Mga mananaliksik: Malware na ipinamamahagi sa pamamagitan ng Flash Player exploit

Mga aktibistang pampulitika mula sa Gitnang Silangan ay naka-target sa mga pag-atake na pinagsamantalahan ang isang dati na hindi kilalang Flash Player na kahinaan upang mag-install ng isang naka- na tinatawag na legal na programa ng interception na dinisenyo para sa paggamit ng pagpapatupad ng batas, ang mga mananaliksik sa seguridad mula sa antivirus vendor Kaspersky Lab ay nagsabing Martes.

Huling Huwebes, ang Adobe ay nag-release ng emergency update para sa Flash Player upang matugunan ang dalawang zero-day-unpatched-vulnerabilities na na ginagamit sa aktibong pag-atake. Sa advisory ng seguridad nito sa panahong iyon, sinepensa ni Adobe sina Sergey Golovanov at Alexander Polyakov ng Kaspersky Lab dahil sa pag-uulat ng isa sa dalawang kahinaan, katulad ng kinilala bilang CVE-2013-0633.

Noong Martes, ang mga mananaliksik ng Kaspersky Lab ay nagpahayag ng higit pang impormasyon tungkol sa kung paano nila natuklasan ang kahinaan. "Ang mga pagsasamantala para sa CVE-2013-0633 ay naobserbahan habang sinusubaybayan ang tinatawag na 'legal' surveillance malware na nilikha ng kumpanya ng Italyang HackingTeam," sabi ni Golovanov sa isang blog post.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa ang iyong Windows PC]

HackingTeam ay batay sa Milan ngunit mayroon ding presensya sa Annapolis, Maryland, at Singapore. Ayon sa website nito, ang kumpanya ay bumuo ng isang program sa pagsubaybay ng computer na tinatawag na Remote Control System (RCS) na ibinebenta sa mga tagapagpatupad ng batas at mga ahensya ng katalinuhan.

"Narito sa HackingTeam naniniwala kami na ang krimen sa pakikipaglaban ay dapat na madali: nagbibigay kami ng epektibo, madali

Sinusubaybayan ng Kaspersky Lab ang RCS ng HackingTeam na kilala rin bilang DaVinci-simula noong Agosto 2012, ayon kay Costin Raiu, direktor ng Kaspersky Ang koponan ng pandaigdigang pananaliksik at pagsusuri ng Lab.

Ang RCS / DaVinci ay maaaring magtala ng mga pag-uusap ng teksto at audio mula sa iba't ibang mga programa sa chat, kabilang ang Skype, Yahoo Messenger, Google Talk at MSN Messenger; maaaring magnakaw ng kasaysayan ng pagba-browse sa Web; maaaring i-on ang mikropono ng computer at webcam; maaari mong magnakaw ng mga kredensyal na naka-imbak sa mga browser at iba pang mga programa, at higit pa, sinabi niya.

Kaspersky mananaliksik na nakita sa paligid ng 50 mga insidente sa ngayon na kasangkot DaVinci ginagamit laban sa mga gumagamit ng computer mula sa iba't ibang mga bansa kabilang ang Italya, Mexico, Kazakhstan, Turkey, Argentina, Algeria, Mali, Iran, India at Ethiopia.

Ang pinakabagong mga pag-atake na nagsasamantala sa CVE-2013-0633 na mga target na aktibista na naka-target mula sa isang bansa sa Gitnang Silangan, sinabi ni Raiu. Gayunman, tumanggi siyang pangalanan ang bansa upang maiwasan ang paglalantad ng impormasyon na maaaring humantong sa mga biktima na nakilala.

Hindi malinaw kung ang zero-day exploit para sa CVE-2013-0633 ay ibinebenta ng HackingTeam kasama ang surveillance malware

Sa mga naunang pag-atake na nakita ng Kaspersky Lab, ang DaVinci ay ipinamamahagi sa pamamagitan ng mga pagsasamantala para sa Flash Player Ang mga kahinaan na natuklasan ng Pranses na pananaliksik sa pananaliksik na kahinaan ni Vupen, sinabi ni Raiu.

Vupen ay hayag na inamin na nagbebenta ng zero-day na pagsasamantala, ngunit sinasabing ang mga customer nito ay mga ahensya ng gobyerno at tagapagpatupad ng batas mula sa mga bansa na miyembro o kasosyo ng NATO, ANZUS o ASEAN geopolitical organizations.

Ang DaVinci installer ay bumaba sa mga computer ng CVE-2013-0633 exploit sa unang yugto ng pag-atake ay nilagdaan na may wastong digital certificate issue d sa pamamagitan ng GlobalSign sa isang indibidwal na pinangalanang Kamel Abed, sinabi ni Raiu.

GlobalSign ay hindi kaagad tumugon sa isang kahilingan para sa higit pang impormasyon tungkol sa sertipiko na ito at ang kasalukuyang katayuan nito.

Ito ay pare-pareho sa mga nakaraang pag-atake ng DaVinci kung saan ang dropper ay naka-sign din sa digital, sinabi ni Raiu. Ang mga naunang sertipiko na ginamit upang mag-sign DaVinci droppers ay nakarehistro sa isang Salvetore Macchiarella at isang kumpanya na tinatawag na OPM Security na nakarehistro sa Panama, sinabi niya.

Ayon sa website nito, nagbebenta ng OPM Security ang isang produkto na tinatawag na Power Spy para sa € 200 (US $ 267) sa ilalim ng ang headline na "bakay sa iyong asawa, asawa, mga anak o empleyado." Ang tampok na listahan ng Power Spy ay katulad ng listahan ng tampok na DaVinci, na nangangahulugan na ang OPM ay maaaring reseller ng programa ng pagmamanman ng HackingTeam, sinabi ni Raiu. Hindi ang unang kaso kapag ang legal na surveillance malware ay ginagamit laban sa mga aktibista at dissidents sa mga bansa kung saan ang limitadong pagsasalita ay limitado.

May mga nakaraang ulat ng FinFisher, isang tool sa pagmamanman ng computer na binuo ng kumpanya na nakabase sa UK na Gamma Group International, na ginagamit laban sa mga aktibista sa pulitika sa Bahrain.

Ang mga mananaliksik mula sa Citizen Lab sa University of Toronto ng Munk School of Global Affairs ay iniulat din noong Oktubre na ang RCS ng HackingTeam (DaVinc i) programa ay ginamit laban sa isang aktibista ng karapatang pantao mula sa United Arab Emirates.

Ang ganitong uri ng programa ay isang oras na bomba ng gris dahil sa kakulangan ng regulasyon at walang kontrol na pagbebenta, sinabi ni Raiu. Ang ilang mga bansa ay may mga paghihigpit sa pag-export ng mga sistema ng cryptographic, na kung saan ay maaaring isakop ang teorya ng mga programang ito, ngunit ang mga paghihigpit na ito ay maaaring madaling maantala sa pamamagitan ng pagbebenta ng software sa pamamagitan ng mga malayo sa pampang reseller, sinabi niya. Sa pamamagitan lamang ng mga pamahalaan upang maniktik sa kanilang sariling mga mamamayan, ngunit maaari ring gamitin ng mga pamahalaan upang maniktik sa ibang mga pamahalaan o maaaring magamit para sa pang-industriya at corporate paniniktik, sinabi ni Raiu.

Kapag ang mga naturang programa ay ginagamit upang salakayin ang mga malalaking kumpanya o ginagamit Sa pamamagitan ng cyberterrorists, sino ang magiging responsable para sa software na bumagsak sa maling mga kamay, sinabi ni Raiu.

Mula sa pananaw ng Kaspersky Lab, walang tanong tungkol dito: Ang mga program na ito ay napansin bilang malware anuman ang kanilang nilalayon na layunin, sinabi niya.