来自杀毒软件供应商卡巴斯基实验室(Kaspersky Lab)的安全研究人员周二表示,来自中东的政治活动人士成为攻击目标,这些攻击利用了此前未知的Flash Player漏洞,安装了一种旨在执法使用的所谓合法拦截程序。
上周四,Adobe发布了Flash Player的紧急更新为了解决两个零日(即未打补丁的)漏洞,这些漏洞已经被用于主动攻击。在当时的安全报告中,Adobe称赞卡巴斯基实验室(Kaspersky Lab)的谢尔盖•戈洛瓦诺夫(Sergey Golovanov)和亚历山大•波利亚科夫(Alexander Polyakov)报告了两个漏洞之一,即被确认为CVE-2013-0633的漏洞。
[也:15个免费的安全工具,你应该试试]
周二,卡巴斯基实验室的研究人员透露了更多关于他们最初是如何发现这个漏洞的信息。Golovanov在一份声明中说:“CVE-2013-0633漏洞是在监控由意大利公司HackingTeam创建的所谓‘合法’监控恶意软件时被发现的。博客.
HackingTeam总部位于米兰,但也在马里兰州的安纳波利斯和新加坡设有分支机构。据其网站介绍,该公司开发了一种名为远程控制系统(Remote Control System, RCS)的计算机监视程序,并出售给执法和情报机构。
该公司在其网站上表示:“在HackingTeam,我们相信打击犯罪应该很容易:我们为全球执法和情报部门提供有效、易于使用的攻击性技术。”
卡巴斯基实验室全球研究和分析团队负责人科斯汀·莱尤(Costin Raiu)表示,自2012年8月以来,卡巴斯基实验室一直在监控黑客团队的RCS(也被称为达芬奇)。
RCS/DaVinci可以记录文本和音频对话,从不同的聊天程序,包括Skype,雅虎Messenger,谷歌谈话和MSN Messenger;可以窃取网页浏览记录;可以打开电脑的麦克风和网络摄像头;可以窃取存储在浏览器和其他程序中的证书,甚至更多,他说。
到目前为止,卡巴斯基的研究人员已经发现了大约50起涉及达芬奇的事件,这些事件涉及多个国家的电脑用户,包括意大利、墨西哥、哈萨克斯坦、沙特阿拉伯、土耳其、阿根廷、阿尔及利亚、马里、伊朗、印度和埃塞俄比亚。
拉尤说,最近的攻击利用了CVE-2013-0633漏洞,目标是来自中东一个国家的活动人士。然而,他拒绝透露国家的名字,以免泄露可能导致受害者身份被确认的信息。
Raiu说,目前还不清楚CVE-2013-0633的零日漏洞是由HackingTeam与监控恶意软件一起出售的,还是购买该程序的人从其他渠道获得的漏洞。
HackingTeam没有立即回应置评请求。
Raiu说,在卡巴斯基实验室之前检测到的攻击中,达芬奇是通过利用法国漏洞研究公司Vupen发现的Flash Player漏洞传播的。
Vupen公开承认出售零日漏洞,但声称其客户是来自北约、澳新联盟或东盟地缘政治组织成员国或合作伙伴国家的政府和执法机构。
Raiu说,在攻击的第一阶段,CVE-2013-0633漏洞掉落在电脑上的DaVinci安装程序是由GlobalSign颁发给一个名为Kamel Abed的个人的有效数字证书签名的。
GlobalSign没有立即回应有关此证书及其当前状态的更多信息的请求。
拉尤说,这与过去的达芬奇攻击是一致的,在过去的攻击中,投递者也有数字签名。他说,之前用于签署达芬奇吊牌的证书注册在一家名为Salvetore Macchiarella的公司和一家在巴拿马注册的名为OPM Security的公司。
根据其网站OPM Security销售一种名为Power Spy的产品对于一个!200英镑(约合267美元),标题是“监视你的丈夫、妻子、孩子或雇员”。拉尤说,Power Spy的功能列表与达芬奇的功能列表非常相似,这意味着OPM可能是黑客团队监视程序的经销商。
在言论自由受到限制的国家,合法监控恶意软件被用来攻击活动人士和异见人士,这已经不是第一次了。
有先前的报道FinFisher是一个由英国公司Gamma Group International开发的电脑监控工具,被用来对付巴林的政治活动人士。
多伦多大学蒙克全球事务学院公民实验室的研究人员也表示早在10月份就报道过黑客团队的RCS(达芬奇)程序被用来对付一名来自阿拉伯联合酋长国的人权活动家。
Raiu说,由于缺乏监管和不受控制的销售,这类项目是一个定时炸弹。他说,一些国家对加密系统的出口有限制,理论上这将涵盖这类程序,但这些限制可以通过离岸经销商轻松绕过。
拉尤说,最大的问题是,这些程序不仅可以被政府用来监视本国公民,还可以被政府用来监视其他政府或用于工业和企业间谍活动。
如果这类程序被用于攻击大公司或被网络恐怖分子使用,那么落入坏人手中的责任将由谁来承担。”
他说,从卡巴斯基实验室的角度来看,这是毫无疑问的:不管这些程序的目的是什么,它们都会被检测为恶意软件。