Исследователи: взлом вредоносного ПО, распространяемый с помощью использования Flash Player

Политические активисты из Ближнего Востока были нацелены на атаки, которые использовали ранее неизвестную уязвимость Flash Player для установки так называемого " вызвала законную программу перехвата, предназначенную для использования правоохранительными органами, исследователи безопасности из антивирусной компании «Лаборатория Касперского» заявили во вторник.

В прошлый четверг Adobe выпустила экстренное обновление для Flash Player, чтобы устранить две неуправляемые уязвимости, отсутствующие в течение дня используется в активных атаках. В свою рекомендацию по безопасности в то время Adobe занесла Сергея Голованова и Александра Полякова из «Лаборатории Касперского» за сообщение об одной из двух уязвимостей, а именно: CVE-2013-0633.

Во вторник исследователи «Лаборатории Касперского» обнаружили больше информации о том, как они изначально обнаружили эту уязвимость. «Подвиги для CVE-2013-0633 наблюдались при мониторинге так называемого« легального »вредоносного ПО, созданного итальянской компанией HackingTeam», - сказал Голованов в сообщении в блоге.

[Подробнее читайте: Как удалить вредоносное ПО из ваш ПК с Windows]

HackingTeam базируется в Милане, но также присутствует в Аннаполисе, Мэриленде и Сингапуре. Согласно его веб-сайту, компания разрабатывает программу компьютерного наблюдения под названием «Система дистанционного управления» (RCS), которая продается правоохранительным и разведывательным службам.

«Здесь, в HackingTeam, мы считаем, что борьба с преступностью должна быть легкой: мы обеспечиваем эффективное, простое «на использование наступательных технологий для всемирных правоохранительных и разведывательных сообществ», - говорится в сообщении компании на своем веб-сайте.

«Лаборатория Касперского» отслеживает RCS HackingTeam, также известную как DaVinci, начиная с августа 2012 года, сказал Костин Раю, директор Kaspersky Лаборатория лабораторных исследований и анализа.

RCS / DaVinci может записывать текстовые и аудио-разговоры из разных чат-программ, включая Skype, Yahoo Messenger, Google Talk и MSN Messenger; может украсть историю просмотра веб-страниц; может включить компьютерный микрофон и веб-камеру; может красть учетные данные, хранящиеся в браузерах и других программах, и многое другое, сказал он.

Исследователи обнаружили около 50 инцидентов, в которых DaVinci используется против пользователей компьютеров из разных стран, включая Италию, Мексику, Казахстан, Саудовскую Аравию, Турция, Аргентина, Алжир, Мали, Иран, Индия и Эфиопия.

Самые последние нападения, которые использовали уязвимость CVE-2013-0633, касались активистов из страны на Ближнем Востоке, сказал Райу. Тем не менее, он отказался назвать страну, чтобы избежать раскрытия информации, которая могла бы привести к выявлению жертв.

Неясно, был ли эксплоит с нулевым днем ​​для CVE-2013-0633 продан HackingTeam вместе со вредоносным ПО наблюдения или если тот, кто приобрел программу, получил эксплойт из другого источника, сказал Raiu.

HackingTeam не сразу ответил на запрос комментария.

В предыдущих атаках, обнаруженных «Лабораторией Касперского», DaVinci был распространен с помощью эксплойтов для Flash Player уязвимости, обнаруженные французской исследовательской фирмой Vupen, сказал Раю.

Вупен открыто признается в продаже ночных эксплуатационных результатов, но утверждает, что его клиентами являются правительственные и правоохранительные органы из стран, которые являются членами или партнерами НАТО, ANZUS или геополитических организаций АСЕАН.

Установщик DaVinci, упавший на компьютеры с помощью эксплойта CVE-2013-0633 на первом этапе атаки, был подписан с действительным выпуском цифрового сертификата d GlobalSign для лица по имени Камель Абед, сказал Raiu.

GlobalSign не сразу ответил на запрос для получения дополнительной информации об этом сертификате и его текущем состоянии.

Это согласуется с прошлыми атаками DaVinci, в которых пипетка также была подписана цифровой подписью, сказал Райу. Предыдущие сертификаты, используемые для подписания капельниц DaVinci, были зарегистрированы в одном Salvetore Macchiarella и компании под названием OPM Security, зарегистрированной в Панаме, сказал он.

Согласно своему сайту, OPM Security продает продукт под названием Power Spy за 200 евро (267 долларов США) заголовок «шпионя за вашим мужем, женой, детьми или сотрудниками». Список функций Power Spy очень похож на список функций DaVinci, а это значит, что OPM может быть реселлером программы наблюдения HackingTeam, сказал Райу.

Это не первый случай, когда вредоносное право законного наблюдения использовалось против активистов и диссидентов в странах, где свобода слова ограничена.

Есть предыдущие сообщения о FinFisher, инструментарий компьютерного наблюдения, разработанный британской компанией Gamma Group International, которая используется против политических активистов в Бахрейне.

Исследователи из Лаборатории Citizen в Школе глобальных проблем Университета Торонто также сообщили в октябре, что RCS HackingTeam (DaVinc i) программа была использована против правозащитника из Объединенных Арабских Эмиратов.

Этот тип программы является тикающей бомбой замедленного действия из-за отсутствия регулирования и неконтролируемой продажи, сказал Райу. Некоторые страны имеют ограничения на экспорт криптографических систем, которые теоретически охватывают такие программы, но эти ограничения можно легко обойти, продавая программное обеспечение через оффшорных реселлеров, сказал он.

Большая проблема заключается в том, что эти программы могут использоваться не только правительствам, чтобы шпионить за своими собственными гражданами, но могут также использоваться правительствами для наблюдения за другими правительствами или могут использоваться для промышленного и корпоративного шпионажа, сказал Райу.

Когда такие программы используются для нападения на крупные компании или используются кибертеррористы, которые будут нести ответственность за то, что программное обеспечение попадает в чужие руки, спросил Райу.

С точки зрения «Лаборатории Касперского», об этом нет никаких сомнений: эти программы будут обнаружены как вредоносное ПО независимо от их намеченной цели, сказал он.