows zero-day được Microsoft vá như một phần của bản cập nhật Bản vá thứ ba vào đầu tuần này đã được vũ khí hóa bởi một công ty có trụ sở tại Israel có tên Candiru trong một loạt các “cuộc tấn công chính xác” để tấn công hơn 100 nhà báo, học giả, nhà hoạt động, và những người bất đồng chính kiến trên toàn cầu.
Nhà cung cấp phần mềm gián điệp cũng chính thức được xác định là công ty giám sát thương mại mà Nhóm phân tích mối đe dọa của Google (TAG) tiết lộ là khai thác nhiều lỗ hổng zero-day trong trình duyệt Chrome để nhắm mục tiêu các nạn nhân ở Armenia, theo một báo cáo được công bố bởi Phòng thí nghiệm Citizen của Đại học Toronto. .
“CandiruSự hiện diện rộng rãi rõ ràng của nó và việc sử dụng công nghệ giám sát của nó chống lại xã hội dân sự toàn cầu, là một lời nhắc nhở mạnh mẽ rằng ngành công nghiệp phần mềm gián điệp đánh thuê chứa nhiều người chơi và dễ bị lạm dụng “, các nhà nghiên cứu của Citizen Lab nói. “Trường hợp này một lần nữa chứng tỏ rằng trong trường hợp không có bất kỳ biện pháp bảo vệ quốc tế nào hoặc các biện pháp kiểm soát xuất khẩu mạnh mẽ của chính phủ, các nhà cung cấp phần mềm gián điệp sẽ bán cho các khách hàng chính phủ, những người thường xuyên lạm dụng dịch vụ của họ.”
Được thành lập vào năm 2014, kẻ tấn công khu vực tư nhân (PSOA) – có tên mã là “Sourgum” của Microsoft – được cho là nhà phát triển của một bộ công cụ gián điệp có tên là DevilsTongue được bán độc quyền cho các chính phủ và có khả năng lây nhiễm và giám sát một loạt các thiết bị trên các nền tảng khác nhau, bao gồm iPhone, Android, Mac, PC và tài khoản đám mây.
Citizen Lab cho biết họ đã có thể khôi phục một bản sao của phần mềm gián điệp Windows của Candiru sau khi lấy được ổ cứng từ “một nạn nhân hoạt động chính trị ở Tây Âu”, sau đó được thiết kế ngược để xác định hai lần khai thác Windows 0 ngày chưa từng thấy để tìm lỗ hổng. theo dõi là CVE-2021-31979 và CVE-2021-33771 đã được tận dụng để cài đặt phần mềm độc hại trên hộp nạn nhân.
Chuỗi lây nhiễm dựa trên sự kết hợp giữa các khai thác của trình duyệt và Windows, trước đây được phân phát thông qua các URL sử dụng một lần được gửi đến các mục tiêu trên các ứng dụng nhắn tin như WhatsApp. Microsoft đã giải quyết cả lỗi leo thang đặc quyền, cho phép kẻ thù thoát khỏi hộp cát của trình duyệt và giành được quyền thực thi mã hạt nhân, vào ngày 13 tháng 7.
Các cuộc xâm nhập lên đến đỉnh điểm khi triển khai DevilsTongue, một cửa sau dựa trên C / C ++ theo mô-đun được trang bị một số khả năng, bao gồm tách lọc các tệp, xuất các tin nhắn được lưu trong ứng dụng nhắn tin được mã hóa Signal và lấy cắp cookie và mật khẩu từ Chrome, Internet Explorer, Firefox , Trình duyệt Safari và Opera.
Phân tích của Microsoft về vũ khí kỹ thuật số cũng cho thấy nó có thể lạm dụng cookie bị đánh cắp từ email đã đăng nhập và các tài khoản mạng xã hội như Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki và Vkontakte để thu thập thông tin, đọc tin nhắn của nạn nhân, lấy ảnh và thậm chí gửi tin nhắn thay mặt họ, do đó cho phép kẻ đe dọa gửi liên kết độc hại trực tiếp từ máy tính của người dùng bị xâm phạm.
Riêng biệt, báo cáo của Citizen Lab cũng liên quan đến hai lỗ hổng Google Chrome được tiết lộ bởi gã khổng lồ tìm kiếm vào thứ Tư – CVE-2021-21166 và CVE-2021-30551 – công ty Tel Aviv, lưu ý sự trùng lặp trong các trang web được sử dụng để phân phối các vụ khai thác.
Hơn nữa, 764 miền được liên kết với cơ sở hạ tầng phần mềm gián điệp của Candiru đã bị phát hiện, trong đó nhiều miền giả danh các tổ chức vận động như Tổ chức Ân xá Quốc tế, phong trào Black Lives Matter, cũng như các công ty truyền thông và các thực thể theo chủ đề xã hội dân sự khác. Một số hệ thống dưới sự kiểm soát của họ đã được vận hành từ Ả Rập Saudi, Israel, UAE, Hungary và Indonesia.
Cho đến nay, hơn 100 nạn nhân của phần mềm độc hại SOURGUM đã được xác định, với các mục tiêu nằm ở Palestine, Israel, Iran, Lebanon, Yemen, Tây Ban Nha (Catalonia), Vương quốc Anh, Thổ Nhĩ Kỳ, Armenia và Singapore. “Những cuộc tấn công này chủ yếu nhắm vào các tài khoản người tiêu dùng, cho thấy khách hàng của Sourgum đang theo đuổi những cá nhân cụ thể”, Tổng Giám đốc Đơn vị An ninh Kỹ thuật số của Microsoft, Cristin Goodwin, nói.
Báo cáo mới nhất được đưa ra khi các nhà nghiên cứu của TAG Maddie Stone và Clement Lecigne ghi nhận sự gia tăng của những kẻ tấn công sử dụng nhiều hoạt động khai thác zero-day hơn trong các cuộc tấn công mạng của họ, một phần được thúc đẩy bởi nhiều nhà cung cấp thương mại bán quyền truy cập vào zero-day hơn so với đầu những năm 2010.
“Các tác nhân tấn công khu vực tư nhân là các công ty tư nhân sản xuất và bán vũ khí mạng trong các gói dịch vụ tấn công, thường là cho các cơ quan chính phủ trên toàn thế giới, để xâm nhập vào máy tính, điện thoại, cơ sở hạ tầng mạng và các thiết bị khác của mục tiêu”. Trung tâm thông minh về mối đe dọa của Microsoft (MSTIC) nói trong một tóm tắt kỹ thuật.
MSTIC cho biết thêm: “Với những gói hack này, các cơ quan chính phủ thường chọn mục tiêu và tự điều hành các hoạt động thực tế.
